Hallo,
ich wollte kurz von meinem rätselhaften Befall berichten.
Zunächst kurz die Übersicht über den Server:
- TS-212
- Firmware 4.3.3.0998 (damit aktuell)
- Wird nur als Backupserver genutzt
- Ist nicht vom Internet zu erreichen (Private IP, kein DDNs oder ähnliches)
- kein Benutzeraccount eingerichtet, nur ich kenne das PW
Auf dem Server sind nur sehr wenige Apps Installiert:
- Helpdesk 3.0.0
- Maleware Remover 3.5.2
- Hybrid Backup 2.1 190709
- Cloud Backup 2.1.670 (aber kein Clouddienst eingerichtet)
- Backup Versionsion 1.0.0428
- Antivirus
- QTS SSL Cert 2.2.11
Alle Apps damit auf dem aktuellsten Stand
Heute sprang Maleware Remover Mittags an (üblicherweise macht der den Scan schon um 7:00 Uhr) und spuckte folgende Warnungen aus:
Server Name: ZZZ IP Address: 192.168.XX.YY Date/Time: 29.08.2019 14:03:14 Level: Warning
[Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.
[Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.
[Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.
Zusammengefasst: Die wenigen installierten Apps sind aktuell, Firmware ist aktuell, Server nicht vom Internet erreichbar, QTS hatte ich nie in Betrieb.
Eine Idee über den Einfallsvektor? Oder was passiert ist? Möchte einen Befall für das nächste Mal verhindern.
PS: Alle meine anderen QNAP Server laufen ohne Befund. Den betroffenen Server werde ich natürlich komplett löschen und komplett neu aufsetzen
-- Update--
- Reboot Befehl wird vom System ignoriert (sowohl via Console als auch via GUI)
- Beim Öffnen von MalewareRemover kommt nun eine Fehlermeldung, das Malewareremover nicht gefunden wurde.