Pomoc MalwareRemover

zgoneq · 13 Lipiec 2017

Cześć,
mam pytanie do do logów z MalwareRemovera. Codziennie o 3 rano w logach mam informację cytuję

[MalwareRemover] Scan completed and malware deleted.

Gdzie mogę znaleźć co to było?
w /mnt/hda_root/.logs tego nie widzę...

Wersja oprogramowania Firmware: 4.3.3 Build 20170703
Model serwera: QNAP TS-453A

Silas Mariusz · 6 Październik 2017

Jutro TeamViewer - znaczy dzisiaj

cajar · 13 Październik 2017

Podłącze się pod temat, bo też mam problem z malware.

1. Zobaczyłem z poziomu UI, że autorun.sh ma dziwną zawartość

2. W App Center było kilka aplikacji o dziwnych nazwach

3. Po instalacji Malware Remover - komunikaty o wykryciu malware.

4. Podejrzanie wpisy w cron

Po przejrzeniu tych podejrzanych plików wszystkie mają content bardzo podobny do autorun.sh.
Odinstalowałem podejrzane aplikacje, usunąłem wpisy crontab. Aplikacji brak, ale wpisy wróciły po reboocie. Malware remover na zmiane pokazuje, że jest malware, po reboocie nie ma, po reboocie znów jest.
Jakby tego było mało, część aplikacji wcale nie działa - jak Monitor Zasobów, Container Station czy QCenter agent (akurat tej ostatniej nie da sie zainstalować).

Konto admin miało dobre hasło + 2 factor auth. Moje drugie konto admina (inny user) też miało dobre hasło. Jedyny sposób infekcji to właśnie luka w software QNAP. Przyznam, że straciłem zaufanie do tej firmy, a mam kilka ich urządzeń.

Problem zgłoszony do supportu, ale biorąc pod uwagę dotychczasowy kontakt z supportem, nie jestem do końca przekonany czy będą mi w stanie pomóc.

1. Gdzie na dysku znajdę plik autorun.sh? Chciałbym go ręcznie wyczyścić.
2. Jakie IP zablokować na sieci, żeby malware nie miał kontaktu z centralą?
3. Wieczorem usunę pliki, na które wskazują wpisy cron, usunę same wpisy. Ale czy to wystarczy? Obawiam się, że czeka mnie factory reset - a tego chciałbym uniknąć.

Jesteście w stanie mi pomóc z pozbyciem się tego śmiecia z dysków?

Silas Mariusz · 16 Październik 2017

@cajar na PM moge wysłam Ci bete Malware Removera.

cajar · 17 Październik 2017

Cały czas piszę z supportem, ale niezależnie prowadzę swoje działania. Poniżej info co już zrobiłem:

1. Usunąłem ostatecznie podejrzane wpisy z crontaba (trzeba edytować pliki w /etc zamiast crontab -l).
2. Wyczyściłem zawartość autorun.sh (edycja pliku po podmontowaniu w /tmp/...)
3. Ustaliłem prawdopodobną datę infekcji 17-09-2017 01:38. Przeszukałem / w poszukiwaniu plików sh zmienionych tego dnia. Wyników było około 30.
Niestety większość z nich posiada doklejony malware na początku. Co ważne - często były to kluczowe pliki usług jak Download Station, plik sh Pythona czy disk management.
4. Nie mam żadnej pewności, że malware nie jest rootkitem który się chowa w ps i top.
5. Obecna wersja Malware Remover nie pomaga. Nawet jeśli coś usunie - niebawem pliki powracają.
6. Kod malware z plików sh jest charakterystyczny (litera ${jakies znaki} litera litera ${znaki} ....) więc przeszukałem / pod tym kątem. Również usunąłem te pliki.

Podsumowując: wątpie czy da się pozbyć tego w 100% w sposób inny niż formatowanie dysków.

Usunięty użytkownik pigers · 17 Październik 2017

edycja offline, nie na włączonym NASie

cajar · 17 Październik 2017

Edycja offline też na niewiele się zda, jeśli malware zaatakował kluczowe procesy systemu (linuxa).
A bez reverse engineeringu (lub wycieku źródeł) malware nikt nie potwierdzi, że tak nie jest.
Ostatecznie proces zakończył się błędem:

Kod:

/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # 2017-10-17 22:31:06,747 gagdet.py:36 [qgagdet] CRITICAL Except Start
2017-10-17 22:31:06,747 gagdet.py:40 [qgagdet] CRITICAL     <class 'FileNotFoundError'>
2017-10-17 22:31:06,748 gagdet.py:41 [qgagdet] CRITICAL     [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,748 gagdet.py:42 [qgagdet] CRITICAL     <traceback object at 0x7fc95ff7edc8>
2017-10-17 22:31:06,748 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,748 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,749 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7edc8>
2017-10-17 22:31:06,749 gagdet.py:49 [qgagdet] CRITICAL         function or module? __call__
2017-10-17 22:31:06,749 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
2017-10-17 22:31:06,749 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,750 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,750 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed08>
2017-10-17 22:31:06,750 gagdet.py:49 [qgagdet] CRITICAL         function or module? execute
2017-10-17 22:31:06,750 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
2017-10-17 22:31:06,750 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed88>
2017-10-17 22:31:06,751 gagdet.py:49 [qgagdet] CRITICAL         function or module? __init__
2017-10-17 22:31:06,751 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
2017-10-17 22:31:06,751 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed48>
2017-10-17 22:31:06,752 gagdet.py:49 [qgagdet] CRITICAL         function or module? _execute_child
2017-10-17 22:31:06,752 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
2017-10-17 22:31:06,752 gagdet.py:52 [qgagdet] CRITICAL Except Done
./MalwareRemover.sh status
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status

_Floyd · 18 Październik 2017

Dziś była aktualizacja, może to coś zmieni.

cajar · 19 Październik 2017

Jaka aktualizacja? Malware remover w app center nadal ma wersję 2.3.0 - natomiast beta (której używam) to 2.4.0.

_Floyd · 20 Październik 2017

Hm... wybacz może to zależy od systemu. Ja dostałem info o aktualizacji do 2.3 w środę.

Penerros · 21 Październik 2017

Na TS-251 była aktualizacja do 2.3.0 i przestał pokazywać:
Scan completed and malware deleted.

plonking · 21 Październik 2017

@Penerros

A jak wejdziesz w AppCenter w tą aplikację to co Ci się pokażę ? Ja mam zainstalowaną Betę 2.4, w szukajce pokazuje 2.3, ale jak wejdę w dane aplikacji to mam takie dane:

PS. Ile u Ciebie trwa przeskanowanie całości ? czyli pewnie jak zacznie o 3:00 w nocy to o której masz komunikat o zakończeniu skanowania ?

Irokez · 27 Październik 2017

hehe.. poprawiło się u mnie

Informacja 2017/10/27 03:00:00 System 127.0.0.1 localhost [Malware Remover] Start scanning.
Informacja 2017/10/27 03:00:25 System 127.0.0.1 localhost [Malware Remover] Scan failed, error = 1

plonking · 28 Październik 2017

@Irokez : u mnie po odinstalowaniu Bety 2.4 i zainstalowaniu 2.3 z AppCenter za pierwszym razem też chyba walnęło ten błąd, ale teraz od 3 dni jest bardzo ładnie już ;]

Penerros · 30 Październik 2017

Wydaje mi się, że strasznie długo to skanuje około 4h

?temp_hash=837382bb033f987406bae3dba2b0542c.png

Silas Mariusz · 30 Październik 2017

Sprawdźcie nową wersje.

Irokez · 30 Październik 2017

Odinstalowałem u siebie wczoraj i zainstalowałem podobnie.
Log z nocy mam znowu Scan failed, error = 1
Zrobiłem restart NAS'a i po restarcie skan Malvare jest ok w logu.
Ale zobaczymy w nocy jak znowu wystartuje. Potem ewentualnie sprawdzę tę nową (jakaś testowa?)

Silas Mariusz · 30 Październik 2017

Irokez napisał:
Log z nocy mam znowu Scan failed, error = 1

Taki, log ponieważ skan został przerwany.

Irokez · 30 Październik 2017

ok, ale o 3-ciej w nocy żaden domownik mu nie przerywał.. wczoraj czy przedwczoraj też. Wejścia z zewnątrz nie ma, bo poblokowałem jakiś czas temu wszystkie standardowe porty (Ruskie próbowały się dobijać po portach https).
Chyba że się system wysypał i teraz po restarcie zacznie działać.

Silas Mariusz · 5 Listopad 2017

Malware Remover, który jest poprawiony.

Horn · 6 Listopad 2017

Wie ktoś, czy można jakoś zmienić godzinę skanowania ?

Pomoc MalwareRemover

Systems Admin...

rm -rf /

System Engineer

rm -rf /

System Engineer

Usunięty użytkownik pigers

Guest

System Engineer

Master+ Architect

System Engineer

Master+ Architect

Enterprise Admin...

Entry Technician

Entry Technician

Entry Technician

Enterprise Admin...

Załączniki

rm -rf /

Entry Technician

rm -rf /

Entry Technician

rm -rf /

Załączniki

Passing Basics

Mogą Cię zainteresować

Użytkownicy znaleźli tą stronę używając tych słów: