Malware Remover meldet Malewarebefall....

  • Hallo,

    irgendwie kann ichs nicht so wirklich glauben.

    Heute habe ich eine Meldung erhalten, dass mein System befallen sein soll.

    Firmware Version ist: 4.4.1.1031

    NAS: TS-473

    Meldungen schauen so aus:

    Code
    Schweregrad	Datum	Uhrzeit	Benutzer	Quellen-IP	Anwendung	Kategorie	Inhalt
    Warnung	2019/08/29	19:00:33	System	127.0.0.1	Malware Remover	Malware Removal	[Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.
    Warnung	2019/08/29	19:00:33	System	127.0.0.1	Malware Remover	Malware Removal	[Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.

    Meine NAS ist nicht im Internet, hat kein Myqnapcloud, ist im prinzip nur im LAN, teilweise aber per VPN vom Handy erreichbar.

    Sie sitzt hinter einem Mikrotik Router, hat keinerlei Portfreigaben und dementsprechend bin ich echt ratlos.


    Das einzige, was auf die NAS geht, ist ein RDP Port auf einen Windows Server 2012 über die Virtualization Station.


    Vielleicht kann mir ja irgendjemand sagen, was ich nachschauen kann bzw. was ich tun könnte.

    Wie gesagt, meine NAS ist nicht im Internet.

  • Ich hab das gleiche Problem auf einer TS-112 seit genau heute so wie Du!?

    Allerdings ist die aus dem Internet erreichbar (abgesichert mit einem komplexen Passwort!?!)


    Andere Malware Meldungen reporten immer irgendwelche Dateien. Aber meine Meldungen sind exakt die gleichen wie Deine, aber es werden keine Dateien genannt.


    Ich habe auf die letzte QTS Version upgedatet (4.3.3.0998) (ist ja ein altes Backup NAS, was nicht bei mir zuhause steht) und zusätzlich auch das CleanMe Skript gestartet, worauf in einem anderen Thread hingewiesen wurde.

    Das hat aber nichts bereinigen können.


    Allerdings wurde dabei eine ältere Malware Removal Tool Version installiert, die sauber durchlief.

    Dann habe ich wieder die aktuelleste installiert und wieder die gleichen Fehler bekommen.


    Ich vermute mittlerweile eher einen Bug mit Falschmeldungen.


    Hat noch jemand ähnliche Erfahrungen???

  • Tja, irgendwie sieht das recht ähnlich aus...Klick.


    Vielleicht findet Ihr Gemeinsamkeiten.

    Oder MR hat auf einmal irgendein Problem.


    Mal gespannt, bei wem diese Meldung(en) demnächst noch auftreten. :/


    Gruss

  • Ich bin im Moment echt geschockt, hatte mein Qnap nie im Internet, d.h. keinerlei Portfreigaben auf dieses...

    Ich werd jetzt erstmal abwarten, parallel werd ich mein zweites Backup Qnap abschalten, um zumindest diesen Datenstand zu haben...

  • Ich habe das gleiche Problem, und die GUI ist (im LAN) auch nicht mehr erreichbar. SSH wird auch geblockt....

  • Moin, dieselbe Meldung hatte ich heute auch. Und wohl auch noch andere, siehe "Maleware - QTS SSL Certificate".

    Bei mir waren nach der Meldung alle Updates der "Cloud Backup Sync" deinstalliert. Nach einem Update der CBS und einem erneuten Scann erschien wieder die Maleware Warnung und die gerade eingespielten Updates waren wieder weg.

    Ein Scann des Maleware Removers nur mit der Grundversion der CBS verlief ohne Warnung. Erneutes Update, erneute Warnung.

    Dann habe folgenden Befehl ausgeführt:

    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Die Ausgabe war ohne Befund.

    Danach Update Maleware Remover und Cloud Backup Sync, erneute Warnung.

    Nocheinmal cleanme.sh, dann erst Update Cloud Backup Sync und dann Maleware Remover. Seitdem ist Ruhe, mal schauen ob das so bleibt.

    grüße

    paule

  • Ich konnte zwar auf meiner TS -112 noch ein Update machen, aber der Reboot funktioniert nie.

    Nur ein harter Stromreset hilft.


    Ich habe den Reboot über GUI und CLI probiert nix ging.


    Ansonsten habe ich allerdings keine anderen Einschränkungen feststellen können.

  • habe die gleichen meldungen aber alles funktioniert auch nach neustart (über gui) ohne probleme.


    genauer hab ich es in dem anderen thread geschildert...

  • Jetzt muss ich mal genau nachfragen:

    Meine NAS ist nicht im Internet...

    Bedeutet bei Dir und bei den anderen: NAS ist aus dem Internet nicht direkt erreichbar, aber das NAS kann ins Internet um sich z.B. Firmware- und App-Updates zu holen.


    Edit:

    Vor kurzem irgend etwas neues installiert oder auch App-Updates, Firmware-Update, Container-Update etc.?

  • Ich hab schon lange nix neues installiert. Deshalb wundert mich das auch. Ist ja nur mein Backup NAS. Das läuft vor sich hin...


    Ich hab jetzt nochmal einen Hardreset gemacht und beim ersten hochfahren kamen wieder Malware Meldungen. Habe dann nochmal alle Apps upgedated u.a. Cloudbackup und noch 2 mal einen Malware Scan gemacht und im Moment ist Ruhe...

  • Eigentlich kann es schon reichen, dass das NAS Internetzugang hat. Wenn jedoch keine VM, Container, Apps etc. Inhalt aus dem Internet herunterladen... Browser-Apps? Surfen in der VM ohne Virenschutz ist natürlich streng verboten.

  • Es reicht doch, wenn jemand dahinter kommt, das für Testzwecke in einer App eine IP angesprochen wird, die jetzt nicht mehr registriert ist.

    Die registriert er dann auf sich und schon kann er auf dem Rückweg mit der Session ID die App ansprechen.

    Hat die App dann noch einen Schwachstelle, reicht das aus um die NAS zu infizieren.


    So ist schon der direkte Zugriff ins Internet ein Risiko.


    Müssen bald wohl doch alle ein transparenten Proxy mit IDP/IPS einsetzen =O

  • ...oder NAS in ein getrenntes Netz stellen. Bei mir werkeln die privaten NAS in einem anderen Netzwerk - physisch getrennt - welches kein Internetzugang hat. Da die Clients aber über Internet verfügen, könnte auch darüber etwas eingeschleppt werden. Aber ist zumindest schon wieder ein Stücken sicherer und kostet weniger als eine UTM-Appliance.

  • Weiß denn jemand ob, und wenn, wann MR ein Pattern Update macht?

    Ich sehe für die "normale" AV App immer den Update Vorgang im Log, entweder erfolgreich oder ab und zu mal nicht erfolgreich.

    Aber für MR sehe ich immer nur Start und Stop des Scans, aber nie eine Update Meldung.


    Und ähnlich wie im US Forum gemeldet ist mir auch schon vor einiger Zeit aufgefallen, das Scan Läufe auch deutlich abweichend von der Zeitplanung im MR durchgeführt werden.


    Allerdings auch nicht regelmäßig, eher so ab und zu...?

    Eine Systemematik kann ich dabei nicht erkennen, scheint fast so, als ob diese Scans eher "Ereignis getriggert" sind!?

    Auf einem NAS sehe ich z.B. einen Scan gestern um 16:04Uhr...?

    Auf diesem NAS war ich gestern um diese Zeit nicht angemeldet und habe den Scan manuell getriggert, woher kommt also der Scan?

    Auch in der crontab ist nur der Aufruf für den geplanten Scan zu sehen.


    :/MR, das unbekannte Wesen...


    Gruss

  • Gleiche Fehlermeldung wie Detonatoryx oben ebenfalls erst seit 28.08. mit passwords, e-mail accounts...

    Alles, was ich auf meinem TS-659 Pro II sehen kann, ist ein Zusammenhang zur App Cloud Backup Sync. Ich hatte die Version 1.3.555 mit Aufforderung zum update. Erfolgreich ausgeführt auf Version 1.3.555. Zwei Minuten später kommt die Fehlermeldung vom Malware Remover wie oben und er hat die Version auf 1.3.555 allein zurückgedreht - Aufforderung zum update kommt wieder.

    Letzte Entwicklung: Jetzt hat Malware Remover mit Fehlermeldung sogar eigenständig auf Version 1.3.554 zurückkonvertiert - ohne dass ich es verhindern konnte.

    Ich mache im Moment keine updates mehr für Cloud Backup Sync bis QNAP das im Griff hat.

  • Moin,

    bei mir hat der MR auch ein "Eigenleben" teilweise läuft er bis zu 5x am Tag. Meine Vermutung ist auch das dies "Ereignis gesteuert" erfolgt.

    Heute Morgen erschien die Malware Meldung auch auf dem TS 419 PII im Büro. Wieder war die "Cloud Backup Sync" auf die "Grund Version" gesetzt. Ist das noch jemanden aufgefallen? Das Backup-NAS TS 231P meldete keine Malware, hier ist jedoch die HBS 3 installiert und nicht die HBS.

    grusse

  • Bei mir passiert das gleiche wie bei Euch. MalwareRemover startet zu anderen Zeiten als eingestellt. Gestern z. B. auf einem frischen TS-212 Malware-Alarm und ohne mein Zutun Downgrade von Cloud Backup auf Version 2.1.670.


    Heute ist CloudBackup, wieder ohne das ich was getan habe, wieder auf der aktuellsten Version (2.1.671) und der MR ist von sich aus Nachts gestartet, hat nun aber keinen Befall gemeldet. Auch nach zweimaligen manuellen Anstoßen des Scanns nichts gefunden.