Reparatur App-Liste die 2.te

    Aus aktuellem Anlass muss ich das Thema mit der täglichen Reparatur der App-Liste durch den MalwareRemover nochmal aufwärmen.

    Das NAS ist vom I-Net routerseitig getrennt. Das letzte Firmware-Update hat an der täglichen Reparatur nichts geändert. An der Konfiguration hat sich nichts verändert, neue Apps sind auch nicht hinzugekommen. Also seit Wochen immer das gleiche... Reparatur der AppListe.

    Aber heute hat mich der Security Counselor auf ein High Risk hingewiesen. Die Aktualisierung der Firmware kann wieder nicht geprüft werden. Auch die App-Liste zeigt keine Updates an, obwohl es neue gibt und der MalwareRemover täglich die Liste repariert. Ich hab ihn nochmal gestartet und prompt sind die App-Updates wieder verfügbar.

    Was ist also heute passiert? Ist die Malware wieder aktiv geworden?

    Hat die Malware eigentlich nen Namen... SleepingDerek z.B...


    :handbuch:

  • was19

    Hat den Titel des Themas von „Reparatur App-Liste“ zu „Reparatur App-Liste die 2.te“ geändert.

    Die üblichen checks hast Du schon durch?

    Also /etc/hosts, crontab, sonstige ungewöhnliche .sh Dateien?


    Welcher Pfad steht denn in der /etc/default_config/uLinux.conf für das AppCenter?

    Die Zeile heißt QPKG CENTER XML.


    Gruss

    Wenn du das NAS vom Inet getrennt hast, im Router, wie soll es dann im Internet nach neuer Firmware oder nach neuen Apps nachsehen?

    die url lautet

    http://127.0.0.1:58080/Liveupdate/QTS4.3.5/qpkgcenter_%s.xml

    Für die Firmware steht da auch eine lokale Adresse.

    Hosts-datei ist sauber

    Crontab sieht sauber aus, allerdings kann ich da auch nicht mit allem was anfangen. Mangels Kenntnisse änder ich da aber nichts.

    Das derek-be-gone-script lief schon mal drüber.

    Mit der Treenung vom I-Net meinte ich, dass das NAS nicht aus dem I-Net erreichbar ist.

    Zitat von was19

    die url lautet

    http://127.0.0.1:58080/Liveupdate/QTS4.3.5/qpkgcenter_%s.xml

    Echt? http://127.0.0.1?

    Das ist deine eigene "LoopBack" IP-Adresse, da kommst du nirgends hin, ist eher so wie wenn du vor dem Spiegel stehst und dich selber ansiehst …


    Bei mir steht in der

    Code: /etc/default_config/uLinux.conf
    QPKG CENTER XML = https://download.qnap.com/Liveupdate/QTS4.3.3/qpkgcenter_%s.xml
Live Update XML = https://update.qnap.com/FirmwareReleaseS.xml


    Wäre das vernünftigste, die FW, die du bereits oben hast, manuell mit dem Rechner herunter zu laden und mit dem QFinder nochmals drüber installieren.

    dass die lokale Adresse nicht stimmt, haben wir ja bereits in meinem anderen Thread zur App-Listen-Reparatur festgestellt.

    Kann ich die in der Datei einfach korrigieren oder geht das nicht? Wird aber wohl nichts bringen, weil das ja wohl täglich wieder zurückgesetzt wird.

    Hat sonst niemand das Problem, dass die Malware scheinbar wieder aktiv wurde?

    Zitat von was19

    Kann ich die in der Datei einfach korrigieren oder geht das nicht? Wird aber wohl nichts bringen, weil das ja wohl täglich wieder zurückgesetzt wird.

    Im Grunde hast du


    1. die Frage schon selber beantwortet -> bringt nichts

    2. gehe ich aufgrund deiner Fragestellung davon aus, dass du meinen Rat ignorierst und die FW nicht nochmals "drüberbügeln" willst …


    Mehr kann ich da jetzt auch nicht mehr beitragen, außer die zweite Frage beantworten:

    Nö, bei mir ist die Malware nicht (wieder) aktiv, war sie aber auch nicht (so weit ich das beurteilen kann)

    Das letzte Firmware-Update hab ich gedownloadet und manuell installiert. Ohne Änderung.

    Ich überlege momentan das Nas komplett zurückzusetzen. Wäre es sinnvoll das Dom mit zurückzusetzen. Das erscheint mir kompliziert und fehleranfällig.

    Tja, da die QPKG Adresse immer wieder geändert wird, ist aber ein DOM Recovery vermutlich das Einzige was helfen wird.

    Man könnte jetzt theoretisch auch per autostart.sh die URL in der Datei immer umbiegen (so mache ich es), aber bei mir ist aufgrund einer OEM Version eine veraltete Adresse enthalten, keine lokale IP.

    Daher gehe ich davon aus das Dein NAS, im Gegensatz zu meinem, tatsächlich mit Malware befallen ist.

    Was sonst sollte die Adresse auf localhost umbiegen?


    Und da sind wir wir beim ersten Satz angelangt...


    Gruss

    Du kannst ja zuerst mal einen vollständigen Reset mit drüber bügeln der neuen Firmware versuchen, wenn der Mist dann wieder erscheint, dann hilft nur DOM Recovery.

    Zitat von Crazyhorse

    drüber bügeln der neuen Firmware

    Das wird das Problem nicht beheben. Hier hilft nur komplettes Neuaufsetzen ohne Einspielen irgendwelcher Einstellungssicherungen. D.h. die Platten müssen jungfräulich leer sein und vorher ein FW-Update ohne Platten gemacht worden sein.

    Auch ohne Platten sollte auf der Konsole der Konfigurationsbereich des DOM geprüft und gegebenenfalls bereinigt werden. Dabei nach Unmounten des Konfigbereiches das NAS hart abschalten. Sonst kann beim Herunterfahren ein im System schlummernder Schadprozess diesen Bereich wieder modifizieren.

    Dr. mike... Wie wäre es mit ner kleinen Anleitung ohne linux-Fachchinesisch. Ich bin eher Windows-Anwender...

    Zitat von was19

    Anleitung ohne linux-Fachchinesisch

    Wird nicht funktionieren, wenn man sich auf der Linux-Konsole befindet.;)


    Kurzanleitung:

    • Daten vom NAS auf externe Platten sichern
    • Platten entnehmen und an einem Rechner anschliessen
    • mit der Datenträgerverwaltung alle Partitionen auf der/den Platte/n entfernen
    • neueste FW herunterladen und per Qfinder auf das NAS aufspielen
    • mit Putty auf die Konsole gehen
    • DBG-Script ausführen curl https://download.qnap.com/Stor…/utility/derek-be-gone.sh | sh
    • sollte dieses nicht laufen, weil noch keine Platten im System sind dann(***):
      • den Konfigbereich nach /tmp/config mounten
      • wenn autorun.sh vorhanden obwohl nicht selbst erstellt, dann diese löschen
      • den Konfigbereich unmounten umount /tmp/config
      • NAS hart abschalten
    • gelöschte Platten einbauen
    • NAS neu aufsetzen

    (***) oder anhängendes Script verwenden

    So ich hab mich durchgerungen und bin deiner Anleitung gefolgt. Bisher gibt es keine Anzeichen, dass die Malware das überlebt hat.

    Auch im Bereich /etc/config/ nach seltsamen Dateinamen Ausschau halten, bei mir war es die Datei "Xhon.VobjHVUDoyfe" mit folgendem Inhalt:


    Code
    Port 51163
StrictModes no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePrivilegeSeparation no
HostKey "/etc/config/ddalbjuy"
AuthorizedKeysFile "/etc/config/fVzvfbdK.PhwzwZvm"

    ...hier wurde ein Keyfile für die Anmeldung auf die QNAP gespielt.


    Dann noch eine Kleinigkeit, wenn der MalwareRemover ein paar Dateien nicht löschen oder bereinigen kann - bei mir die autorun.sh und zwei weitere MalwareSkripte im /tmp/config - und auch der root account dies augenscheinlich nicht darf.....



    Code
    rm: can't remove 'autorun.sh': Operation not permitted 
rm: can't remove 'K017liveupdate.sh': Operation not permitted
rm: can't remove 'K01aPYWeoBNNW.sh': Operation not permitted


    ....einfach mal mal mit lsattr die Attribute der Datei anzeigen lassen - sollte dort ein "a" (hier dürfen nur weitere Inhalte in die Datei angehängt werden) oder ein "i" (hier darf mit der Datei grob nichts mehr gemacht werden) das Ganze mit


    chattr -a DATEINAME bzw. chattr -i DATEINAME 


    entfernen und dann die Dateien löschen :)

    Hallo trackerd,

    Zitat von trackerd

    Auch im Bereich /etc/config/ nach seltsamen Dateinamen Ausschau halten, bei mir war es die Datei "Xhon.VobjHVUDoyfe" mit folgendem Inhalt [...]

    möchtest Du vielleicht auch ein paar Angaben zur Analyse der Malware beisteuern?

    Falls ja, findest Du in diesem Beitrag ein Spreadsheet dafür.


    Danke und Gruß!

    Tim