Reparatur App-Liste

    Nach der kürzlichen Malware auf meinem TS251, hab ich laut Security Advice die etc/hosts geprüft (sauber), den Malware Remover aktualisiert und laufen lassen, das derek be gone Script ausgeführt mit entsprechenden Bereinigungen der Infektionen. Updates von Malware Remover, Virenscanner und Firmware sind nicht mehr nötig da aktuell.

    Trotzdem meldet mir der Malware Remover täglich, dass die App-Liste des AppCenters repariert wurde. Was läuft da schief? Klappt die Reparatur nicht? Wird er immer wieder verseucht? Was kann ich tun, um das prüfen und zu bereinigen?

    Hast Du auch die Ursache für die Verseuchung abgestellt, d.h. geöffnete Ports geschlossen etc.?

    Soweit ich die Diskussionen hier verfolge, kannst Du nur bei einer kompletten Neuinitialisierung des NAS, incl. DOm Löschung, sicher sein, dass das NAS sauber ist. Suche dazu mal im Bereich der Anleitungen zu Herstellung des Fabrikzustandes. Ist aber eine größere Aktion.

    Bin mir nicht mal sicher, dass das NAS verseucht ist.

    Das Script löscht einfach zur Sicherheit die App-Liste, die bei erstem Aufruf der App-Seite neu erstellt wird.


    Als kleiner Gegencheck würde ich mit dem Script (Derek) mal die App-Liste löschen lassen und danach NICHT (!) mehr die App-Seite aufmachen.

    Starte das NAS danach mal neu und lass es etwas laufen, dann starte den Derek nochmals. Bin mir sicher dass er dann nichts mehr säubert, da keine App-Liste aufgebaut wurde …


    Falls doch, hast du entweder die Apps nochmals geöffnet, oder, was noch schlimmer wäre, doch etwas "eingetreten" was nicht sein sollte ...

    Bei mir wird nach jedem Neustart diese Meldung erzeugt.

    Ich glaube dennoch nicht das es durch Malware verursacht wird.

    Ich hoffe das es bald mehr Infos dazu gibt.


    Gruss

    Code
    127.0.0.1:58080/Liveupdate/QTS4.3.5/qpkgcenter_%s.xml


    Kurze Ergänzung: Wenn ich die url aufrufe, natürlich mit richtiger ip, kommt nix. Ausserdem sagt mein NAS es hätte die 4.3.6. (allerdings ist das schon wieder 10min her und ich hab manchmal Alzheimer).

    Einmal editiert, zuletzt von was19 ()

    Du hast die Malware noch drauf.


    Zitat von was19

    Ausserdem sagt mein NAS es hätte die 4.3.6.

    Das ist korrekt. Die 4.3.6 gehört zum 4.3.5er Zweig.


    Bitte nochmal das aktuellste dbg-Script laufen lassen.


    curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh

    Bei mir hat es geholfen eine autorun.sh anzulegen in der ein aktueller Pfad zum Appcenter gesetzt wird, damit wird diese Meldung nicht mehr erzeugt! 8)


    Der Pfad der bei mir eingetragen ist war vermutlich

    1. veraltet und

    2. ist es bei mir keine Original QNAP FW, sondern die von Fujitsu gelabelte.


    Das mocht der MR offenbar nicht.


    Aber dr_mike sei Dank ist das nun gelöst.

    Laut Support hätte ich auch alles Neuaufsetzen inkl. DOM Recovery machen sollen :rolleyes:.


    Gruss

    FSC830

    Bei dir ist es tatsächlich der FTS-FW geschuldet. Die Links laufen auf korrekte Adressen.

    Anders hier in dem Fall. Da wird auf lokalhost gelinkt. Das deutet auf Malware hin.

    Also ich hab das Script noch ein paar mal laufen lassen.

    Dabei wird die /etc/config/rssdoc/qpkgcenter_ger.xml entfernt. Lass ich das Script gleich nochmal laufen, ist alles clean. Starte ich das NAS neu und lasse dann das Script nochmal laufen, wird die xml wieder entfernt. Ich hab am Router die offenen Ports gekappt, nach nem Neustart muss die xml wieder dran glauben. Daraus schließe ich, dass die Infektion im NAS selbst lauert.

    Mangels Platz möchte ich das NAS ungern komplett zurücksetzen.

    Ideen/Vorschläge?

    Auch wenn du es nicht gern hörst:

    Um eine komplette Neuinitialisierung wirst Du wohl nicht herumkommen, d.h. auch eine Neusicherung wird da anstehen.

    Das würde ich aufgeben.

    QNAP scheint derzeit vollauf damit beschäftigt zu sein, diese Malware zu analysieren und Gegenmittel zu finden.

    D.h. entweder schaltest Du das NAS jetzt bis auf weiteres aus und hoffst, das es mal eine robuste Desinfektionsmöglichkeit gibt, oder Du machst Dich dran und säuberst das NAS gründlich.

    Nebenbei würde ich auch alle meine Hardware, die im selben Netz wie das NAS war oder ist, mal gründlich auf Malware prüfen, am Besten mit offline Scannern. Leider viel Arbeit, aber notwendig.

    Zitat von was19

    Mangels Platz möchte ich das NAS ungern komplett zurücksetzen.

    Entsprechend gibt es vermutlich auch kein Backup von der NAS? Wenn jetzt ein Blitz durch die Leitung geflogen wäre, wäre eventuell alles unwiederbringlich weg gewesen.

    Sehe die Infektion als Schuss vor den Bug an und überlege dir ein Konzept für den Katastrophenfall.

    Und hast du ein Konzept für den Fall, dass der Mond auf die Erde stürzt? Wie ich das Internet liebe... Man stellt mehr oder weniger konkrete Fragen und bekommt Meinungen, die einem nicht weiterhelfen. Hätte ich wichtige Daten drauf, würde ich diese Anregung evtl. ernst nehmen. Aber nur weil ich auf den Inhalt auch verzichten könnte, muss ich deswegen noch lange nicht unüberlegt den Löschen-Knopf drücken oder ganze Batterien an Backup-Systemen kaufen.


    Sinnvolle Antworten sind gern willkommen.

    Zitat von was19

    Und hast du ein Konzept für den Fall, dass der Mond auf die Erde stürzt?

    Ich bin Informatiker, kein Astrophysiker, daher leider nicht.


    Zitat von was19

    Man stellt mehr oder weniger konkrete Fragen und bekommt Meinungen, die einem nicht weiterhelfen.

    Das ist ne subjektive Meinung. Ich bin mir sicher wer anders wäre für den Tipp dankbar gewesen.

    Zitat von was19

    Hätte ich wichtige Daten drauf, würde ich diese Anregung evtl. ernst nehmen.

    Meine Glaskugel muss wohl gerade etwas trüb gewesen sein das ich das nicht gesehen habe.

    Hallo Udo!

    Zitat von UdoA

    Auch wenn du es nicht gern hörst:

    Um eine komplette Neuinitialisierung wirst Du wohl nicht herumkommen, d.h. auch eine Neusicherung wird da anstehen.

    Ist das eine Vermutung von Dir oder weißt Du, wie die Malware auf das System kommt, was sie dort tut und dass sie nur durch Neu-Aufsetzen zu bereinigen ist?


    Falls Du es weißt, ist es sicher im Interesse aller hier, mehr Informationen darüber zu erhalten.

    Falls Du es nicht weißt, finde ich Deine Aussage unseriös und nicht hilfreich.


    Zitat von UdoA

    Das würde ich aufgeben.

    QNAP scheint derzeit vollauf damit beschäftigt zu sein, diese Malware zu analysieren und Gegenmittel zu finden.

    D.h. entweder schaltest Du das NAS jetzt bis auf weiteres aus und hoffst, das es mal eine robuste Desinfektionsmöglichkeit gibt, oder Du machst Dich dran und säuberst das NAS gründlich.

    Nebenbei würde ich auch alle meine Hardware, die im selben Netz wie das NAS war oder ist, mal gründlich auf Malware prüfen, am Besten mit offline Scannern. Leider viel Arbeit, aber notwendig.

    Oder ein Benutzer entscheidet sich dafür, auch auf einem befallenen Gerät (erst einmal) gar nichts zu machen und einfach abzuwarten.

    Sein Gerät, seine Daten, seine Entscheidung.


    Gruß!

    Tim

    Zitat von Timpov

    Ist das eine Vermutung von Dir oder weißt Du, wie die Malware auf das System kommt, was sie dort tut und dass sie nur durch Neu-Aufsetzen zu bereinigen ist?


    Ist ja nicht die erste Malware Attacke auf Qnap. Die vorherigen Attacken haben aber gezeigt das man nur mit einer kompletten Neuinitialisierung ggf. inkl. Firmwarerecovery auf Nummer sicher gehen kann.

    Aber in der Tat:

    Die Entscheidung, was man tut, liegt bei jedem selbst, das Forum hier gibt nur Hilfestellungen, Anleitungen und Ratschläge, was man damit tut, muß jeder selbst wissen, ist ja ein freies Land.:)