Malware Remover meldet Malewarebefall....

    tola Es gäbe da immer noch die Möglichkeit von einem echten Malwarebefall. NAS offen im Internet? Cleanme.sh schon mal ausgeführt?

    Zitat von Pfeiffer

    Naja bei der Anzahl von Dateien muss man nicht sofort was vermissen. Mich würde da schon ein wenig eine genauerer Angabe interessieren aber wenns das nicht gibt,

    Echt jetzt? Ich habe das Ding zwar nicht installiert, aber sowas mag ich fast nicht glauben. Es gibt keine Rückmeldung was in welcher Datei/Ordner als Malware klassifiziert wurde?

    Mein MR zeigt mir als letzte Scanzeit 1970/01/01 00:00 an.


    Lebe mit dem Mist schon seit Juli... hab auch schon mein Ur-NAS neu aufgesetzt gehabt und 3 Tage später kam wieder eine MR Meldung.

    Hat dein NAS die richtige Uhrzeit und Datum?

    Ist ein funktionsfähiger NTP Server hinterlegt?

    Zitat von MysTerY

    Mein MR zeigt mir als letzte Scanzeit 1970/01/01 00:00 an.

    Datum 1970 sieht eher danach aus, als sei es der Zeitpunkt "NULL". Bist du dir sicher, dass der MR überhaupt schon mal gelaufen ist?

    Würde das eher so lesen, dass er noch nie gelaufen ist und daher kein Datum für den letzten Lauf findet ...

    Kann euch beruhigen, MR lief/läuft seit ca. 2014-2015 durch. Nie Probleme damit gehabt.

    Selbst wenn ich jetzt ein Scan durchführe, zeigt er mit das Datum an 1970 an... ganz kurios.


    Mein 459 Pro II muss eh nur noch bis Ende des Jahres durchhalten, dann gibt es ein Neues :)

    Wo zeigt er das denn an? Auf meinem TS459 wird alles korrekt angezeigt, sowohl in der GUI als auch in den Logs.

    Das Problem hat wohl eher eine "lokale" Ursache.


    Gruss

    Bei mir funktioniert bei einem NAS die WebGUI überhaupt nicht. Per Konsole funktioniert alles ganz normal.

    Bei solchen Sachen die Ursache herauszufinden dürfe eher schwierig sein. Vermutlich würde das NAS plattmachen und komplett neu aufsetzen helfen, aber wer macht dies wegen einer solchen Kleinigkeit.


    MysTerY

    MR schon mal deinstalliert und neu installiert?

    Alles schon gemacht, komplett neu aufgesetzt mit/ als auch ohne Backup, Apps neu Installiert und immer das selbe Problem...

    Ist eben schon ein älteres Modell, noch mit QTS 4.2.x, wie bei mir.


    Ticket beim QNAP-Support eröffnen. Mal sehen was die dazu sagen. Support gibt es ja noch dafür.

    Habe heute mein 253Be nach eine Woche mal wieder eingeschaltet und ich habe auch diese Fehlermeldungen bekommen. Ich hatte zum dem Zeitpunkt, als ich es heruntergefahren habe alles auf dem neuesten Stand gehabt und Qnap ID nutze ich nicht. Das einzige, was ich gemacht habe, war die Videostation und den Malware Remover selbst zu aktualisieren.

    Einmal editiert, zuletzt von Doppelklick ()

    Zitat von Mavalok2

    Ticket beim QNAP-Support eröffnen. Mal sehen was die dazu sagen. Support gibt es ja noch dafür.

    Zitat von QNAP Support

    Bitte haben Sie Verständnis, dass wir für ältere QNAP NAS Systeme nur eingeschränkten Support anbieten können.


    Zusammengefasst kann man sagen , das die mir empfehlen ein neues Gerät zu kaufen.


    :(



    vielleicht weiß ja jemand Rat:


    ich habe auf meinem System mit einem Malware-Befall zu kämpfen:

    Ich hab vor einigen Wochen den QNAp Malware Remover installiert der einige Malwares entfernt hat aber immer wieder meldete.

    Code
    "Removed high risk malware. Update passwords for email-account and QNAP-ID".

    Das hab ich auch gemacht (mittlerweile mehrfach). Also Passwort für die Qnap-ID geändert und das passwort für den einzigen noch aktiven NAS Nutzer.


    Das hat aber nichts geholfen , die Fehlermeldung "Removed high risk malware. Update passwords for email-account and QNAP-ID" kam weiterhin,

    Also hab ich folgendes auf dem NAS ausgeführt:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Danach schien erstmal alles okay, aber nach wenigen Tagen kam die selbe Fehlermeldung erneut.

    Also hab ich wiederholt dieses script ausgeführt, Passwörter geändert und im Anschluss das NAS defacto vom Netz genommen. Also alle Dienste die das NAS von außen ereichbar machten deaktiviert und am Router alle Portfreigaben deaktiviert.

    Danach war über Tage keine Fehlermeldung mehr. Die folgende Aktivierung von FTP und VPN stellte auch kein Problem dar.

    Nachdem 3 Wochen kein Malware-Befall mehr gemeldet wurde, hab ich QSync,myQnapCLoud und Cloudlink wieder aktiviert und den port 8089 (statt des default 8082) am Router freigegeben um QSync nutzen zu können.

    Nach ca 1 Woche bekomme ich jetzt wieder die Meldung

    Code
     "Removed high risk malware. Update passwords for email-account and QNAP-ID" .


    Mittlerweile bekomme ich die Malware scheinbar gar nicht mehr entfernt. Mein NAS ist komplett vom Internet getrennt (es geht nichts rein oder raus). Die Meldung über die gefährliche Malware kommt täglich.


    Ich hab heute noch gelesen das man checken soll, ob eine autorun.sh modifiziert wurde ... auf meinem System gibt es keine.



    Was kann ich noch tun um die Malware loszuwerden? Ist es denkbar das es sich vielleicht gar nicht um Malware handelt? Ich kann mir kaum vorstellen wie die da drauf kommt - mein Zugangsdaten sind sehr sicher und wie gesagt in letzter Zeit bereits mehrfach geändert.

    Einmal editiert, zuletzt von verstaerker ()

    Nun ja, wenn 3 Wochen Ruhe war und nach dem Aktivieren dieser Dienste wieder ein Malware Befall gemeldet wird, dann dürfte die Ursache doch klar sein.

    Also diese Dienste wieder deaktivieren, NAS aufräumen, abwarten.

    Wenn es wieder ruhig bleibt, dann musst Du Dir überlegen ob Du diese Dienste weiter nutzen willst.

    Alternativ kannst Du auch einen nach dem anderen wieder aktivieren, immer mit einigen Tagen Abstand. Vielleicht läßt sich dann eingrenzen worüber die Malware kommt.


    Gruss

    Zitat von verstaerker

    Was kann ich noch tun um die Malware loszuwerden?

    NAS vom Netz nehmen, Festplatten raus, formatieren und neu aufsetzen.


    Dann würde ich mich auch von dem Gedanken trennen, jemals wieder das NAS ins Internet zu stellen, vor allem "QSync,myQnapCLoud und Cloudlink" sind nichts für den sicheren NAS-Betrieb.

    Maximal eine VPN-Verbindung einrichten, aber auch nur über Router/Firewall und nicht über das NAS!

    Also die Malware kann auf den Raid-Platten liegen?


    Ich finde diese Qsync-Nummer halt sehr praktisch um Dateien freizugeben und an meinen verschiedenen Computern (unterwegs) immer im Sync zu sein.

    Ich weiß wo mein Dateien sind und muß selbst für zig GB Freigaben nichts extra zahlen.


    Wie sähe denn eine sichere und praktische Alternative aus?


    Mit VPN war ich übrigens nicht zufrieden , hatte da mit ziemlich geringen Datenraten zu kämpfen .. irgendwo bei 300-500 kbyte/s ... meine Leitung an der das NAS hängt kann aber knapp 5 mbyte/s hochladen

    2 Mal editiert, zuletzt von verstaerker ()

    Zitat von verstaerker

    Also die Malware kann auf den Raid-Platten liegen?

    Wo sonst, wenn nicht da? Hast du noch andere Platten verbaut? Wäre auch egal, wenn du einen Trojaner hast, sind ALLE Speicher als infiziert zu betrachten ...


    Zitat von verstaerker

    Ich finde diese Qsync-Nummer halt sehr praktisch um Dateien freizugeben.

    Sicher, finden auch "Außenstehende" praktisch, um zu nehmen was du "frei gibst"


    Zitat von verstaerker

    Wie sähe denn eine sichere und praktische Alternative aus?

    Die EINE Lösung gibt es nicht!


    Viele machen das über VPN, wenn es denn schon auf dem eigenem NAS sein muss.

    Andere schwören auf die leicht zu verwendeten Onlinespeicher wie Dropbox, OneDrive oder wie sie auch alle heißen. Da kann ich dir weder einen empfehlen, noch ausreden.


    Ich selbst hatte vor kurzem etliche Schulfotos der Kinder über OneDrive für den Upload frei gegeben. Allerdings ohne direktem Zugriff von/über mein NAS. Da lade ich die Bilder direkt über den PC hoch und da kommt dann nichts auf mein NAS zurück!

    Der neue HBS3 sollte mit diversen "Cloudspeichern" auch direkt syncen können, das ist aber nicht mein Ding ...

    Zitat von RedDiabolo

    Andere schwören auf die leicht zu verwendeten Onlinespeicher wie Dropbox, OneDrive oder wie sie auch alle heißen. Da kann ich dir weder einen empfehlen, noch ausreden.

    ich dachte an sowas wie ownCloud... aber letztendlich , mach ich mir damit ja da genauso ein Sicherheitsleck auf wie mit Qsync ,Cloudlink...


    Muß ich vielleicht doch auf DropBox oder sowas zurück .

    Dann schaffe dir eine gescheite VPN Hardware an, dann gehen da auch einige Mbit bis einige Gbit durch, eine Frage der Auslegung.


    Aber das Teil noch mal so ins Inet zu hängen ist einfach keine gute Idee.

    Welche Firmware hast du denn auf der Kiste?

    Sind alle Apps aktuell?