Nach diversen Schreckensmeldungen bin ich etwas unsicher geworden und wollte mal eben meine beiden älteren NAS'en (TS-212 und TS-412 mit QTS 4.2.5) checken.
Das Script "derrek-be-gone.sh" findest sich mittlerweile unter der Version 1.4 wieder und ist ziemlich abgemagert worden, es prüft nur mehr die CPU und lädt ein Binärie nach, kein sh Script.
Also lade ich mir das Script unter https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh runter, kopiere es auf die TS-212, setze die Rechte auf ausführbar und starte es.
[~] # /tmp/derek-be-gone_loader.sh
ERROR: cannot verify download.qnap.com's certificate, issued by ‘/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon’:
Unable to locally verify the issuer's authority.
To connect to download.qnap.com insecurely, use `--no-check-certificate'.
*** IF MALWARE IS DETECTED, NOW REBOOT THE NAS AND CHANGE USER PASSWORDS ***
Das Script will irgendwie nicht auf der alten NAS, oder liegt es an der QTS 4.2.5? Wie auch immer, man versucht der Sache auf den Grund zu gehen.
Im Script passiert nicht viel, CPU check und dowload der richtigen Derek-be-gone binäries:
case "$(uname -m)" in
*x86_64*)
arch=x86_64
;;
*aarch*)
arch=aarch64
;;
*armv7*)
arch=armv7
;;
*armv5*)
arch=armv5
;;
*i*86*)
arch=i686
;;
*)
echo "This model not supported yet, please come back later"
exit 1
;;
esac
bin="derek_be_gone_$arch"
ts=$(date +%s)
wget -nv -O "$bin" "https://download.qnap.com/Storage/tsd/utility/${bin}?t=${ts}"
chmod +x "./$bin" && "./$bin"
echo "*** IF MALWARE IS DETECTED, NOW REBOOT THE NAS AND CHANGE USER PASSWORDS ***"
Alles anzeigen
Ich führe den CPU-Check manuell durch, mein NAS ist ein "armv5" also mache ich mir mein eigenes Derek-script und starte es diesmal auf der TVS-882 (QTS 4.3.3), aber lasse es nicht ausführen, sondern nur downloaden !!!
arch=armv5
bin="derek_be_gone_$arch"
ts=$(date +%s)
wget -nv -O "$bin" "https://download.qnap.com/Storage/tsd/utility/${bin}?t=${ts}"
Damit bekomme ich endlich den richtigen Download und habe ein Binärie "derek_be_gone_armv5", das ich auf das TS-212 kopieren kann:
[~] # /tmp/derek-be-gone_TS-212.sh
2019-02-20 19:54:30 URL:https://download.qnap.com/Storage/tsd/utility/derek_be_gone_armv5?t=1550688865 [611412/611412] -> "derek_be_gone_armv5" [1]
Endlich auf der TS-212 starte ich das Binärie und bin erst mal überrascht:
[~] # /sbin/derek_be_gone_armv5
>>> derek-be-gone v1.4
[i] System path: /share/MD0_DATA
---
[o] Removing fake qpkg
[i] No malware was found
---
[o] Sterilising infected shell script
[i] No malware was found
---
[o] Cleaning DOM
[*] Removing /tmp/config/autorun.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Refreshing XML
[*] Removing /etc/config/rssdoc/qpkgcenter_eng.xml
[+] Success!
[i] Done
---
[o] Reinstalling Malware Remover
[*] Removing /share/MD0_DATA/.qpkg/MalwareRemover/
[+] Success!
[*] ERROR: cannot verify download.qnap.com's certificate, issued by ‘/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon’:
Unable to locally verify the issuer's authority.
To connect to download.qnap.com insecurely, use `--no-check-certificate'.
[*] Archive: MalwareRemover_3.4.1_20190125_182348.zip
unzip: MalwareRemover_3.4.1_20190125_182348.zip: No such file or directory
[-] Failed
[!] Installation failed
---
Finished!
[~] #
Alles anzeigen
Den MalwareRemover installiere ich mir wieder manuell (entweder über App-Store oder als QPKG, das ich mir vorher runter lade), da irgend ein "certificate" schon wieder nicht passen will
Was mich aber mehr wundert, wieso meldet mir der Derek, dass er die /tmp/config/autorun.sh gesäubert hat? Da habe ich vorher mit dem WinSCP nachgesehen, der Ordner war leer, das gleiche meldet er mir auf der anderen 412'er und auf der TVS-882 (QTS 4.3.3)! Keine meiner NAS'en ist von außen erreichbar, noch habe ich Auffälligkeiten (etc/hosts, etc.) …
Und das "Säubern" der /etc/config/rssdoc/qpkgcenter_eng.xml wirkt für mich auch etwas sonderbar, das ist doch der APP-Katalog der QNAP Seite
Ich werden den Verdacht nicht los, dass ich mir da etwas "eingetreten" habe … aber nicht von außen, sondern vom QNAP-Server, und zwar einen kompromittierten APP-Katalog, der jetzt mit dem Derek-Script still und heimlich wieder weggebügelt werden sollte ...
PS.: Ein Nachtrag, habe den "derek" jetzt nochmals laufen lassen, die qpkgcenter_eng.xml löscht er IMMER! Mit einem Klick auf das [App Center] ist sie wieder da … man traut sich halt selber nicht.
Das App Center lädt den Katalog nach, der "derek" löscht ihn zur Sicherheit gleich wieder … da beißt sich die Katze in den Schwanz.