Wie ist der Stand der "Ermittlungen" ?

  • Cristian war so nett und hat einen Zwischenbericht am 13.02 zum Stand der "Ermittlungen" abgegeben.


    Kommt da noch was oder bleiben "die" bei Ihrer Aussage mit der Music Station ?


    Wie erklärt das den Befall auch von NASen die alle Updates haben ?

    Oder der Befall von einem NAS wo ein Firmwarerecovery durchgeführt wurde.

    Laut Ausage des Users wurden die Platten (Partitionen) gelöscht und keine Backups od. Konfig-Files zurückgespielt.


    Quelle: https://forum.qnap.com/viewtopic.php?f=45&p=706952#p706952

    Posting von by aehm_key » Tue Feb 19, 2019 8:31 pm ist auf Seite 5

  • Jagi

    Hat den Titel des Themas von „Wie ist der Stand der "Ermittlungen"“ zu „Wie ist der Stand der "Ermittlungen" ?“ geändert.
  • Oder der Befall von einem NAS wo ein Firmwarerecovery durchgeführt wurde.

    Autorun im DOM/Flash!? Dieser Bereich wird bei einem Recovery nicht gelöscht oder überschrieben.

    Wie erklärt das den Befall auch von NASen die alle Updates haben ?

    Dass sie zum Infektionszeitpunkt noch nicht alle Updates hatten.

  • Ich dachte ein Firmware Recovery wäre die "ultimative Waffe" um sein NAS wirklich komplett nieder zu rmachen mit allem drum und dran. Wenn das wirklich nicht überschrieben wird und etwas nistet sich dort ein wäre das fatal.

  • Autorun im DOM/Flash!? Dieser Bereich wird bei einem Recovery nicht gelöscht oder überschrieben.

    Jedenfalls löscht das Script "derek-be-gone.sh" die autorun.sh, die (absichtlich !) im DOM/Flash abgelegt wurde.

    Zumindest hat das Script meine eigene autorun.sh gelöscht und mir mitgeteilt:

    Code
    1. "Malware was found and cleaned"

    … da habe ich mich wohl selber infiziert ...

  • Ich hatte heute ebenfalls ein NAS TS-251+, welches ich hin und wieder verwalte und es war infiziert.
    Ich habe die hosts geprüft und es waren div. Einträge wie 172.x.x.x. oder auch 10.0.x.x vorhanden.
    Der Malware Remover lief bereits seit Tagen/Wochen nicht mehr und konnte auch nicht aus dem Store geladen werden.

    Ich habe dann via Script erstmal diesen neu installiert und prompt wurde er fündig. Danach ein Reboot und das PW geändert.

    Aktuell macht das NAS ein vollständiges Backup und wird dann wohl im laufe des WE neu aufgesetzt werden müssen!


    Was auffällig war:
    In der Zeit vom 26.11.2018 -> 04.01.2019 waren verdächtig viele Versuche einer nicht zulässigen https Anmeldung vorhanden.
    Seit dem 22.12.2018 lief der Malware Remover nicht mehr ordnungsgemäß und ab dem 04.01.2019 waren keine unzulässigen Zugriffsversuche mehr zu verzeichnen.

    Kleine Anmerkung noch dazu: Bis Mitte Dezember 2018 war das NAS mit einem veralteten Firmwarestand unterwegs, so dass dies sicher auch der Grund sein wird.

  • ganz blöde Frage:

    Wenn ich mein nas nicht ins internet geöffnet habe (keine ports am Router offen, kein qnap cloud) und nur per VPN ins heimnetzwerk gehe (VPN am Router eingerichtet, nicht am nas), dann kann sich mein nas auch nichts einfangen, oder? Ausser natürlich ich lade selbst ein infiziertes file hoch bzw. ich infiziere ein anderes gerät im heimnetz, das dann das nas infiziert? Aber von sowas habe ich eigentlich noch nie gehört.

  • Moin,


    ja das ist soweit richtig. Solange das NAS auch auf dem aktuellen Stand ist, sollte dann erst recht nix passieren.

    In dem von mir beschriebenen Fall war dies leider nicht so und das NAS war auch online erreichbar. Zusätzlich waren die Apps (QTS-SSL & CloudLink) veraltet und nicht auf einem aktuellen Stand. Es gab somit wahrscheinlich mehrere Eingangsvektoren zum NAS.

  • ich kapiere eh nicht, warum nicht jeder ein VPN verwendet für heimzugriff.

    Bei einer fritzbox ist das so leicht einzurichten, dass schafft jeder Laie. Ind bei anderen Routern (ich habe einen mikrotik) gibts auch massig tutorials im Netz. Keine Ahnung, ob man damit wirklich immer total sicher ist, aber sicherer auf jeden Fall.

    Sehr gut und einfach einzurichten sind übrigens auch sonicwall Router. Verwenden wir in der Arbeit und sind echt geile teile, auch für site to site VPN.

  • Das liegt u.a. auch daran, welches Einsatzszenario vorgesehen ist. In diesem Fall war es u.a. das Verfügbar machen von Bild & Tonmaterial für einen ausgewählten Personenkreis. Dies sollte so schnell & einfach wie nur möglich von statten gehen.
    Das NAS war über die Qnapcloud erreichbar, hier sogar mittels QNAP SSL-Zertifikat.
    Es ist halt bei vielen eine Interessen-Abwägung aber im E-Fall sieht man ja, wie schnell es gehen kann.

  • Ich geh mal davon aus das Qnap keinen Plan hat wie die NASen infiziert werden.

    Also Problemlösung auf Qnap Art ... aussitzen und schweigen.

  • Ja leider...bisher gibt es da in der Tat keine Erkenntnisse. Man hält sich sehr bedeckt in der Sache. Somit verspielt man jedoch mehr und mehr Sympatiepunkte und Vertrauen.

    Aktuell läuft das betroffene NAS wieder absolut unauffällig.

  • Ich geh mal davon aus das Qnap keinen Plan hat wie die NASen infiziert werden.

    Das denke ich auch. Wie schon an anderer Stelle beschrieben war ich zwei mal betroffen. Und beim zweiten Mal gab es keine Music Station am NAS. Vielleicht hat aber auch der erste einen Kanal für den zweiten offen gelassen? Dazwischen wurde aber neu aufgesetzt (ohne DOM neu) und upgedatet.

  • Ich geh mal davon aus das Qnap keinen Plan hat wie die NASen infiziert werden.

    Ja leider...bisher gibt es da in der Tat keine Erkenntnisse. Man hält sich sehr bedeckt in der Sache. Somit verspielt man jedoch mehr und mehr Sympatiepunkte und Vertrauen.

    Ich finde es schade, dass es immer wieder zu derartigen (Trotz-) Reaktionen kommt, nur weil offenbar die eigene Erwartungshaltung nicht erfüllt wird.

    QNAP reagiert nicht in der persönlich als angemessen empfundenen Zeit auf welches Thema auch immer und ... *zack* haben sie offenbar kein Interesse daran, aufzuklären, darüber zu informieren oder technisch einfach keinen Plan.


    Natürlich kann man so damit umgehen, es hilft eben nur nicht weiter - und zwar beiden Seiten nicht.


    Tendiert die Informationspolitik von QNAP auch bei solch wichtigen Themen wie diesem hier eher in Richtung "Nicht-Informieren" und "Aussitzen", steht es doch zudem jedem frei, sich auf dem Markt nach einer Alternative umzusehen.


    Wie wäre es denn mit dem pragmatischen Ansatz, die Erkentnisse der hier in der Community betroffenen Benutzer zu konsolidieren, um so zu einer Art eher aussagekräftigen "Gesamtbild" zu kommen?

    Diese "Bild" kann dann z. B. Christian - sofern die Möglichkeit dazu besteht - an QNAP übermitteln.


    Auf diese Art und Weise können wir gemeinsam unseren Teil dazu beitragen, QNAP ein wenig bei der Lösungsfindung zu unterstützen auch mit dem Hintergrund, dass auf qualifiziertes (!) Feedback von Seiten der Benutzer auch eher eine Rückmeldung seitens QNAP zu erwarten ist.

  • Ich bin keineswegs trotzig etc. Ich finde es lediglich sehr schade, wie der aktuelle Stand ist!
    Ich habe gerade erneut ein Qnap gekauft, von daher bin ich nicht trotzig oder sauer:beer:

  • derartigen (Trotz-) Reaktionen kommt, nur weil offenbar die eigene Erwartungshaltung nicht erfüllt wird.


    Ähm, nein.


    QNAP reagiert nicht in der persönlich als angemessen empfundenen Zeit auf welches Thema auch immer und ... *zack* haben sie offenbar kein Interesse daran, aufzuklären


    Bitte korrigiert mich. Aber diese Malware scheint seit mitte Januar anfang Februar sein unwesen zu treiben. Und seit dem hat sich nichts mehr getan an dieser Sicherheitswarnung .



    Diese "Bild" kann dann z. B. Christian - sofern die Möglichkeit dazu besteht - an QNAP übermitteln.


    Wurde schon oft genug angemahnt. Interessiert bei Qnap aber auch keinen.



    Darum gehts aber auch nicht. Es einfach darum das keine Info´s kommen.

  • Hallo Jagi , grüß Dich!


    Das ist jetzt ein wenig unglücklich. Deine Antwort spiegelt erneut die Erwartungshaltung wider, die ich in meinem ersten Beitrag erwähnt habe:

    • die Malware treibt schon zu lange ihr Unwesen und man hat schon längst mehr Informationen erwartet
    • es wurden schon öfter Dinge angemahnt und es kam keine Reaktion, obwohl man diese erwartet hat
    • es geht darum, dass keine Infos kommen - obwohl man das erwartet

    Ich bin mir nicht sicher, in wie weit man durch den Kauf eines QNAP NAS das Recht auf derartige Informationen hat.

    Meiner Ansicht nach kann QNAP das halten, wie sie lustig sind: wollen sie informieren, tun sie es, wollen sie es nicht, lassen sie es.

    Ob sie sich mit dieser Haltung schaden, wird die Zukunft zeigen und der Markt regeln.


    Deinen Unmut kann ich trotz allem natürlich sehr gut nachvollziehen und ich möchte hier auch nicht "oberlehrerhaft" 'rüberkommen.


    Die Frage ist nur, welchen Einfluß wir auf die Informationspolitik von QNAP haben und was wir erreichen, wenn wir uns darüber austauschen, was mit der Kommunikation von und zu QNAP alles _nicht_ funktioniert.


    Anstatt bei QNAP Dinge anzumahnen oder einzufordern, ist ein anderer Ansatz das Wissen und die Stärke der Community zu nutzen.


    Ich habe den Eindruck, dass es hier sehr viele QNAP'er mit fundiertem und tiefem Fachwissen im Netzwerk- und Linuxumfeld gibt.


    Eine Idee kann nun sein, dass man die hier bekanntgewordenen Malware-Fälle mit Hilfe dieses Fachwissens analysiert und - im besten Fall - dadurch selbst bereits Antworten auf einige der aufgekommenen Fragen bekommt.


    Gruß!

    Tim

  • Eine Idee kann nun sein, dass man die hier bekanntgewordenen Malware-Fälle mit Hilfe dieses Fachwissens analysiert und - im besten Fall - dadurch selbst bereits Antworten auf einige der aufgekommenen Fragen bekommt.

    Und Privatleute die Arbeit von Qnap machen?


    Ja, sicher, so kann man das auch sehen oder angehen. Qnap sieht sich selbst aber als Hersteller von Enterprise Hard- und Software. Dann sollte man auch so agieren.


    Viele Probleme entstehen ja dadurch, dass kaum jemand aktuelle Updates einspielt weil die Erfahrung mit Qnap zeigt, dass dann wesentliche, ev. unternehmenskritische Dinge, oft nicht funktionieren.


    Dadurch hat man natürlich nicht den letzten Stand an Sicherheitsupdates. Und wie im aktuellen Fall mit der Maleware, finden sich dann immer wieder Leute die dann Posten wie wichtig es nicht ist, immer die aktuellsten Updates einzuspielen. Haha, sehr witzig...

  • aufgesetzt (ohne DOM neu)

    Das war dann das Problem. Deswegen bereinigt ja unter Anderem das dbg-Script das DOM.


    Und seit dem hat sich nichts mehr getan an dieser Sicherheitswarnung .

    Was sollte sich daran nocht tun?


    Nenne doch mal konkrete Punkte die dich interessieren und die nicht beantwortet werden.

  • Hallo PuraVida!

    Und Privatleute die Arbeit von Qnap machen?

    Auf der einen Seite machen wir das quasi schon dadurch, dass wir hier im Forum aktiv sind und auf der anderen Seite - welche Alternative und/oder Möglichkeit schlägst Du stattdessen vor, wenn vom Hersteller nichts kommt?


    Qnap sieht sich selbst aber als Hersteller von Enterprise Hard- und Software. Dann sollte man auch so agieren.

    Ich glaube nicht, dass die hier von der Malware betroffenen Benutzer Enterprise Hard- und Software zu Hause haben.


    Davon abgesehen, haben Kunden, die im Enterprise Segment von QNAP unterwegs sind, über Supportverträge mit Sicherheit einen anderen Zugang zu QNAP oder den Distributor als der private Endverbraucher.


    Viele Probleme entstehen ja dadurch, dass kaum jemand aktuelle Updates einspielt weil die Erfahrung mit Qnap zeigt, dass dann wesentliche, ev. unternehmenskritische Dinge, oft nicht funktionieren.


    Dadurch hat man natürlich nicht den letzten Stand an Sicherheitsupdates. Und wie im aktuellen Fall mit der Maleware, finden sich dann immer wieder Leute die dann Posten wie wichtig es nicht ist, immer die aktuellsten Updates einzuspielen. Haha, sehr witzig...

    Das liest sich zwar gut, ist mir ehrlich gesagt aber ein wenig zu pauschal.

    Ich denke, man sollte Privatanwender, die keine Updates einspielen nicht mit "wesentlichen, unternehmenskritischen Dingen" in einen Topf werfen.


    Und ja, es sollte natürlich nicht sein, dass nach welchem Sicherheitsupdate auch immer, die Funktionalität eines Produkts eingeschränkt ist; und zwar egal ob im Firmen- oder im privaten Umfeld.

    Dass hier in vielen Bereichen der IT die Realität doch oft ein wenig anders aussieht, wissen wir allerdings auch.


    Gruß!

    Tim