Malware - QTS SSL Certificate

  • Hallo,

    ich wollte kurz von meinem rätselhaften Befall berichten.

    Zunächst kurz die Übersicht über den Server:

    • TS-212
    • Firmware 4.3.3.0998 (damit aktuell)
    • Wird nur als Backupserver genutzt
    • Ist nicht vom Internet zu erreichen (Private IP, kein DDNs oder ähnliches)
    • kein Benutzeraccount eingerichtet, nur ich kenne das PW

    Auf dem Server sind nur sehr wenige Apps Installiert:

    • Helpdesk 3.0.0
    • Maleware Remover 3.5.2
    • Hybrid Backup 2.1 190709
    • Cloud Backup 2.1.670 (aber kein Clouddienst eingerichtet)
    • Backup Versionsion 1.0.0428
    • Antivirus
    • QTS SSL Cert 2.2.11

    Alle Apps damit auf dem aktuellsten Stand


    Heute sprang Maleware Remover Mittags an (üblicherweise macht der den Scan schon um 7:00 Uhr) und spuckte folgende Warnungen aus:

    Code
    Server Name: ZZZ IP Address: 192.168.XX.YY Date/Time: 29.08.2019 14:03:14 Level: Warning
    [Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.
    [Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.
    [Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.


    Zusammengefasst: Die wenigen installierten Apps sind aktuell, Firmware ist aktuell, Server nicht vom Internet erreichbar, QTS hatte ich nie in Betrieb.

    Eine Idee über den Einfallsvektor? Oder was passiert ist? Möchte einen Befall für das nächste Mal verhindern.


    PS: Alle meine anderen QNAP Server laufen ohne Befund. Den betroffenen Server werde ich natürlich komplett löschen und komplett neu aufsetzen


    -- Update--

    - Reboot Befehl wird vom System ignoriert (sowohl via Console als auch via GUI)

    - Beim Öffnen von MalewareRemover kommt nun eine Fehlermeldung, das Malewareremover nicht gefunden wurde.

    2 Mal editiert, zuletzt von Homie () aus folgendem Grund: Neuigkeiten, Rechtschreibung korrigiert

  • bei mir ist es ähnlich. malewareremover startete ohne mein zutun und gab die selben meldungen aus wie bei dir. mein nas hängt immer am internet mit win10 vm und linux station und hat sehr viele apps installiert. vor paar tagen habe ich ein qts update gemacht und gestern plex.. sonst alles normal. keine fremden ip´s verbunden usw....


    mein system läuft auch nach einem neustart (vor 3min) scheinbar normal...

    das einzig "komische" ist das nach neustart der malewareremover die meldung brachte er wäre fertig für 15sekunden bei 97% stehen blieb und dann nochmal die meldung kam er wäre fertig. steht auch 2x im ereignislog.

  • Ist auf dem Router UPnP aktiv?

    Wenn logs vorhanden diese kontrollieren wann welches Device hier Ports vom Internet auf sich selbst geöffnet hat.

  • Siehe anderen Thread...bei mir ist es exakt genauso Homie.

    Eine TS-112 als Backup NAS (allerdings aus dem Internet erreichbar), mit exakt den 3 gleichen Fehlermeldungen und sie läßt sich auch nicht mehr rebooten.

  • Crazyhorse: UPnP ist im gesammten Netz abgeschatet, inbesondere beim Router.


    Der Befehl zum Neustart wird übrigens doch nicht ignoriert, es dauert 'nur' 2 Stunden bis zum Runterfahren (Hochfahren geht normal schnell).

    Ich habe nun den Server, wie schon angekündigt, platt gemacht.

    Das Irre ist: Server vom Internet nicht erreichbar und dennoch hat es mich erwischt.

    Mal so nebenbei: Auf dem Server tauchten Prozesse wie z. B. "Qk104hybridBack" auf. Immer "Buchstaben-Zahl-Prozessname". Kann das solch ein schädlicher Prozess gewesen sein?


    -- Edit --

    Nach Neuaufsetzen des Servers Malware Remover installiert und ohne Probleme laufen lassen. Dann "Hybrid Backup Sync" (incl was daran automatisch mit daran hängt) installiert und schon kommen wieder die Meldungen über Malware, auch bezüglich QTS. Nur die App habe ich gar nicht auf dem Server.

    Ich tippe daher auf ein Problem bei der Backupsoftware.

    Daher verweise ich nun auf dieses Thema: Klick hier

    ---

    2 Mal editiert, zuletzt von Homie () aus folgendem Grund: Neuigkeiten

  • Homie

    Hat den Titel des Themas von „Maleware - QTS SSL Certificate“ zu „Malware - QTS SSL Certificate“ geändert.
  • kommen wieder die Meldungen über Malware, auch bezüglich QTS. Nur die App habe ich gar nicht auf dem Server.

    Mittlerweile sollte sich rumgesprochen haben, dass QTS die Firmware ist.;)

  • Bei mir kam die Meldung gestern Abend auch, ich vermute da einen Fehlalarm durch ein defektes Pattern Update.


    Eine andere Möglichkeit, QNAP selber hat einen infizierten Webserver, der bei QTS Update Anfragen Schadcode ausgeliefert hat.


    Gerade das Cleanme laufen lassen, dieses konnte aber nichts finden.


    Tippe auf erstes, da ich mein NAS gestern für das Internet gesperrt hatte, dann kam ein Neustart der normal verlief und um 3 Uhr trotzdem die Meldung das wieder was gefunden wurde.

    Wäre also nicht der erste Virenschutz der durchdreht.

  • Wäre also nicht der erste Virenschutz der durchdreht.

    Könnte durchaus sein. Seit MR 3.5.2 macht meiner 2 Scans am Tag, obwohl in den Einstellungen nur einer eingestellt werden kann und auch in der Crontab nur ein Job eingetragen ist. Immer schon brav zu der selben Zeit als der letzte Neustart durchgeführt wurde, aber nur auf 2 von 3 baugleichen NAS. Verstehe wer will.

  • Genau dasselbe bei mir gestern Abend. OK er ist erreichbar, aber in den letzten Monaten kam es immer wieder zu ähnlichen Problemen. Hab die Kiste manuell abgeschaltet und fern geschaut. Momentan ist mein Qnap Gerät leider das Problem in meiner IT.

    Muss wahrscheinlich die beiden HDD ausbauen und die Kiste komplett neu aufsetzen. Aber nicht am Wochenende :)

    Schönes Weekend!