NAS 100% von Malware befreien

Dynasource-TS-228 · 24. Mai 2020

Hallo allerseits,

kurz zum Hintergrund: mein QNAP NAS reagiert sehr langsam, "macht das Hausnetz langsam" und ich hatte vor kurzem den Ausfall einer meiner beiden HD im RAID 1-Verbund (was aber wohl nichts damit zu tun hat). Siehe dazu auch meine Themen/Threads:

nas-ist-total-langsam-und-verursacht-netzwerkprobleme-von-malware-befallen

backup-auf-externer-hd-qts-speichermanager-schreibt-status-nicht-initialisiert

Ich vermute Malwarebefall (Qsnatch?!); Malware-Remover hat aber nichts gefunden. Hab 90% der Daten auf eine externe HD gesichert (die Wichtigsten) und wollte nun das cleanme-Skript drüberlaufen lassen. Gerade warte ich auf die Rückmeldung des QNAP-Helpdsek, wo dieses aktuell runtergeladen werden kann (siehe cleanme-skript-im-mac-terminal-funktioniert-nicht).

Danach wollte ich eigentlich wieder das RAID1 aufsetzen (to "rebuild" heißt das wohl), gerade läuft der NAS ja nur mit einer HD - so wie hier und da beschrieben. Aber kann ich mir dann wirklich sicher sein, dass dann die Malware weg ist?! Ich habe hier (qsnatch-email-von-provider-nas-auf-werkseinstellungen) gelesen, dass wenn man tatsächlich von diesem Qsnatch befallen ist, alles platt machen muss.

FRAGE 1: Aber woher weiß ich, ob das wirklich der Fall ist?! Ich würde mir da gerne schon sicher sein, bevor ich den Aufwand treibe. Also wenn der Malware-Remover das gemeldet hätte zum Beispiel.

Wenn es sich nicht um den Qsnatch aber eine andere, weniger "tiefgreifende" Malware handelt, diese sich nun aberirgendwie irgendwo in meinen Daten eingenistet hat, hab ich die wohl auch in mein Backup überspielt. Als ich früher nur eine (Win-) PC hatte (und dort alle Daten drauf) hätte ich dann einen (Win-)Virus-/Malware-Scanner drüberlaufen lassen, als infiziert-gefundene Dateien gelöscht und gut wär's gewesen. Jetzt frage ich mich aber, wie ich nun die extern gesicherte Daten auf sämtliche Malware prüfen kann, also auf Mac-, Win- und QTS-Malware. Wenn ich diese extHD von meinem Mac aus mit Mac Programm scannen würde, würde der doch wohl die QTS-Malware nicht finden oder doch?!

FRAGE 2: Wie würdet ihr die (auf externer HD gesicherte) Daten überprüfen? (Klingt trivial ich weiß, aber irgendwie steh ich da aufm Schlauch.)

FRAGE 3: Oder - was mir lieber wäre, weil ich nur die wichtigsten 90% Daten gesichert habe: Wie würdet ihr die Daten auf dem NAS überprüfen, so dass ihr euch sicher sein könnt, dass ihr die weiterverwenden könnt? Also nach cleanme-Skript-Säuberung und Malware-Remover noch eine weitere QTS-Virenscan-App drüberlaufen lassen?

Dank und Gruß

Jörn

tgsbn · 24. Mai 2020

Zitat von Dynasource-TS-228

Ich vermute Malwarebefall (Qsnatch?!); Malware-Remover hat aber nichts gefunden. Hab 90% der Daten auf eine externe HD gesichert (die Wichtigsten) und wollte nun das cleanme-Skript drüberlaufen lassen. [...] Aber kann ich mir dann wirklich sicher sein, dass dann die Malware weg ist?!

Nein, hundertprozentige Sicherheit gibt es da nicht. Die Malware-Hersteller arbeiten ständig an verbesserten Techniken, sich vor Antimalware zu verstecken und ihre Entfernung zu erschweren, und die Antimalware-Hersteller arbeiten wiederum daran, die Malware trotz dieser verbesserten Techniken zu entdecken und zu entfernen. Dass Malware Remover zu einem gegebenen Zeitpunkt nichts findet ist leider keine Garantie dass auch nichts da ist, und dass ein noch so aktuelles cleanme-Skript gelaufen ist garantiert ebenso wenig dass das System schadsoftwarefrei ist. Die Wahrscheinlichkeit ist relativ hoch, aber nicht hundert Prozent.

Zitat von Dynasource-TS-228

Ich habe hier (qsnatch-email-von-provider-nas-auf-werkseinstellungen) gelesen, dass wenn man tatsächlich von diesem Qsnatch befallen ist, alles platt machen muss.

FRAGE 1: Aber woher weiß ich, ob das wirklich der Fall ist?! Ich würde mir da gerne schon sicher sein, bevor ich den Aufwand treibe. Also wenn der Malware-Remover das gemeldet hätte zum Beispiel.

Sicher wissen kannst du das nicht bzw. der Aufwand das sicher festzustellen ist höher als der, vorsichtshalber alles platt zu machen.

Zitat von Dynasource-TS-228

Wenn es sich nicht um den Qsnatch aber eine andere, weniger "tiefgreifende" Malware handelt, diese sich nun aberirgendwie irgendwo in meinen Daten eingenistet hat, hab ich die wohl auch in mein Backup überspielt.

Das halte ich für unwahrscheinlich. Es hängt natürlich sowohl von der Malware ab als auch davon, wie du das Backup erstellt hast. Aber die meiste NAS-Malware legt sich gar nicht in die Nutzdatenbereiche, wo auch deine Daten liegen, und die normalerweise von einer Datensicherung erfasst werden. Ein großer Vorteil eines NAS gegenüber der lokalen Speicherung ist, dass das NAS Programme und Daten wesentlich besser voneinander trennt. Deshalb ist die Gefahr, das NAS durch das Zurückspielen der Datensicherung wieder zu infizieren, wesentlich geringer, als wenn du dasselbe bei einem PC machen würdest.

Zitat von Dynasource-TS-228

Als ich früher nur eine (Win-) PC hatte (und dort alle Daten drauf) hätte ich dann einen (Win-)Virus-/Malware-Scanner drüberlaufen lassen, als infiziert-gefundene Dateien gelöscht und gut wär's gewesen.

Äh, nein. Es gibt genügend Beispiele, wo Windows-Malware bei dieser Vorgehensweise hinterher trotzdem noch aktiv war. Auch und gerade bei Windows-PCs gilt: der einzige Weg, eine Malware-Infektion zuverlässig loszuwerden, ist eine Neuinstallation von Originalmedien.

Zitat von Dynasource-TS-228

Jetzt frage ich mich aber, wie ich nun die extern gesicherte Daten auf sämtliche Malware prüfen kann, also auf Mac-, Win- und QTS-Malware. Wenn ich diese extHD von meinem Mac aus mit Mac Programm scannen würde, würde der doch wohl die QTS-Malware nicht finden oder doch?!

Das hängt sowohl von der Malware als auch vom Scanner ab. Aber wie gesagt, wahrscheinlich ist sie da eh gar nicht mit drauf.

Zitat von Dynasource-TS-228

FRAGE 2: Wie würdet ihr die (auf externer HD gesicherte) Daten überprüfen? (Klingt trivial ich weiß, aber irgendwie steh ich da aufm Schlauch.)

FRAGE 3: Oder - was mir lieber wäre, weil ich nur die wichtigsten 90% Daten gesichert habe: Wie würdet ihr die Daten auf dem NAS überprüfen, so dass ihr euch sicher sein könnt, dass ihr die weiterverwenden könnt? Also nach cleanme-Skript-Säuberung und Malware-Remover noch eine weitere QTS-Virenscan-App drüberlaufen lassen?

Ich würde mir in dieser Situation nichts von (weiteren) automatischen Tools, Scannern oder Säuberungsskripten versprechen. Entweder ich akzeptiere das Risiko, dass Malware Remover und cleanme-Skript etwas übersehen haben, oder ich setze das NAS neu auf.

Und ganz wichtig: Reinfektionswege beseitigen, das heißt vor allem: NAS nicht offen vom Internet aus zugänglich machen.

Dynasource-TS-228 · 29. Mai 2020

Danke tgsbn für Deine umfangreichen Antworten!

Sicher: 100% Sicherheit nicht, aber eben die beste (99%..?!) die man eben mit den verfügbaren Mitteln/Malwarescannern erreichen kann.

Zitat von tgsbn

Das halte ich für unwahrscheinlich. Es hängt natürlich sowohl von der Malware ab als auch davon, wie du das Backup erstellt hast. Aber die meiste NAS-Malware legt sich gar nicht in die Nutzdatenbereiche, wo auch deine Daten liegen, und die normalerweise von einer Datensicherung erfasst werden. Ein großer Vorteil eines NAS gegenüber der lokalen Speicherung ist, dass das NAS Programme und Daten wesentlich besser voneinander trennt. Deshalb ist die Gefahr, das NAS durch das Zurückspielen der Datensicherung wieder zu infizieren, wesentlich geringer, als wenn du dasselbe bei einem PC machen würdest.

Das ist wiederum eine positive Info! Dann spricht das - im Einklang mit Deinem vorangegangenen Rat - alles dafür den NAS platt zu machen und die Daten aus dem Backup neu aufzuspielen.

Zitat von tgsbn

Und ganz wichtig: Reinfektionswege beseitigen, das heißt vor allem: NAS nicht offen vom Internet aus zugänglich machen.

Das stimmt (ersteres) und das (zweiteres) habe ich meines Wissen auch nicht. Ich prüfe das aber nochmal (weiß aber noch nicht wie!?). Kann ich den NAS eventuell so geöffnet haben, als ich myQNAPCloud eingerichtet habe?! Auch wenn ich dachte, das ist nur mal ein Account für webbasierte Dienste wie den QNAP-Helpdesk... Hängt damit eventuell zusammen, dass ich am NAS "selbstständige Portfreigabe" durch den NAS ermöglicht habe?

tiermutter · 29. Mai 2020

Zitat von Dynasource-TS-228

Hängt damit eventuell zusammen, dass ich am NAS "selbstständige Portfreigabe" durch den NAS ermöglicht habe?

Dadurch kann es durchaus passieren, dass Dein NAS (zeitweise) offen ins Netz gestellt wird. Dieser Dienst (UPnP) sollte grundsätzlich deaktiviert sein, nicht nur am NAS sondern an allen Geräten.

Dynasource-TS-228 · 31. Mai 2020

Erstmal Danke Tiermutter! Hab selbstständige Portfreigabe bzw. UPnP bei NAS und Router nun ausgestellt. Wenn man nicht weiß was das ist und ob man das braucht sollte man das wohl besser nicht aktiviert lassen

NAS 100% von Malware befreien

Multiple Vulnerabilities in Media Streaming Add-on

QuTS hero h5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 Build 20240417 Public Beta

QTS 5.2.0.2737 Build 20240417

QNAP generiert falsches Let's Encrypt Zertifikat

QuFirewall Meldung "qufirewall firewall event capture was interrupted"

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

App Zugriff (von extern) auf verschlüsseltes Laufwerk

Verschlüsselungstrojaner auf NAS

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur

Ähnliche Themen

TS-431 Firmware Recovery