Pomoc Malware i qnap

Hej, mam wrażenie że znów coś jest nie tak. Skasowałem wersję developerską i zainstalowałem wersję z APPS.

Niestety pojawiły mi się syf, mimo tego ze nie mam MusicStation:
[~] # crontab -l
# m h dom m dow cmd
0 2 * * * /sbin/qfstrim
0 3 * * 0 /etc/init.d/idmap.sh dump
0-59/20 3 * * * /sbin/adjust_time
0 4 * * * /sbin/hwclock -s
0 3 * * * /sbin/vs_refresh
0 3 * * * /sbin/clean_reset_pwd
0-59/15 * * * * /etc/init.d/nss2_dusg.sh
0 * * * * /share/CE_CACHEDEV1_DATA/.n.FLroiyvi/SeSxuwfZbz.sh >/dev/null 2>&1
30 7 * * * /sbin/clean_upload_file
0-59/10 * * * * /etc/init.d/storage_usage.sh
30 3 * * * /sbin/notice_log_tool -v -R
*/10 * * * * /sbin/config_cache_util 0
10 15 * * * /usr/bin/power_clean -c 2>/dev/null
56 9,21 * * * /sbin/notify_update --nc 1>/dev/null 2>&1
0 1 * * * echo 1 > /proc/sys/vm/compact_memory
*/10 * * * * bash /usr/local/sbin/sa_notice_checker.sh;#_SA_SecurityCounselor_SA _cloud_schedule_task_SA_
13 * * * * /sbin/qddns_check 2>/dev/null
00 03 * * * sh /share/CE_CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh s can;#_QSC_:MalwareRemover:malware_remover_schedule:None:d::
10 6 * * 5 /etc/init.d/reboot
* * * * * /var/cache/netmgr/lock_timer.sh
0 4 * * * /etc/init.d/wsd.sh restart
0 0 * * 1 /etc/init.d/antivirus.sh scan 1
0 0 * * * /etc/init.d/antivirus.sh archive_log
52 0 */1 * * /etc/init.d/antivirus.sh update_db
0 12 * * * /mnt/ext/opt/LicenseCenter/bin/qlicense_tool local_check
0 0 * * * /usr/local/sbin/qsh nc.archive >/dev/null 2>&1
25 14 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli
35 7 * * * /sbin/qsyncsrv_util -c > /dev/null 2>/dev/null
0 0 * * * /sbin/qsyncsrv_tool --fix > /dev/null 2>/dev/null
0 6 * * 1,0,3,2,5,4,6 /usr/local/bin/python /share/CE_CACHEDEV1_DATA/.qpkg/Secur ityCounselor/bin/security_advisor --check_all;#_SA_SecurityCounselor_SA_security _counselor_schedule_task_SA_
4 3 * * 3 /etc/init.d/backup_conf.sh
*/1 * * * * /share/CE_CACHEDEV1_DATA/.qpkg/rtorrent/rtorrent.sh svc_watchdog
 
Fajnie, że dodali nową wersję. Nie chce mi się dekompilować modułów pythona z MR żeby sprawdzać czy coś zmienili z wersją dev którą u mnie nie usunęła wszystkiego. Można śmiało założyć (tak jak to ktoś już pisał) że nie - MR nie usunie wszystkich podejrzanych plików.
Co więcej dowiedziałem, że przynajmniej 2 osoby które padły ofiarą malware nie używały Music Station. Czy ktoś nie ma zewnętrznego IP i też ma malware? Może się okazać, że problem jest w qnap cloud (moje przypuszczenie) - proponuję wyłączyć UPnP na routerze....
 
mimo braku posiadania MusicStation, mimo posiadania wersji developerskiej MS a teraz oficjalnej wersji, wydaje mi się ze od jakiegoś czasu Nas znów ma jakieś luki.. Zauważyłem to przez dziwne porty na uPnP. Wykonałem ponownie sprawdzenie oficjalnym narzędziem i mogę stwierdzić ze nie działa.
Wyłączyłem uPnP a nadal mam na routerze:
upload_2018-10-17_15-47-23.png

Dostałem odpowiedź że jest wszystko dobrze jak już pliku nie ma w tym katalogu:
MR nie zmienia crona tylko ale malware kasuje. Może Pan ręcznie wpis wykasować: Add items to crontab - QNAPedia

Ciekawe, czyli narzędzie nie usuwa śmieci z systemu do końca. Pytanie tylko jest inne jak skoro nie miałem MusicStation utworzyło się coś na dysku?! Jakiś czas temu wysyłałem Cron i miałem wszystko czysto.
 
@_Floyd dobrze mi się wydaje że stawiałeś wszystko od początku oraz czyściłeś DOM + autorun.sh?
Zmieniałeś też domyślne konto 'admin' na jakieś inne? Jeśli tak to ja pierniczę. Może jakiś pracownik qnapa się wypowie - wtf?
Port 6881 to jest domyślny port rtorrenta -> reszta nie wiem.
Poszukaj też w top'ie czy nie ma tam jakiś dziwnych procesów
 
Nie do końca. DOM nie czyściłem. autorun.sh mi się wymazał gdy resetowałem system i byłem na wersji beta i zszedłem manualnie do niższej wersji. Po czym nie instalowałem MusicStation. Wszystko miałem czyste Crown jak i adresy IP.
Konto Admin w Qnapie nie można zlikwidować, zmieniłem tylko hasła do wszystkiego.

Wyświetlałem jakiś czas temu Crown i był czysty, po pewnym czasie pojawił się jakiś syf który rzekomo został usunięty przez MS, po pod podaną ścieżką nie ma już tego skryptu.

Ogólnie wydaje mi się że MS usuwa pliki i skrypty jakie się pojawiły, ale nie dooma w którym nie wiadomo co jest. To mój domysł.

W każdym razie w moim odczuciu nie jest ok skoro nie miałem narzędzia przez które można wejść a coś nowego się pojawiło, po całej reinstalacji systemu i wgraniu firmweru manualnie.
 
Ogólnie wydaje mi się że MS usuwa pliki i skrypty jakie się pojawiły, ale nie dooma w którym nie wiadomo co jest. To mój domysł.
Odnośnie DOM to w linku do wiki jaki podałeś jest polecenie jak go zamontować. Ja znazłem tam plik sh który utworzył malware, ale został 'wyczyszczony' przez MR bo miał tylko jedną linie #!/bin/bash + ręczna edycja autorun.sh (u mnie MR nie zadziałał).
Skoro to nie błąd w MS warto poczekać na oficjalny komunikat qnapa co się dzieje u nich w systemie......
 
Najlepiej się położyć na twardym. Nic nie rób. Przejdź do konkurencji, albo zainstaluj MS i wierz że Qnap naprawił co się da.

Niesmak pozostał. Chciałbym aby bardzo duża liczba osób się o tym dowiedziała. Może wtedy Qnap wziął by się do pracy by wyjść z twarzą i doczekałbym się PhotoStation chociaż w połowie tak dobrego jak ma konkurencja.
 
Konto Admin w Qnapie nie można zlikwidować, zmieniłem tylko hasła do wszystkiego.

Zlikwidować może i się nie da ale zawsze można wyłączyć. Jak wyłączyć konto „admin”?

Jeżeli chodzi o czyszczenie malware to wydaje mi się, że ogarnąłem temat poprzez czyszczenie DOM'a oraz ponowną inicjalizację NAS od zera, a w prawdzie to od firmware 1.3.0. Było trochę zabawy ale jak na razie warto. Crontab i autorun.sh czysty, dyski formatowane więc też nic nie zostało (przynajmniej na chwilę obecną).

Polecam podlinkowany już poradnik:
Firmware Recovery - QNAPedia

Według mnie bardzo dobrze wyjaśniona procedura recovery. Dwie modyfikacje jakie musiałem zrobić to użycie Xubuntu zamiast DSL. DSL coś nie chciał wystartować z działającą klawiaturą. Oprócz tego to mi się nie udała aktualizacja z wersji 1.3.0 przez Qfinder'a. Musiałem zrobić ręcznie z USB przez konsolę.

Jeżeli ktoś się obawia, że nowy obraz DOM nie zadziała to zawsze można zrobić backup obecnego i ewentualnie przywrócić w razie niepowodzenia. Ja przed nadpisaniem DOM'a wykonałem polecenie:

# cp /dev/sdb /home/xubuntu/usbdrive/old_dom.img

/dev/sdb to w tym przypadku pamięć DOM
/home/xubuntu/usbdrive ścieżka do zamontowanego pendrive'a.
 
  • Lubię to
Reakcje: Spooky
Właśnie otrzymałem majlem - to jest jakaś kpina - prawda?
Taipei, Taiwan, October 19, 2018 - QNAP® Systems, Inc. (QNAP) is committed to the protection of the privacy and data security of our users. The QNAP Security Response Team actively and regularly performs security checks on all QNAP NAS systems and recently identified an attack that possibly exploits known vulnerabilities in earlier QTS versions and the Music Station app. Malware can then be downloaded and executed on the compromised system. This malware may potentially result in unauthorized access to NAS data.

To ensure data security, QNAP strongly recommends that users immediately install the Malware Remover 3.3.0 app on their QNAP NAS. Malware Remover 3.3.0 can detect and delete malware on your NAS. Please follow the steps below. You can learn more about this vulnerability at the QNAP Security Advisory page.

Step 1: Install or update the Malware Remover 3.3.0 app in the QTS App Center. Once installed, Malware Remover will automatically start scanning for malware. Scan results can be viewed in the QTS System Logs.

Step 2: If Malware Remover 3.3.0 found and removed malware on your NAS, we recommend to change the passwords for all NAS users.

Step 3: Ensure QTS and the Music Station app (if installed) are updated to the latest version available for your NAS.
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. aktualizacja przez konsole