derek-be-gone.sh - version 1.4 auf alter NAS starten ...

Nach diversen Schreckensmeldungen bin ich etwas unsicher geworden und wollte mal eben meine beiden älteren NAS'en (TS-212 und TS-412 mit QTS 4.2.5) checken.

Das Script "derrek-be-gone.sh" findest sich mittlerweile unter der Version 1.4 wieder und ist ziemlich abgemagert worden, es prüft nur mehr die CPU und lädt ein Binärie nach, kein sh Script.

Also lade ich mir das Script unter https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh runter, kopiere es auf die TS-212, setze die Rechte auf ausführbar und starte es.

[~] # /tmp/derek-be-gone_loader.sh
ERROR: cannot verify download.qnap.com's certificate, issued by ‘/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon’:
  Unable to locally verify the issuer's authority.
To connect to download.qnap.com insecurely, use `--no-check-certificate'.
*** IF MALWARE IS DETECTED, NOW REBOOT THE NAS AND CHANGE USER PASSWORDS ***

Das Script will irgendwie nicht auf der alten NAS, oder liegt es an der QTS 4.2.5? Wie auch immer, man versucht der Sache auf den Grund zu gehen.

Im Script passiert nicht viel, CPU check und dowload der richtigen Derek-be-gone binäries:

case "$(uname -m)" in
    *x86_64*)
        arch=x86_64
        ;;
    *aarch*)
        arch=aarch64
        ;;
    *armv7*)
        arch=armv7
        ;;
    *armv5*)
        arch=armv5
        ;;
    *i*86*)
        arch=i686
        ;;
    *)
        echo "This model not supported yet, please come back later"
        exit 1
        ;;
esac

bin="derek_be_gone_$arch"
ts=$(date +%s)
wget -nv -O "$bin" "https://download.qnap.com/Storage/tsd/utility/${bin}?t=${ts}" 
chmod +x "./$bin" && "./$bin"
echo "*** IF MALWARE IS DETECTED, NOW REBOOT THE NAS AND CHANGE USER PASSWORDS ***"

Ich führe den CPU-Check manuell durch, mein NAS ist ein "armv5" also mache ich mir mein eigenes Derek-script und starte es diesmal auf der TVS-882 (QTS 4.3.3), aber lasse es nicht ausführen, sondern nur downloaden !!!

arch=armv5
bin="derek_be_gone_$arch"
ts=$(date +%s)
wget -nv -O "$bin" "https://download.qnap.com/Storage/tsd/utility/${bin}?t=${ts}" 

Damit bekomme ich endlich den richtigen Download und habe ein Binärie "derek_be_gone_armv5", das ich auf das TS-212 kopieren kann:

[~] # /tmp/derek-be-gone_TS-212.sh
2019-02-20 19:54:30 URL:https://download.qnap.com/Storage/tsd/utility/derek_be_gone_armv5?t=1550688865 [611412/611412] -> "derek_be_gone_armv5" [1]

Endlich auf der TS-212 starte ich das Binärie und bin erst mal überrascht:

[~] # /sbin/derek_be_gone_armv5
>>> derek-be-gone v1.4
[i] System path: /share/MD0_DATA
---
[o] Removing fake qpkg
[i] No malware was found
---
[o] Sterilising infected shell script
[i] No malware was found
---
[o] Cleaning DOM
 [*] Removing /tmp/config/autorun.sh
  [+] Success!
[!] Malware was found and cleaned
---
[o] Refreshing XML
 [*] Removing /etc/config/rssdoc/qpkgcenter_eng.xml
  [+] Success!
[i] Done
---
[o] Reinstalling Malware Remover
 [*] Removing /share/MD0_DATA/.qpkg/MalwareRemover/
  [+] Success!
 [*] ERROR: cannot verify download.qnap.com's certificate, issued by ‘/C=US/O=Amazon/OU=Server CA 1B/CN=Amazon’:
  Unable to locally verify the issuer's authority.
To connect to download.qnap.com insecurely, use `--no-check-certificate'.
 [*] Archive:  MalwareRemover_3.4.1_20190125_182348.zip
unzip: MalwareRemover_3.4.1_20190125_182348.zip: No such file or directory
  [-] Failed
[!] Installation failed
---
Finished!
[~] #

Den MalwareRemover installiere ich mir wieder manuell (entweder über App-Store oder als QPKG, das ich mir vorher runter lade), da irgend ein "certificate" schon wieder nicht passen will

Was mich aber mehr wundert, wieso meldet mir der Derek, dass er die /tmp/config/autorun.sh gesäubert hat? Da habe ich vorher mit dem WinSCP nachgesehen, der Ordner war leer, das gleiche meldet er mir auf der anderen 412'er und auf der TVS-882 (QTS 4.3.3)! Keine meiner NAS'en ist von außen erreichbar, noch habe ich Auffälligkeiten (etc/hosts, etc.) …

Und das "Säubern" der /etc/config/rssdoc/qpkgcenter_eng.xml wirkt für mich auch etwas sonderbar, das ist doch der APP-Katalog der QNAP Seite

Ich werden den Verdacht nicht los, dass ich mir da etwas "eingetreten" habe … aber nicht von außen, sondern vom QNAP-Server, und zwar einen kompromittierten APP-Katalog, der jetzt mit dem Derek-Script still und heimlich wieder weggebügelt werden sollte ...

PS.: Ein Nachtrag, habe den "derek" jetzt nochmals laufen lassen, die qpkgcenter_eng.xml löscht er IMMER! Mit einem Klick auf das [App Center] ist sie wieder da … man traut sich halt selber nicht.

Das App Center lädt den Katalog nach, der "derek" löscht ihn zur Sicherheit gleich wieder … da beißt sich die Katze in den Schwanz.

Zitat von Jagi

Music Station lücke. Die hast du nicht rechtzeitig geschlossen ...

WTF … die hätte ich erst mal aktivieren müssen, damit ich sie dann schließen kann

Diesen ganzen "Krempel" habe ich doch gar nicht laufen … das packt die alte NAS gar nicht ...

Zitat von Jagi

Nein nein.

Keine Sorge, das war Ironie genug … das habe ich schon so verstanden

Hmm, ja, … diese Systemmeldung habe ich heute auch zum ersten Mal gesehen … nachdem "derek" aufgeräumt hat

2019-02-20 23_25_16-.png

Zitat von FSC830

Und was die Meldung bedeutet hat mir QNAP auch nicht verraten 🙁, nur ein FW Recovery empfohlen.

Echt jetzt? Ein FW Recovery auf Verdacht, bei einem nicht mehr supportetem NAS?

Wenn das Recovery auf der alten 212/412 schief geht brauch ich beim Support auch nicht mehr anklopfen (NAS zu alt) und kann mir gleich ein neues kaufen. Dafür weiß ich dann nicht, ob es notwendig gewesen wäre?