Kauderwelsch in autorun.sh

    Hallo Leute


    Ich habe in meiner autorun.sh einen "Kauderwelsch" drinnenstehen, ich weis nicht wie der da reinkommt, desweiteren konnte ich keine Apps mehr aktualisieren und auch keine Apps mehr neu hinzu installieren. Ich habe heute meine NAS komplett "gebügelt" also "Werksstandard wiederherstellen & Volumes formatieren" ausgeführt. Somit müsste doch alles weg sein?

    Aber in der Autorun.sh steht immer noch folgendes drinnen:


    pasted-from-clipboard.png


    Was ist das und wie bekomme ich das weg? Ich habe gelesen dass da eigentlch nichts drinnen stehen sollte...


    Meine NAS ist die TS-296pro mit der aktuellsen FW.


    danke

    Thomas

    =ODann such hier mal nach Malware und derek-be-gone, Qsnatch.

    Ich würde sagen, Du hast Dir eine dicke Malware eingefangen!


    Sofort Maßnahmen treffen!

    NAS ist vermutlich aus dem I-net erreichbar?

    SOFORT abstellen!


    Gruss

    - Platten raus und bereinigen (clean via diskpart)

    - Danach Firmware update via Qfinder OHNe Platten drinne

    - Danach mit bereinigten Platten neu aufsetzen.


    In Zukunft das NAS wie schon FSC830 sagte, nicht mehr frei dem Internet aussetzen

    also das "Werksstandard wiederherstellen & Volumes formatieren" ist hier zu wenig?, dachte damit sei alles weg?

    und meine NAS war immer auf dem aktuellsten Stand...


    Das mit der DOM Partition habe ich gelesen wenn die gelöscht ist wird es schwierig die NAS wieder zum laufen zu bringen?

    aber in den Daten ist hoffentlich nichts zu finden? habe eine Datensicherung auf einer USB HDD, kann ich die ohne bedenken zurückkopieren?

    Die Daten sollten 'clean' sein .. es sei denn es war Ransomware und die Backups wurden auch verschlüsselt


    Dann können die zwar nicht infizieren, aber nutzbar sind die dann auch net mehr

    Das kann Dir niemand mit Gewißheit beantworten!

    Die Daten musst Du selbst auf Virenbefall prüfen.

    Die Malware ist eigentlich uralt, aus 2019.

    Von wann ist das Backup?

    Also kann es durchaus sein, das die Daten auch korrumpiert sind.

    Es gab in den letzten Jahren verschiedene Angriffe auf QNAP NAS.

    Auch solche, die Daten verschlüsselt haben (Erpressungstrojaner) oder wie man die sonst nennt.


    Gruss

    Wie, bzw. über welchem Wege war die NAS vom WAN erreichbar? Welche Apps waren installiert?

    Portweiterleitungen? UPnP?

    Guten Morgen

    also Verschlüsselt war eigentlich nie etwas, ich konnte nur weder neue Apps installieren noch hat das update von Innstallierten funktioniert.

    Die Daten waren immer nutzbar und das Backup habe ich jeden Samstag gemacht.

    Die NAS war von außen nur via https offen, upnp ist bei mir überall deaktiviert.


    Gestern habe ich die NAS komplett geu gemacht, wie oben beschrieben, also HDDs raus mit Diskpart bearbeitet, ohne HDDs die FW aufgespielt,... aber in der autorun.sh steht noch der gleiche Kauderwelsch drinnen wie vorher...

    Zitat von Tomsn

    Die NAS war von außen nur via https offen

    "nur" https reicht auch.

    cleanme.sh Script laufen lassen?

    Kann auch sein, das das nicht mehr funktioniert, weil es werden Teile zur Bereinigung aus dem Web geholt (von QNAP), die haben das irgendwann aber m.W. eingestellt als die große Welle durch war.

    Da bleibt nur ein Ticket bei QNAP aufmachen und auf schnelle Antwort und Hilfe hoffen. Malware Remover wäre evtl. auch noch eine Möglichkeit, damit schon getestet ob er alles reboot-resistente auch entfernen kann?


    Gruss

    Notfalls nochmal eine FW Recovery... Wenn auf den HDD nichts mehr ist und der DOM auch komplett überschrieben wurde, kann es ja nichts mehr geben wo sich noch etwas versteckt.

    Der Malware Remover soll doch das ganze bereinigen inzwischen können, bevor ich das Teil mit einem DOM Recovery bricke, würde ich erst das versuchen.

    Zudem aber ein Ticket auf machen.

    kann ich denn die autorun.sh einfach ändern oder löschen und eine neue leere erstellen? Vielleicht ist das ja nur ein überbleibsel?

    ich habe sie mal versucht zu ändern, (gemounted wie im Wiki beschrieben) aber egal was ich mache es kommt immer "Operation not permitted"

    Es ist sehr unwahrscheinlich, das Du damit die Malware entfernst.

    Die autorun.sh wird üblicherweise bei QNAP über die GUI angesprochen-

    Wo das in Deinem QTS ist, kann ich Dr nicht sagen, bei mir ist es unter

    Control-Panel - Hardware - General


    pasted-from-clipboard.png


    Gruss


    P.S. Es gab auch mal ein QPKG dazu, da die Bearbeitung etwas "trickreich" war.

    Zitat von Crazyhorse

    bevor ich das Teil mit einem DOM Recovery bricke, würde ich erst das versuchen.

    Deswegen ja notfalls wenn alles andere nichts hilft.

    dr_mike sieht z.B. überhaupt keinen Sinn darin hier ein Recovery zu durchzuführen, im Ernstfall würde ich aber nichts unversucht lassen...

    Also aktuell ist es jetzt so, dass die NAS komplett leer ist, also im neu Zustand, mit aktueller FW, ich kann wieder App installieren und aktualisieren und durch den Malware Remover ist nun auch die autorun.sh wieder leer (auch nach einem Neustart). Ich denke das müsste es jetzt gewesen sein. Werde das verhalten der Box noch einige Tage beobachten und testen...


    Vielen dank auf jedenfall für eure schnelle Hilfe!