Malwarebefall und geblockte Firmwareupdates

  • Hallo zusammen


    als ich letzte Woche per Zufall auf einen Beitrag gestossen bin wo erläutert wurde das ein Malwarebefall das Firmwareupdate behindern kann, wurde ich etwas stutzig, da ich, als ich etwas nachdachte, schon seit

    langem kein Update mehr vorgeschlagen bekommen habe.

    Dabei habe ich auch gemerkt, das im Appstore keine Updates vorhanden sind, der Malwareremover nicht in der Liste der downloadbaren Apps ist und die Firmware vom August 2018 ist.


    Also den Remover manuell installiert und durchlaufen lassen und siehe da, Malware gefunden. Wurde dann gemäss Log entfernt und das NAS habe ich neu gestartet. Sogleich wurden mir unzählige Updates im Appstore und auch für die Firmware vorgeschlagen. Natürlich gleich alle gestartet.


    Heute habe ich den Remover nun nocheinmal durchlaufen lassen und da kam schon wieder die gleiche Meldung. Irgendwas ist mit meiner autorun.sh. Ausserdem ist die Firmware wieder auf dem Stand vom August 2018.


    Weiss jemand woran das liegen kann? Die autorun.sh enthält nur kryptische Zeichenfolgen, ich kann den Inhalt gerne mal posten falls das was bringt.


    Vielen Dank für eure Hilfe.

  • Dann hat das säubern mit MR nicht viel geholfen, ich würde mich mit dem Thema DOM Recovery auseinander setzen.

    Und Du solltest Dir evtl. Gedanken machen, ob noch ein sauberes Backup der Daten vorhanden ist.


    Die Malware ist jedenfalls noch aktiv.

    Wobei m.E. auch ein "sauberer", selbst erstellter autorun.sh Eintrag als "Malware" gekennzeichnet wird (war bei mir so), aber kryptische Zeichen in der autorun.sh sind ganz sicher durch Malware verursacht.


    Gruss

  • … Malware gefunden. Wurde dann gemäss Log entfernt ...

    Das ist aber nur die halbe Miete!


    Malware zu entfernen ist eine Sache, aber du MUSST schon auch die Lücke schließen, wie sie rauf gekommen ist. Sonst säuberst du dir einen Wolf runter und flugs ist sie wieder (von außen?) oben.


    Was hast du für Lücken, ist dein NAS von außen erreichbar, verwendest du irgendwelche Clouds, etc.? Da musst du ansetzen, sonst kannst du das Entfernen gleich bleiben lassen.

  • Erstmal danke für eure Antworten.


    Nach dem säubern mit MR hiess es jeweils das NAS müsse neu gestartet werden. Habe ich so gemacht, die autorun.sh war aber noch gleich.


    Habe nun das cleanme.sh Skript laufen lassen, da gab es auch an das was gefunden wurde.


    Danach konnte ich die Firmware Updates einspielen, die Apps im Store aktualisieren und die autorun.sh ist nun leer.


      RedDiabolo Ja das NAS ist von aussen per DynDNS erreichbar, werde ich aber heute Abend gleich ausschalten und nur noch per VPN zugreifen. Clouds benutze ich keine, jedenfalls nicht in Verbindung mit dem NAS.

  • Und MR regelmäßig laufen lassen, kann man ja jetzt wunderbar einstellen im GUI. ;)

    Du solltest trotzdem versuchen herauszufinden, wie die Malware auf das NAS gekommen ist.


    Gruss

  • kann man denn irgendetwas genaueres rausfinden?
    ich bekomme jetzt schon zum dritten Mal


    Code
    [Malware Remover] Malware was detected and removed. You must restart the NAS.
    [Malware Remover] Detected high-risk malware. To maintain system security, change all user account passwords immediately.


    außerdem das hier

    Code
    [Malware Remover] The following infected file/folder was found and recovered: /tmp/config//autorun.sh


    ich sehe so ein file aber gar nicht ... /tmp/config scheint leer

  • Ist dein NAS über das Internet direkt erreichbar?

    Wenn ja stelle das sofort ab und lasse das clean me skript laufen.


    Stellst du den Infektionsweg nicht ab, passiert was immer wieder.

  • ja ist es und das hab ich auch schon abgeschaltet.

    Obwohl ich nicht weiß wie das funktioniert, ich hab doch alle Passwörter geändert.

    Dieses script bekomme ich woher?

    Ist es das hier aus der downloads-Sektion?


    https://forum.qnapclub.de/filebase/file/7-security-tool-für-qnap-nas-linux-macos-script/ 


    nachtrag:

    habs gefunden

    https://forum.qnap.com/viewtopic.php?t=144837&start=120

    Einmal editiert, zuletzt von verstaerker ()

  • Tja, gute Frage...

    Dazu musst Du Dein NAS und Netzwerk untersuchen.

    Welche Apps liefen da, welche Ports waren offen, ...

    Anhaltspunkte gibt es im Forum dazu genug, welchen konkreten Weg die Malware bei Dir gegangen ist, das kann wohl niemand von außen beurteilen.


    Gruss

  • Moin. Ich hatte das ganze auch schonmal und habe inzwischen mit Hilfe vom Support das ganze System wieder gesäubert und ordentlich zum laufen gebracht. Heute morgen hab ich aber wieder die Meldung bekommen das Malware entfernt wurde und ich die Passwörter ändern soll. Leider ist die Aussage sehr ungenau. Mich würde interessieren, ob ich irgendwie sehen kann was und wo etwas entfernt wurde. Mein System scannt jeden Tag nach dem Neustart und wurde gestern überhaupt nicht genutzt. Außerdem habe ich die 2 Faktor Authentifizierung aktivert. LG

  • Moin,


    hast du alle Geräte in deinem Netzwerk auch gescannt?

    Falls nicht ... tja ... das ganze Spiel von vorne und diesmal alle Geräte, welche einen Zugang zu deinem Netz haben scannen.

    Bete das es nicht von einem Smarthome Ding kommt. Ich habe diese in ein extra VLAN gesperrt. Genau wegen diesen Gründen.


    VG

    Friis