Wie sinnvoll ist ein DOM-Recovery bei einem Malware-Befall

    Im Thema muhstik decryption keys und einigen Anderen wird immer empfohlen, bei einem Malware-Befall ein DOM-Recovery durchzuführen. Ich habe die Sinnhaftigkeit dieser Empfehlung angezweifelt und wurde gefragt:

    Zitat von PuraVida

    Hi dr_mike , bist Du der Meinung, dass das komplett unnötig ist?

    Ja, bin ich. Welche Bereiche gibt es denn auf dem DOM?!

    1. wäre da der Bootloader (Uboot oder ein ARM-spezifischer)

    2. die Configurationspartition

    3. das Kernelimage

    4. das 1. Rootfilesystem

    5. das 2. Rootfilesystem

    6. bei den grösseren NAS mit DOM und einigen anderen das Image für das Webinterface

    (die Reihenfolge enspricht nicht den Partitionsnummern)


    a- Die Bereiche 3 - 6 werden bei jedem FW-Update komplett überschrieben genauso wie bei einem Recovery

    b- Der Bootloader wird nur bei einem Recovery überschrieben nie jedoch bei einem FW-Update

    c- Die Config-Part wird in beiden Fällen nicht angefasst und ist diejenige wo meist von Malware eine autorun.sh angelegt wird.


    Was bedeutet das?

    zu a: Wenn 3 - 6 von Malware modifiziert werden würde, reicht ein FW-Update.


    zu b: Um einen Bootloader für das NAS zu kompilieren bräuchte man die kompletten Interna der NAS-Firmware (Hardwareadressen, Hardwareinit Routinen, das ganze Board-Support-Package, welches ClosedSource ist etc.) Die Gefahr, dass das NAS unbrauchbar wird wäre zu gross. Daher ist davon auszugehen, dass dort nichts manipuliert wird


    zu c: hier liegt das größte Risiko wieder/weiter infiziert zu werden/sein. Jedoch wird eben bei FW-Update und Recovery nichts geändert. Hier hilft entweder cleanme oder man geht nach der Anleitung zur Erstellung einer autorun.sh auf diese Partition und löscht alles dort drin, was suspekt ist.

    Dieser Schritt ist in jedem Fall ein Muss!


    Fazit: Ein FW-Update ist in Verbindung mit cleanme weitgehend ausreichend um ein System sauber zu bekommen, wenn man neue Platten verwendet. Alles was auf den ursprünglichen Platten ist kann natürlich infiziert sein.

    Das Recovery bringt jedoch keinen Mehrwert.

    Garantie kann ich aber nicht geben und auch kein anderer genausowenig wie QNAP. Dazu müsste man Programmierer der jeweiligen Malware sein. ;)

    Der Inhalt sollte in etwa so aussehen (Bsp. von meinem TS-451A):

    Suspekt wäre hier z.B. die autorun.sh, wenn man sie nicht selbst angelegt hat.

    Die autorun.sh ist von Haus aus leer oder nicht vorhanden.

    Wenn man manuell einige Jobs eingetragen hat, dann wurden durch Malware Einträge ergänzt, die meist kryptische Buchstabenfolgen erhielten.

    Wenn man so etwas in seiner autorun.sh feststellt, dann ist es durch Malware infiziert worden und Handeln ist angesagt.


    Gruss

    Zitat von dr_mike

    c- Die Config-Part wird in beiden Fällen nicht angefasst und ist diejenige wo meist von Malware eine autorun.sh angelegt wird.


    Zitat von dr_mike

    Anleitung zur Erstellung einer autorun.sh auf diese Partition und löscht alles dort drin, was suspekt ist.


    Wo finde ich diese Anleitung bzw. wo liegt die Autorun.sh ?


    edit: habs herausgefunden. Es gibt keine Autorun.sh

    Trotzdem wird mir immer wieder Malware-befall gemeldet.

    Einmal editiert, zuletzt von verstaerker ()

    Code
    Warnung 2019/10/29 09:54:23 System 127.0.0.1 localhost [Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.

Warnung 2019/10/28 09:54:24 System 127.0.0.1 localhost [Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.

    Ich bin auf einem älteren TS-439 mit Software 4.26 Build20190921


    hier ein Beitrag von mir in dem ich beschreibe was ich schon versucht habe:

    Malware Remover meldet Malewarebefall....