Wie ist der Stand der "Ermittlungen" ?

  • mal eine Frage ist die Lücke die das verusacht hat schon bekannt? und von QNAP irgendwie mit der aktuellsten Firmeware gefixt? habe so auf die schnelle nichts dazu gefunden.

  • Hallo an alle, ich bin neu hier! Stand der Dinge bei mir ist, mich hat es jetzt auch erwischt!


    Meine Hardware eine TS-251


    Ich habe einen USB Stick (4 Gigabyte) mit Ubuntu 18.04 mit Rufus erstellt dann das dazugehörige Firmware Recovery Image heruntergeladen.


    Aus dem Bereich Firmware Recovery Guide for x86 based NAS


    In meinem Fall TS - X51 Series

    F_TS-X51_20140916-1.2.8.img


    Diese Datei habe ich dann umbenannt in dom.img


    Und direkt in das Hauptverzeichnis meines zuvor erstellten Ubuntu Sticks geschoben.


    Da ich meine Daten vom NAS gesichert habe, habe ich die Festplatten entfernt und extern an einem Rechner gelöscht.


    Den Stick habe ich dann an meinem NAS hinten eingesteckt, mein NAS via HDMI mit meinem TV verbunden und meine Wireless Maus und Tastatur Kombination von Logitech angesteckt.


    Dann habe ich meinen NAS eingeschalten und bin mit der F2 Taste ins Setup Menü von meinem BIOS gegangen. Dort habe ich dann meinen Stick ohne UEFI davor ausgewählt und nach oben verschoben sodass vom Stick gestartet wird.


    Dann habe ich meinen NAS neu gestartet, Ubuntu ist dann auch gestartet und hat mich gefragt ob ich es installieren oder nur try also probieren möchte ich bin natürlich auf try gegangen.


    Als das Ubuntu Linux betriebsbereit war, bin ich mit der Maus zu den Programmen und habe das Terminal gestartet.


    Im Terminal habe ich zuerst folgendes eingegeben:


    sudo su


    dann


    fdisk - l


    dann


    cd /cdrom


    dann


    sudo cp dom.img dev/sda


    Dann


    reboot


    Danach das System (ohne Platten) neu starten und mit dem Qfinder das zuvor heruntergeladene aktuelle FW-Image (Rechtsklick im QFinder) -> Firmware aktualisieren falls hier nicht das aktuelle Firmware Image zu finden ist einfach auf die QNAP Seite gehen die ZIP-Datei runterladen und entpacken und dann dieses Image nehmen.


    Die Festplatten dann, nach einem abermaligen Neustart und Herunterfahren, einsetzen und mit den Platten booten.


    Achso und mir wurde vom Support gesagt die Lücke kommt von phpMyAdmin. Mich hat es interessiert woher das gekommen ist, meine NAS war verschlüsselt und mit 2fa gesichert. Es waren auch nicht alle Ports offen und die Ports wurden neu vergeben wo es ging, ich habe nicht die Standardports genutzt.


    Wobei ich das noch immer seltsam finde, phpMyAdmin war bei mir überhaupt nicht installiert.


    Ich hatte aber cloudlink und myqnapcloud am Laufen.

  • livelytuber Hast du den Standard-Admin aktiv oder deaktiviert?


    Update: Danke für die Antwort (Bezug Post #125)

    Ok, dann bin ich nal gespannt ob es einen betroffenen gibt, der seinen Admin deaktiviert hatte.

    Einmal editiert, zuletzt von Pfeiffer ()

  • livelytuber Danke für den Hinweis auf den phpMyAdmin. So abwegig ist der nicht. Bei mir war das vermutlich der Auslöser. Den hatte ich nämlich unlängst installiert von dann an die Probleme.

  • Ich frage nochmals gibts irgendeine Info von Qnap zu dem Thema?

    Nachdem bei der Malware vom 13. Feb. noch immer steht:



    Warning: If your NAS device is already infected, updating QTS and all NAS applications may not completely remove the malware. QNAP is currently working on a removal solution and will update this advisory once it is publicly available.Q

    arbeiten sie wohl noch immer daran wie man sie entfernen kann.

  • hi leute..,


    ich bin nicht nur neu hier, sondern das ist auch meine allererste nas. dementsprechend bin ich auch nicht ganz so fit.. bzw erweiter mein wissen mit vielen tutorials.


    ich habe die QNAP TS-453a -8gb (hab ich vorkurzem gebraucht gekauf :) )


    leider hat meine nas die selben symptome.


    - konnte nicht die fw aktualisieren

    - konnte von apps auch keine updates machen


    ich hab dann die neueste fw online gedownloadet und

    diese erfolgreich installiert.


    doch leider kann ich immer noch keine apps installieren

    oder updaten...


    kann jemand mal ein tutorial schreiben bzw wenns schon eins gibt den link hier rein posten bzw im forum auch ein sticky machen dass jeder das direkt sieht..



    wäre echt sehr dankbar wenn jemand helfen könnte und es bischen einsteiger freundlicher erklären könnte...


    vielen lieben dank jetzt schon für eure hilfe.


    lg

  • Was für eine Anleitung meinst Du?

    Eine für das DOM Recovery findest Du im Wiki.


    Wenn das NAS schon die gleichen Symtpme hat herzlichen Glückwunsch, dann hast Du entweder ein bereits verseuchtes NAS erhalten oder es hat sich in der kurzen Zeit schon jemand bei Dir eingenistet.


    Tipps zur Vermeidung findest Du u.a auch hier.


    Gruss

  • ja was muss ich jetzt denn genau machen wenn

    ich diese maleware habe... wenn das so häufig vorkommt warum gibt es nicht einfach ein thread wo von a-z

    erklärt wird was man machen muss. viele sind einsteiger so wie ich und wollen uns quasi weiterbilden.. dass der hersteller da nix macht bzw ne offizielle lösung ins internet stelll ist echt schwach.


    also deshalb nochmals: was muss ich jetzt also machen um diese malware los zuwerden?


    muss ich ein sogennantes doom recovery machen?

    langt das aus oder was muss denn jetzt alles gemacht werden?


    sorry dass ich vllt gestresst geschrieben habe aber bin echt entäuscht von qnap :(

  • sogennantes doom recovery

    Hoffentlich nicht 8), es ist immer noch ein DOM Recovery.

    Unter diesem Link ist eigentlich alles beschrieben, aber: man muss es lesen UND verstehen können!

    Vor allem muss das richtige Image für das NAS genommen werden, sonst hat man einen Design-Briefbeschwerer!


    Und man sollte ein wenig "Linux-Affin" sein, wer bisher nur Windows bedient hat, wird sich schwer tun.

    Da es leider viele verschiedene Modelle mit genauso vielen Architekturen gibt, gibt es nicht "die eine" Beschreibung die für alle passt.


    Gruss

  • mir wurde vom Support gesagt die Lücke kommt von phpMyAdmin


    Ist nun bisher wenigstens schon das Einfallstor bekannt?

    Es wird ja bisher nur gemutmaßt. Von der Audio Station bis über PMA.

    7 Seiten umfasst der Thread bislang.

    Eine endgültige Erklärung seitens QNAP wäre auch mal schön.

  • Das wird genauso Todgeschwiegen wie die Spectre Meltown Lücke.

    Da ist Meldung auch noch offen. Andere NAS-Hersteller erschweren zumindest die Ausnutzung. Hier ist nur Schweigen im Walde.

    Einer der Gründe warum Qnap bei mir zur Zeit keine Rolle mehr spielt.

  • Das Verhalten des Herstellers ist...nun ja...verbesserungswürdig.

    Ich will ja keine technische Analyse der Malware. Ich erwarte nur elementare Informationen. Darunter zählt für mich auch der Angriffsvektor. Nach der Zeit voller Spekulationen, Mutmaßungen, Rätselraten wäre doch ein offizielles Statement angebracht.

  • Die Frage ist ja aber auch, was eine öffentliche Bekanntmachung nach sich zieht... Wie sieht es dann mit der Sicherheit bei älteren Geräten aus? Wie umfangreich wären die Maßnahmen, um die Einfallstore zu schließen usw. Ich könnte fast vermuten, dass sie deshalb so "vorsichtig" mit ihren Äußerungen sind.


    Neulich hatte ich gelesen, dass ein Hersteller für Fernwartung einen Angriff auf deren Systeme bis heute nicht offiziell kommuniziert. Warum machen Firmen das dann wohl. 8o

  • EIne Synology...

    Jagnix: ...auch wenn ich nicht Jagi bin ;):beer:


    Gruss