Neue Malware Remover Version 3.4.0

Nein, geht auch mit einem anderen Administrator. Allerdings kann man hier nicht sehr viel anstellen, mehr oder weniger nur ansehen. Es sei denn QNAP hatte dies in den letzten Versionen irgendwann mal angepasst.

Also bei meinem QTS v4.3.3 komme ich mit einem User der admin-Rechte hat nicht per SSH auf das NAS, nur mit dem "echten" admin.

Gruss

Kann es sein, dass man bei SSH oder so noch die entsprechenden Rechte dem User-Admin geben muss?

Spielt eigentlich keine Rolle, denn wenn Du etwas erreichen willst benötigst Du ohnehin den "root" admin.

Zitat von Eckfahne

Du kannst das script ausführen lassen, wenn Du Dich mit Adminrechten angemeldet hast.

Punkte entfernt und e funktionierte bei mir.

Du kannst doch den admin wieder aktivieren.

Also, anmelden mit Original-Admin. Noch die Frage an Eckfahne und joyeaux ob es reicht, einfach dieses Skript auszuführen oder muss man die komplette Anleitung #28 mit crobtab durchmachen. Damit kenne ich mich überhaupt nicht aus und ich würde es einfach nur nachmachen ohne zu wissen, was ich da eigentlich tue.

Na ja, das mit der crontab wirst Du wohl auch checken müssen, wobei der "komische" Name bei Dir anders aussehen kann.

Aber sobald ein Eintrag in der crontab auftaucht, der seltsame und/oder kryptische Zeichen enthält, muss der entfernt werden wie es in Post #28 steht.

Wenn Du Dir unsicher bist, dann poste die Ausgabe von crontab -l (l = kleines L, kein grosses i ).

Gruss

So, der Support empfahl nur die Zeile derek-be-gone via putty auszuführen.

Davor habe ich allerdings laut Anleitung #28 die crontab -l gecheckt und verdächtige Einträge gefunden.

Ich habe dann trotzdem erst einmal nur das Skript ausgeführt, weil ich ehrlich gesagt nicht genau verstanden habe, wie ich die verdächtigen Zeilen löschen muss und ich wollte auch nicht was löschen, was man braucht.

Dann habe ich Userpasswörter geändert und dem NAS nochmal das aktuelle Betriebssystem verpasst.

MalwareRemover ist nun wieder drauf, aber ein Login auf putty zeigt nach dem Ausführen des Skriptes immer noch die verdächtigen Zeilen.

Was soll ich tun?putty2.jpg

putty1.jpg

Das ist ja Derb hier. Da ist man abends mal schön entspannt bei Euch unterwegs und da muss man feststellen, dass man selbst einen Virus gefangen hat.

Krass, da ich meine TS-453 Pro gerade erst neu aufgesetzt hatte. Ich habe hier jedoch die Einstellungssicherung zurückgespielt. Vermutlich kommt der Kram daher.

Mit der Anleitung von joyeaux hat's anscheinend geklappt.

Hat einer eine Idee was die Malware anstellt?

EDIT: Habe dieselbe Ausgabe wie mw1972.

Links die TS-412 und Rechts die TS-453 Pro

QNAP Virus Remove 3.PNG

Wenn sich das mal nicht gelohnt hat...

Danke Euch!

Gruß,

Eric

Indriga

Hi Eric,

kannst du bitte mal überlegen, wie du dir den Schädling eingefangen haben könntest? Das ist hier im Forum sicherlich von allgemeinem Interesse für andere Hilfesuchende.

Zitat von phoneo

kannst du bitte mal überlegen, wie du dir den Schädling eingefangen haben könntest?

Ich hatte meine TS-412 mal länger über die QNAPCloud Freigabe erreichbar, weil ich das damals entsprechend gebraucht habe. Da war ich wohl etwas zu unvorsichtig... phoneo Du kannst dann gerne ein kleines Steinchen nach mir werfen

Zitat von phoneo

Wer ohne Schuld ist, der werfe den ersten Stein

Was mir aufgefallen ist, ist der Punkt das meine TS-412 sehr langsam geworden ist. Das habe ich aber aufs Alter geschoben. Das eine Malware installiert ist, bekommt man wohl anders nicht mit. Außerdem ist mir auch noch nicht ganz klar was die Malware bewirken soll, denn Datenabgang wäre mir bei meiner wahnsinns fortschrittlichen 6000 KBit's Leitung aufgefallen.

Nachdem die Geschichte mit meinem RAID 5 Ausfall auf der TS-453 Pro war, habe ich die Einstellungen / Benutzer etc. von der TS-412 exportiert und auf die TS-453 Pro importiert. Vermutlich hat sich da mal ein böses Skript über meine TS-412 her gemacht welches sich über den Weg dann an meine TS-453 Pro geheftet hat.

Nach der gestrigen Sonderbehandlung hat die TS-412 übrigens wieder eine ungeahnte Schnelligkeit erreicht.

Mittlerweile greife ich übrigens über VM's auf mein Netzwerk zu, die auf der TS-453 Pro laufen. Am Router sind die Schranken unten.

Gruß und schönen Abend alle zusammen,

Eric

Es ist so wie Jagi schreibt, der Infektionsweg ist interessant. Danke für die Rückmeldung, Indriga . Über die Wirkweise des Schädlings könnte uns wahrscheinlich QNAP aufklären.

Da kann ich auch ein Lied von singen....

Weiß eigentlich jemand was die jetzt im Umlauf befindliche Schadsoftware will... Daten von den Nutzern, Bitcoinmining im Botnetz, Spamversand, NSA, GRU, Iran, Nordkorea.... ???????

Ich kann mir nicht vorstellen, dass jemand meine Statik haben möchte (speziell wegen der Handschrift)..

Aich mein System war an mehreren Stellen befallen.

TS-451 QTS 4.3.6.

Lediglich Port 443 via Portforwarding im Netz. Ohne QNAP Cloud Zeugs.

Die Firmware der QNAP hat noch so viele Löcher, dass die dann doch angreifbarer ist, als man das meint. Vor allem passiert das ja immer bei den Anderen und nie bei einem selbst

MiniOh Was heißt denn rein interessehalber an mehreren Stellen? Der Malware Remover gibt ja meines Wissens keine Auskunft über die bereinigten Sektoren.

@Indriga

Ich meine die Pfade, an denen Malware gefunden wurde.

z.B.

/share/CACHEDEV1_DATA/.qpkg/NotesStation/NotesStation.sh
/share/CACHEDEV1_DATA/.qpkg/QVPN/etc/init.d/qvpn.sh
/share/CACHEDEV1_DATA/.log/.cgilog.
/tmp/config//xabcNXwjabtZjpg.

...

Der Virus tarnt sich unauffällig als Bild und legt wert auf Privatsphäe, geht anscheinend über einen VPN Tunnel raus.

Wäre mal interessant die Funktionswiese zu untersuchen.

MiniOh Danke!

Zitat von Crazyhorse

Wäre mal interessant die Funktionswiese zu untersuchen.

Absolut. Da bekommt man fast schon wieder Lust mal eine Test-NAS zu infizieren und die dann vor eine Firewall zu hängen.

Vielleicht bekommt hier ja mal jemand was von QNAP oder sogar selbst raus.

Gleicher Effekt hier, TS-453A. DEREK BE GONE ausgeführt ohne sonst was zu machen, der Malware Scanner schien dann einiges zu entfernen, nach dem Reboot hat es aber immer noch diese beiden Zeilen:

10 * * * * /share/CACHEDEV1_DATA/.tEvcEmgspEuc.rsms/EmMxnmhzLMt.sh > /dev/null 2>&1
#0 23 * * * /mnt/HDA_ROOT/.config/php.d/icons.1487152498680.sh >/dev/null 2>&1

[~] # crontab -l
# m h dom m dow cmd
0 4 * * * /sbin/hwclock -s
0 3 * * * /sbin/vs_refresh
0 3 * * * /sbin/clean_reset_pwd
0-59/15 * * * * /etc/init.d/nss2_dusg.sh
30 7 * * * /sbin/clean_upload_file
0-59/10 * * * * /etc/init.d/storage_usage.sh
30 3 * * * /sbin/notice_log_tool -v -R
10 * * * * /share/CACHEDEV1_DATA/.tEvcEmgspEuc.rsms/EmMxnmhzLMt.sh > /dev/null 2>&1
#0 23 * * * /mnt/HDA_ROOT/.config/php.d/icons.1487152498680.sh >/dev/null 2>&1
35 7 * * * /sbin/qbox_util -c  > /dev/null 2>/dev/null
*/10 * * * * /sbin/config_cache_util 0
0-59/20 3 * * * /sbin/adjust_time
#0 2 * * * /sbin/qfstrim
30 6 * * 1 /home/httpd/cgi-bin/disk/disk_manage.cgi func=test_hd_speed
0 0 * * 3 /sbin/storage_util --data_scrubbing raid_id=-1 >/dev/null 2>&1
0 23 */5 * * /sbin/qpkg_cli -U 1>/dev/null 2>/dev/null
36 9,21 * * * /sbin/notify_update --nc 1>/dev/null 2>&1
0 1 * * * /etc/init.d/flush_memory.sh >/dev/null 2>&1
0 3 * * 0 /etc/init.d/idmap.sh dump
34 * * * * /sbin/qddns_check 2>/dev/null

* * * * * /var/cache/netmgr/lock_timer.sh
0 4 * * * /etc/init.d/wsd.sh restart
4 3 * * 3 /etc/init.d/backup_conf.sh
32 22,6,14 * * * /share/CACHEDEV1_DATA/.qpkg/.config/backup_conf.sh >/dev/null 2>/dev/null
0 12 * * * /mnt/ext/opt/LicenseCenter/bin/qlicense_tool local_check
0 0 * * * /usr/local/sbin/qsh nc.archive >/dev/null 2>&1
15 19 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli
35 7 * * * /sbin/qsyncsrv_util -c  > /dev/null 2>/dev/null
30 7 * * * /sbin/version_cleaner -t 0 > /dev/null 2>/dev/null
0 0 * * * /sbin/qsyncsrv_tool --fix  > /dev/null 2>/dev/null
00 03 * * * sh /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh scan;#_QSC_:MalwareRemover:malware_remover_schedule:None:d::