Inzwischen gibt es auch von QNAP direkt eine Anleitung zur Entfernung der Schadsoftware:
http://www.qnap.com/i/de/support/con_show.php?cid=74
Beiträge von rabe65
-
-
Zitat
dr_mike hat geschrieben:
So wissen wir zumindest jetzt ganz sicher, dass der Konfigurationsbereich bei einem Recovery nicht überschrieben und somit kein Full-Flash-Image aufgespielt wird.
In der Tat, das hat mich auch überrascht, wobei ich aber vermute, dass diese autorun.sh gar nicht gestartet wird. Ich habe nämlich z.B. definitiv keine ssh auf port 26.
Es sei denn ... darüber möchte ich liebe nicht nachdenken...ZitatDrauka hat geschrieben:
Er meinte es wäre gut, wenn man die schon vor dem FW-Recovery löscht!Im Prinzip ist das sicher sinnvoll. Aber da das FW-Recovery ohnehin mit ausgestöpselten Festplatten gemacht werden muss, funktioniert das Kopieren der Daten im autorun.sh
ohnehin nicht mehr. Ich halte das Risiko für eher gering, wenn man das danach macht.
Die viel kritischere Frage ist, gibt es außer dem autorun noch andere Stellen im Flash, die durch die Schadsoftware betroffen sind und durch das Recovery nicht überschrieben werden. Das wissen wir wohl im Moment nicht genau.ZitatMRudy hat geschrieben:
hallo rabe,
wie genau hast du die hdds gereinigt - nur die dateien gelöscht, neu formatiert, oder irgendeine "cleaning tool" verwendet?
Cleaning Tools gibt es ja genug. Ich habe aber die Platten an meinen Windows PC angeschlossen und via diskpart (Windows7 Shell-Tool) mit "clean all" gelöscht. Das löscht die Partitionstabellen, den MBR und beschreibt auch alle Sektoren mit 0. Dauert aber je nach Schnittstelle und Plattengröße mehrere Stunden bis halben Tag. Die Platten werden dann ohnehin bei der Neuinstallation der NAS partitioniert und formatiert. -
Hallo,
ich habe inzwischen bei meiner TS219p+ das Firmware recovery gemäß http://wiki.qnap.com/wiki/Firmware_Recovery gemacht,
die Festplatten komplett gelöscht und die NAS neu aufgesetzt.
Ich sehe jetzt keine Anzeichen mehr,dass das die Schadsoftware noch aktiv ist, kein pnscan mehr, etc.
Jedoch habe ich noch immer die gleiche autorun.sh Datei im Flash, identisch mit der, die hier in diesem Thread schon
gepostet wurde. Natürlich gibt es die optware-Verzeichnisse nicht mehr (die ja auf der Platte liegen) von denen aus
kopiert wird....
Dennoch würde ich gerne zumindest die autorun.sh durch eine nicht manipulierte ersetzen.
Könnte die mal jemand posten?Gruß rabe65
-
Danke dr_mike für die Analyse, da kommen wir ja schon mal einen kleinen Schritt weiter.
Gibt es irgendwo infos darüber wie das Filesystem der NAS strukturiert ist und wo welche Teilbäume liegen - ich bin kein QNAP Firmeware Experte.
Wo findet man genau das Flash-Config Device Dateibaum?
Wenn QNAP bislang keine Möglichkeit angeboten hat den Flash neu zu schreiben, sollten wir vielleich mal direkt QNAP informieren...
Gruß rabe65 -
So, ich bin das Schadverhalten jetzt losgeworden - traue dem Frieden aber nicht.
Auch bei mir war letztendlich auch pnscan aktiv und wohl für den Traffic (im Prinzip eine interne DoS-Attack auf die Fritzbox) verantwortlich.
Ich habe die NAS vom Netz getrennt und via PC (OHNE Internet Zugang) die aktuellste Firmware (natürlich zuvor mit Internetzugang downgeloaded)
nochmal auf die NAS aufgespielt (und natürlich gebootet). Jetzt ist der Traffic weg, genau so wie der pnscan Prozess (schon einen halben Tag lang - aber vom Internet isoliert).
Trotzdem werde ich die NAS-komplett platt machen und neu Aufsetzen.Vielleicht hift das ja bei Euch Anderen mit demselben Problem - dann kann man zumindest in Ruhe ein Backup der Platten ziehen...
Gruß rabe65
-
Bei mir war es eben nicht der Qfix, sondern im Log stand "ShellshockFix 1.0.2 installiert" - eine solche Datei gibt es aber von QNAP gar nicht.
Ich vermute, das ist eine relativ neuer Virus - mein Virenscan hat keine Ergebnisse gefunden, was dann auch nicht überrascht.
Gleichzeitig meldet aber die NAS beim Neustart, dass das RAID-Verzeichnis nicht "clean" ist. Die Datenträgerüberprüfung bricht auch
recht schnell mit einer Fehlermeldung ab, dass die Überprüfung durch durchgeführt werden kann.
Daher gehe ich davon aus, dass sich die Schadsoftware auf der Festplatte, die die QNAP Firmware beinhaltet, eingenistet hat.
Somit bleibt nur Backup - Virenscan des Backup - NAS-Festplatten komplett löschen - NAS neu Aufsetzen.
Alles andere würde eine genauere Kenntnis der Schadsoftware erfordern... -
Danke für den Link - aber genau das habe ich mir inzwischen auch überlegt.
Mein Verdacht ist, dass ich eine relativ neue Schadsoftware über die nicht geschlossene ShellShock Lücke (meine eigene Nachlässigkeit) eingefangen habe.
Somit bleibt nichts anderes übrig... -
Danke, das vermute auch, da ich inzwischen festgestellt habe, dass die NAS permanent ca. 100KB/s Daten sendet.
Ich habe die akuelle Firmeware neu installiert, aber da das Problem hat kurz nach dem Start erneut begonnen.
Wenn die NAS gehijackt wurde - wie bekomme ich sie wieder sauber, wenn das Neuinstallieren der Firmware nicht hilft - ohne die
Festplatten neu zu formatieren...
Danke für die Hilfe
rabe65 -
Hallo,
ich habe seit heute morgen das gleiche Problem und suche schon den ganzen Tag vergeblich.
Die Nacht zuvor hat meine QNAP TS-219P+ einen ShellshockFix 1.0.2 installiert - ganz ohne mein Zutun und die Box hat neu gebootet.
Seitdem legt die Box meinen Internetzugang lahm. Wie ich jetzt festgestellt habe, sendet sie permanent mit ca. 100 KB/s (laut Netzwerkmonitor auf der QNAP).
Ich habe hatte zuvor Qnap 4.1.0 auf der Box - habe dann auf 4.1.1. upgedated. Nach kurzer Zeit ging es wieder los mit der dem Dauersenden.
Ich habe auch alle Server deaktiviert, auch die Downloadstation. Das hat aber nichts gebracht.
Ich vermute auch einen Virus.Gibt es einen Virenscanner für die Qnap Firmware?
Ich vermute dass der installierte Virenscanner nicht die Firmware scant...Gruß rabe65
-
Hallo,
ich habe eine Qnap PS-219P+ die seit drei Jahren problemlos in meinem Heimnetzwerk mit mehrern Internetgeräte läuft.
Ich habe die Firmware 4.0.1 drauf (also nicht die aktuellste).
Heute nacht wurde automatisch (ohne mein Zutun) der ShellshockFix 1.0.2 installiert. Die QNAP hat darauf hin neu gestartet.Seit dem legt sie mein Netzwerk lahm. Wenn die Qnap im Netz ist, führt das dazu dass keine Internetverbindung mehr von
irgendeinem Netzwerkgerät NACH AUßEN möglich ist. Selbst der Browerzugang zur Fritzbox ist blockiert. Jedoch ist der
Zugriff auf die QNAP-Shares weiterhin möglich. Es sieht also so aus, als würde die QNAP das Netzwerk auf irgendeine Weise stören.Ist die QNAP vom Netz funktioniert der Internetzugriff nach außen einwandfrei. Ich vermute einen Zusammenhang mit dem ShellshockFix.
Kann das jemand bestätigen?Gruß Ralph