Beiträge von joyeaux

  • Neue Malware Remover Version 3.4.0

    So bin ich den Virus losgeworden.

    Achtung ! nachmachen auf einegne Gefahr ! ich übernehme keine Verantwortung für Schäden infolge der nachfolgende Hinweise.


    Zunächst aus der QNAP-Webseite die allerletzte Firmware (Zip Datei) herunterladen.

    Aus der WEB-Oberfläche ggf. den "falschen" MalwareRemover (bei mir vers 9.0.0) mit dem AppCenter deinstallieren.


    Dann mittels z.B: Putty (https://the.earth.li/~sgtatham/putty/latest/w64/putty.exe ), Anmeldung mit "admin" und dem zugehörigen Passwort, SSH-Protokoll muss in ->Systemsteuerung -> Netzwerk- & Dateiservices aktiviert sein; Anmeldung via SSH-Protokoll Standardport 22.


    crontab -l

    In der Ausgabe nach einen Eintrag derart suchen (es muss nicht unbedingt genau gleich sein, fängt aber mit einen Punkt an gefolgt von eine zufällige Folge an Zeichen) :

    Code
    30 * * * * /share/CACHEDEV1_DATA/.iODhcsiinRKoaeD/KlflkkyfCsmdbW.sh > /dev/null 2>&1

    Falls fündig dann

    mit

    crontab -e

    den crontab editieren und die obige Zeile löschen (cursor drauf un dd)

    Editor verlassen mit :wq

    mit

    vi /mnt/HDA_ROOT/.config/crontab

    das Ur-Crontab öffnen, die gleich Zeile suchen und wenn vorhanden ebenfalls löschen (dd)

    Editor verlassen mit :wq


    dann -der komische Name .iODhcsiinRKoaeD muss natürlich ersetzt werden, mit dem was in crontab gefunden wurde!-

    rm -rf /share/CACHEDEV1_DATA/.iODhcsiinRKoaeD !!!!hier .iO.... ersetzen

    mit ll /share/CACHEDEV1_DATA/ suchen ob mehr solche komische Einträge mit .zufälliche Buchstaben vorhanden sind.

    Jeder davon mit

    rm -rf /share/CACHEDEV1_DATA/.balabla

    entfernen.


    dann die Reste des falschen MalwareRemover loswerden

    chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/*

    chattr -i /share/CACHEDEV1_DATA/.qpkg/MalwareRemover

    rm -rf /share/CACHEDEV1_DATA/.qpkg/MalwareRemover


    Die nächsten Schritte habe ich vom QNAP-Support mitgeteilt bekommen :

    Zitat von QNAP Support

    curl https://download.qnap.com/Stor…/utility/derek-be-gone.sh | sh

    Dies repariert den AppCenter, wird den Malware Remover Installieren und automatisch einen Scan inklusive Säuberung starten.

    Dann der Firmware update aus der ZIP-Datei aus der Web-Oberfläche durchführen.

    WICHTIG: Danach müssen sie unbedingt alle NAS User Passwörter ändern und das NAS neu starten.

  • Neue Malware Remover Version 3.4.0

    Vor ein paar Tage erhielt ich die Fehlermeldung

    Code
    [Malware Remover] konnte nicht mit dem Scannen beginnen. Fehlercode: 1.


    Als ich mir das ansah, sah ich in Appcenter einen Malware Remover Version 9.0.0.0.

    Da ich 2 weitere QNAPs des gleichen Typs habe, weiß ich, dass die aktuelle offizielle Version 3.4 ist und deshalb vermutete ich, dass eine Malware sie überschrieben hat.

    Ich habe MalwareRmover aus dem App Center gestoppt+desinstalliert.

    Ich bemerkte, dass der Malware-Entferner nicht mehr im App Center aufgeführt war, so dass keine Neu-installation aus dem Appstore möglich war.

    Also habe ich die von der QNAP-Website verfügbare Version (MalwareRemover_3.3.1_20181108_164559.zip) heruntergeladen und versucht, sie manuell zu installieren.

    Dies scheiterte mit einer seltsamen Fehlermeldung

    Code
    [App Center] konnte MalwareRemover aufgrund eines Datendateifehlers nicht installiert werden.

    Wie Eckfahne


    Ich habe mich per SSH angemeldet und versucht, rm-rf /share/CACHEDEV1_DATA/.qpkg/MalwareRemover zu entfernen.

    Dies war teilweise erfolgreich: einige Dateien in Unterverzeichnissen und das Verzeichnis /share/CACHEDEV1_DATA/.qpkg/MalwareRemover selbst wurden immutable gesetzt (lsattr zeigte ----i----).

    Ich habe das unveränderliche Flag (chattr -i) entfernt und konnte endlich rm -rf /share/CACHEDEV1_DATA/.qpkg/MalwareRemover.

    Ab diesem Zeitpunkt würde das App Center ein graues Symbol (qpkg) mit dem Hinweis "falsche Informationen in der Konfigurationsdatei" anzeigen.


    Ich habe nun erneut versucht, MalwareRemover_3.3.1_20181108_164559.zip manuell zu installieren, das war erfolgreich.

    Ich habe den Malware-Entferner gestartet, aber er hat nichts gefunden.

    Ich habe den NAS neu gestartet und sofort nach dem Start die Fehlermeldung [Malware Remover] konnte das Scannen nicht gestartet werden.


    Login und schau, der "gute" Malware Remover, den ich gerade installiert hatte, wurde wieder auf Version 9.0.0.0 gepatcht wurde und das Verzeichnis wieder immutable gesetzt wurde.


    Ich bin dann infiziert. Ich habe ein Ticket beim SUpport aufgemacht, mal sehen was es wird.

    Es ist auch den Beweis daß es einen Malware gibt, was den Remover 3.3.1 nicht kennt und denn AppStore blockiert.