Pomoc Malware i qnap

Przed weekendem otrzymałem od supportu wersję developerską MR 3.30DEV
Też ją dostałem, uruchomiłem + restart. Pisało, że brak błędów.
Ale mój autorun.sh wygląda tak:
Kod:
#!/bin/sh

tr${awfhpg}ue
${MSKGnPoMwPCzu}comman$'\x64'
$kZLkrgHfUG$""e${dhelZSex}val
Do tego zostały wpisy w crontab ale wskazują na pliki sh które mają tylko nagłówek #!/bin/sh. Przeglądając pobieżnie pliki znalazłem również jakieś .sh zaszyfrowane. Coś ruszyło się do przodu ale wnioskuję że u mnie DOM nie został naprawiony.
Zostałem poproszony o dostęp zdalny.
 
U mnie autorun czysty ale wywołanie crontab -l listuje mi jeszcze jeden podejrzany (według mnie, bo jak wspomniałem nie mam o tym pojęcia) wiersz. Zadałem pytanie do supportu i czekam na odpowiedź.

EDIT:

Szybkie pytanie - szybka odpowiedź: linia była pozostałością po malware, ale zakomentowana (# na początku). Czyli chyba rzeczywiście u mnie czysto.
 
U mnie autorun czysty ale wywołanie crontab -l listuje mi jeszcze jeden podejrzany

A nie masz przypadkiem takiego wpisu w crontab:
Kod:
/mnt/HDA_ROOT/.config/apache/original/set_tm_home_directory.sh
?

Nie, nie mam nic co by podobnie wyglądało.

Miałem coś takiego co jak napisałem zostało zakwalifikowane jako "pozostałość po Malware":

Kod:
#30 * * * * /share/CE_CACHEDEV1_DATA/.CcnMmf/XspxhpwtUtjhmiVSpgxec.sh >/dev/nul l 2>&1

Zresztą wysłałem cały spis z crontab do supportu więc mam cichą nadzieję, że gdyby było coś podejrzanego to by o tym wspomniano...
 
Cześć

Też dostałem wersję developerską MW chyba w piątek. Według moich testów usunął robaka - monitoruje cały ruch wychodzący i przychodzący z Qnapa - a dokładnie IP'ki i pakiety jakie lecą - po skanie ruch ustał i jak do tej pory nie powrócił wiec jest dobrze.
 
  • Lubię to
Reakcje: Gordon_23
Jeden admin bije kabze na rtorrencie a drugi poprawia sobie samopoczucie krótkimi spustami :) merytorycznie w wuj... dobrze, że sprzedałem qnapa :)
Zgadzam się. Ten admin co trzepie mamone na rtorrencie to niezły ch.... :D
 
  • Lubię to
Reakcje: grzenio
Napisałem, dostałem i dopiero po 3 restarcie oczyścił urządzenie ;(
Zdajesz sobie sprawę że oczyszczenie systemu polega na komentowaniu kodu (np. crontab) albo pozostawieniu plików ze zwykłym #!/bin/bash? Jak dla mnie dalej śmieci istnieją w systemie - tylko mają jedną linie. U mnie MR nie pomógł. Autorun dalej jest zmieniony + widziałem w systemie zaszyfrowane pliki sh, mimo że po skanowaniu MR otrzymałem informację, że nie znalazł problemów.
Jako że MR w wersji 3.3 nie oczyścił mi autorun.sh na zainfekowanym systemie zmieniłem FW z wersji 4.3.4 na 4.3.3 i później podniosłem 4.3.5. Autorun dalej się nie zmienił. Na wszelki wypadek sformatowałem też dyski. Pozostała mi ręczna edycja pliku autorun.sh. I tutaj niespodzianka. Znalazłem też plik K01bpApybp.sh który MR znalazł ale zostawił w nim tylko #!/bin/bash. Jeśli ktoś miał problem ze ściągnięciem aplikacji z App Center wpływ mogły mieć podmienione w
/etc/default_config/uLinux.conf serwery w QPKG CENTER XML i Live Update XML. Malware otwierał też ssh na procie 51163. Ciekawe co jeszcze...
 
Jako że MR w wersji 3.3 nie oczyścił mi autorun.sh na zainfekowanym systemie zmieniłem FW z wersji 4.3.4 na 4.3.3 i później podniosłem 4.3.5. Autorun dalej się nie zmienił. Na wszelki wypadek sformatowałem też dyski. Pozostała mi ręczna edycja pliku autorun.sh. I tutaj niespodzianka. Znalazłem też plik K01bpApybp.sh który MR znalazł ale zostawił w nim tylko #!/bin/bash. Jeśli ktoś miał problem ze ściągnięciem aplikacji z App Center wpływ mogły mieć podmienione w
/etc/default_config/uLinux.conf serwery w QPKG CENTER XML i Live Update XML. Malware otwierał też ssh na procie 51163. Ciekawe co jeszcze...

A to ciekawe co piszesz. Jeśli mamy Qnapa za NAT'em to przeciez otwarcie ssh nic nie da bez przekierowania portów. Jedyne co mi przychodzi do głowy to UPnP lub DNZ na routerze ewentualnie.
 

Użytkownicy znaleźli tą stronę używając tych słów:

  1. Vu
  2. aktualizacja przez konsole