Neue Malware Remover Version 3.4.0

    Ja Malware wird sehr schnell angepasst.

    Kann also schon eine neuere Version bei dir aktiv sein oder gewesen sein als der Remover löschen kann.

    Zitat von MiniOh

    Lediglich Port 443 via Portforwarding im Netz. Ohne QNAP Cloud Zeugs.

    Naja, das reicht ja schon, wenn nur irgendeine der Webanwendungen ein Loch hat bzw. der Webserver ausnutzbare Sicherheitslücken.

    Ich habe gerade alle mehrere Deutsche und Englische Qnap Foren Threads durchgelesen und anschliessend in München angerufen (Qnap Support). Es scheint so, als wüsste bisher keiner so wirklich wo der Angriffsvektor dieser Malware ist?!

    (Ein Dienst mit einer ausnützbaren Sicherheitslücke)


    Falls ich das überlesen haben sollte tut es mir leid, würde mich aber trotzdem über eine Rückmeldung mit der entsprechenden Antwort freuen.


    Ansonsten bleibt mir nur ein Demo Gerät mit allen Ports an Internet zu hängen und über einen Monitor Port am Switch mir Wireshark selbst auf die Jagd zu gehen...

    Spätestens jetzt sollte QNAP sich mal sputen und Stellung beziehen. Eine bessere Lösung, als dieser kleine Workaround, wäre da auch nicht verkehrt.

    Das wird ein Zeroday sein, mein Scan mit openVAS heute morgen hat nur eine 9 bei SMB gefunden, aber nichts im Bereich Webserver, WebDAV oder Multimedia Station.


    Das muss ich mir gleich noch mal genauer anschauen.

    Zitat von d0b

    Es scheint so, als wüsste bisher keiner so wirklich wo der Angriffsvektor dieser Malware ist?!

    (Ein Dienst mit einer ausnützbaren Sicherheitslücke)

    https://www.qnap.com/de-de/security-advisory/nas-201901-22 Schweregrad: hoch

    https://www.qnap.com/de-de/security-advisory/nas-201901-14 Schweregrad: hoch


    Die reichen doch aus.

    Ich möchte gar nicht wissen, wie viele noch eine ältere FW-Version nach diesen Meldungen auf ihrem NAS hatten.

    Spätestens nach der Veröffentlichung wussten alle Hacker auf welche Exploits sie testen müssen.


    Die vorhergehenden Advisories aus 11 und 12/2018 sind auch nicht ohne.


    https://www.qnap.com/de-de/security-advisory/nas-201811-22 Schweregrad: kritisch

    https://www.qnap.com/de-de/security-advisory/nas-201811-29 Schweregrad: hoch

    https://www.qnap.com/de-de/security-advisory/nas-201812-26 Schweregrad: hoch

    Das glaube ich weniger. Sind Fälle dabei wo die Firmware aktuell ist. Und Lücken von 2017 erst Ende 2018 zu Patchen ... schafft vertrauen.

    Ich bin irgendwie am überlegen doch mal wieder ein Update einzuspielen.

    Macht es auch Sinn wenn ich von aussen nichts eingerichtet habe ?


    Läuft da eigentlich noch die HD Station 3.1.c mit Kodi 17.6 ?

    Sicherheitsupdates machen immer Sinn!

    Die Zeiten wo man ein laufendes System nicht anfassen sollte sind lange vorbei, wer heute nicht fast tagesaktuell gefixt ist, wird übernommen.

    Zitat von dr_mike

    Ich möchte gar nicht wissen, wie viele noch eine ältere FW-Version nach diesen Meldungen auf ihrem NAS hatten.

    Hmm, bin trotzdem etwas verwirrt. Wenn ich mir da so eine "security-advisory" aus deinen Links durchlese, dann finde ich folgenden Hinweis:


    Zitat von Security Advisory for Vulnerabilities in QTS

    We have fixed these issues in following QTS versions:

    • QTS 4.4.0: QTS 4.4.0 build 20190119 and later
    • QTS 4.3.5: QTS 4.3.6 build 20181228 and later
    • QTS 4.3.4: QTS 4.3.4 build 20190102 and later
    • QTS 4.3.3: QTS 4.3.3 build 20190102 and later


    Suche ich jetzt im Downloadcenter nach einer dieser gefixten FW, dann finde ich nichts passendes.


    Hätte gerne die 4.3.3 build 20190102, finden tue ich blos die letzte 4.3.3.0396 build 20171205.

    Auch die 4.4.0 build 2019019 finde ich nicht, nur die letzte 4.3.6.0805 build 20181228.

    Mache ich was falsch bei der Suche, gibt's noch eine andere Seite außer Download für TVS-882 ?


    Gibt sogar eine Release Note dazu: QTS 4.3.3.0789 build 20190102, aber keinen Download ???

    Einmal editiert, zuletzt von RedDiabolo ()

    wenn hier einer über nen Infektionsweg nachdenkt, dann erinner ich mal nur dran, dass die ersten Probleme bei mir nach einem firmware-Update auftraten. Welches genau weiß ich nicht mehr, aber war aus dem 4. Quartal 2018.

    Immer zu behaupten, dass hier Angreifer sich ins Nas gehackt haben, nur weil das Nas übers Internet erreichbar ist (ohne qnapcloud), ist ein wenig kurzsichtig.

    Aber freut mich zu hören, dass auch andere das Problem haben.

    Sieht mir mehr nach Spekulationen aus. Denke wohl eher nicht.

    Sollte sich dies jedoch bewahrheiten, könnte dies QNAP das Genick brechen, vor allem mit der Null-Informations-Politik. Das wäre dann nicht nur eine Kleinigkeit. Das würde dann durchaus rechtliche Schritte nach sich ziehen. Die Amerikaner lieben ja Sammelklagen. Von der Glaubwürdigkeit mal ganz abgesehen. Ich denke, das wäre dann wohl auch der Zeitpunkt, an dem auch ich mich von QNAP verabschieden würde. Aber wie gesagt, denke wohl eher nicht.


    Zitat von Crazyhorse

    Die Zeiten wo man ein laufendes System nicht anfassen sollte sind lange vorbei, wer heute nicht fast tagesaktuell gefixt ist, wird übernommen.

    Schöne Auswahl: Entweder macht Malware das System platt oder das Update macht es. Leider sind die ganzen Updates zur Zeit nicht so wirklich zuverlässig. Jedes Update ist russisches Roulette. Glücklicherweise hat der Revolver mehr als zwei Kammern.

    Gerade vor ein paar Wochen vom Hersteller der Buchhaltungssoftware die Meldung bekommen: "Bitte keine Endabrechnung bis zum nächsten Update machen, ansonsten wird die Datenbank zerschossen." Na, über so nette Mails freut man sich immer. Zu Glück hatte ich noch keine Zeit das defekte Update einzuspielen. Aber man stellt sich die Frage: "Ist das nächste Update dann wirklich besser?"

    Was mich auch etwas beunruhigt hat, von dem ich hier bisher aber noch nichts gelesen habe, aber im US-Forum jetzt auch einen Post gefunden habe:


    Bei der Installation von MR 3.4.0 hatte ich eine Fehlermeldung im Log:

    [Malware Remover] Repaired official app list in App Center. ???


    Ich hatte mich auch damit beruhigt, das ich kein Original QNAP habe, sondern ein OEM (Fujitsu Celvin Q902 = TS 669).

    Da sehe ich im Appcenter andere Apps als mit dem Original QNAP.


    Auf den Original QNAPs (TS 459 und TS 859) erschien diese Meldung nicht.

    Allerdings habe ich auf dem Celvin auch sonst keinerlei Auffälligkeiten, weder in der crontab noch in der hosts, MR findet auch nichts.


    Dennoch habe ich aufgrund der o.a. Meldung ein "dummes Bauchgefühl"...:rolleyes:


    Hat MR hier tatsächlich etwas verbogen? War es schon vorher verbogen? Wieso war es notwendig die official app list zu "reparieren"?


    Das alles schafft nicht gerade Vertrauen, das Schweigen von QNAP macht ein übriges.

    In der uLinux.conf sieht auch alles aus wie zuvor.


    Gruss