Installation vom SecurityCounselor ... wtf?

    Strange, sehr strange …


    Denk' ich mir, ich installiere mir den SecurityCounselor und teste ihn mal auf meiner TVS-882. Gehe in die Apps und lade mir zuerst das ZIP auf den Rechner, so wie immer,

    2019-10-13 00_06_01-.png

    entpacke das Zeugs und klicke auf manuell installieren, wähle das File und warte … warte … der Kringel geht auch nach 15min nicht weg ? ! ?


    Starte das NAS neu, furchtbar langsam die Mühle, der Explorer kann die Shares gar nicht mehr aufmachen, geht in ein Timeout … Schaue in die Apps, der SecurityCounselor ist nicht da?

    Ok installiere ich den SC halt über die Apps … WTF? Eine Fehlermeldung, kann die App-Liste nicht laden, soll die Netzwerkeinstellungen prüfen … ?


    Schau ich mal bei Gelegenheit zu MEINER (!) autorun.sh, die im eigenem Ordner liegt /mnt/HDA_ROOT/.config/.autorun/autorun.sh, eben noch da, hat sie ein paar Minuten später nur mehr 0KB und ist leer!

    OK, habe ja eine Kopie auf dem Rechner (6KB groß) brauche ich nur umbenennen … wtf … wird auch vor meinen Augen gelöscht … jetzt wird mir etwas wärmer … was läuft da ab ???


    Wird Zeit für den curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh, der löscht mir zwar immer die autorun.sh, die auf meine autorun.sh zeigt, aber muss jetzt sein …


    OK, die autorun war von mir, die ist jetzt weg … mache ich neu.


    Das AppCenter geht wieder :thumbup:, den SC kann ich jetzt auch installieren (gleich als APP, mach ich mal eben nicht über das File am PC …)

    Sonst fällt mir ad-hoc nichts ungewöhnliches auf, NAS ist wieder schnell, Explorer zeigt wieder alles her und die Files scheinen auch alle "normal" zu sein, keine komischen Endungen :/


    Ich werde das noch einige Tage beobachten und vorerst keine Sicherung machen, damit ich mir das Backup nicht mit Müll überschreibe ...

    Ich find es schon toll, das das cleanme.sh die autorun.sh so einfach löscht, ohne sie wirklich zu prüfen was da drin steht.

    autorun.sh vorhanden? -> Malware 😜.

    Noch besser aber, das das Script noch nicht einmal die aktuelle MR Version installiert.

    Ist mir nur durch Zufall aufgefallen, hatte mich gewundert, wieso auf einmal wieder die v3.4.1 drauf war 🙄.


    Aber der SC von Haus aus schon gehackt!? Das wäre die Krönung schlechthin.


    Gruss

    Zitat von RedDiabolo

    [!] Malware was found and cleaned

    Gibts da zu der Meldung auch irgendwo was detailliertes?

    Was wo gefunden und bereinigt wurde?

    Oder löscht der MR so wie von FSC830 angedeutet stur die autorun.sh?


    Edit: Wer lesen kann ist klar im Vorteil. :)


    Zitat von RedDiabolo

    [*] Removing /etc/config/rssdoc/qpkgcenter_eng.xml
    [+] Success!
    [*] Removing /etc/config/rssdoc/qpkgcenter_ger.xml
    [+] Success!

    Ja FSC830, das hat mich auch etwas überrascht, dass nach dem cleanme gleich der MR zum Update aufpoppt …


    rednag der/die AppCenter Kataloge werden vom cleanme IMMMER gelöscht, ohne zu checken was drinnen steht, ist wohl weniger Aktion ;)

    Das beunruhig mich weniger. ;)


    Was mir mehr sorgen macht, welches Programm hat die autorun.sh in MEINEM Ordner gelöscht, nicht die im DOM, die ruft ja nur meine eigene auf …

    Und warum lässt sich der SecurityCounselor nicht manuell installieren? Was läuft da falsch?


    Ich installiere ungern aus dem AppCenter heraus, da ich dann nicht auf ältere Versionen zurück kann! Daher wähle ich immer den Weg über Download und manuelle Installation, beim SC geht das aber ordentlich in die Hose ...

    Du bist ja schon ein "Erfahrener User". Ich kann mir bei Dir deswegen schlecht vorstellen, daß sich Malware eingenistet hat. Die Symptome allerdings sprechen schon für sich.

    Ich würde gerne helfen aber alles was nicht über die GUI machbar ist, kann ich nicht. :)

    Zitat von RedDiabolo

    die autorun.sh, die auf meine autorun.sh zeigt,

    Gibts hierfür einen wichtigen Grund? Kann man userspezifische Einträge nicht in der Original machen?

    Zitat von rednag

    Gibts hierfür einen wichtigen Grund? Kann man userspezifische Einträge nicht in der Original machen?

    Freilich kann ich die auch in der DOM-autorun.sh machen, allerdings ist es nervend, wenn man gerade in der Testphase ist und ständig die DOM-Partition mounte/unmounten muss …


    So habe ich in der "original leeren" autorun.sh, mehr oder weniger, nur den Zeiger auf meine autorun.sh drinnen /mnt/HDA_ROOT/.config/.autorun/autorun.sh start und somit kann ich nach belieben meine autorun.sh bearbeiten, verschieben, etc. und brauche den DOM nicht ständig zu mounten.


    Malware dürfte sich nicht eingenistet haben (NAS ist auch nicht nach außen offen), allerdings fürchte ich, dass die manuelle Installation vom SC "den Vogel abgeschossen" hat.

    Muss auch nicht verseucht gewesen sein … mir ist nur aufgefallen, dass bei der AppCenter-Installation nach dem Speicherort gefragt wird (habe 3 Volumen zur Auswahl). Bei der Manuell kommt keine Abfrage, da "wartet" er möglicherweise auf die Antwort nach dem Speicherplatz, nach dem ich aber auch nie gefragt werde … :/

    Ich denke, da ist etwas bei der Installation stecken geblieben und hat auch nach der Installation noch Probleme gemacht. Apps kann man übrigens auch mit der zip-Datei installieren.


    Ich installiere übrigens die Apps immer direkt aus dem App-Center und lade sie von dort noch zusätzlich manuell für mein Archiv herunter. So ist gewährleistet, dass immer die richtige Version genommen wird und bei Apps, welche noch Zusätze benötigen, diese mit installiert werden. Gibt genügend Apps, bei denen zuerst noch etwas anderes installiert werden muss bevor das eigentlich App installiert werden kann. Vermutlich war das so bei Dir und hat das System mit der halben Installation aus dem Tritt gebracht.