Pomoc MalwareRemover

zgoneq

zgoneq

Systems Admin...
Q's Expert
16 Sierpień 2015
227
29
28
QNAP
TS-x53A
Ethernet
1 GbE
Cześć,
mam pytanie do do logów z MalwareRemovera. Codziennie o 3 rano w logach mam informację cytuję
[MalwareRemover] Scan completed and malware deleted.
Kliknij, aby rozwinąć...

Gdzie mogę znaleźć co to było?
w /mnt/hda_root/.logs tego nie widzę...


Wersja oprogramowania Firmware: 4.3.3 Build 20170703
Model serwera: QNAP TS-453A
 
Wyświetl chronologicznie Sortuj według ilości głosów
Podłącze się pod temat, bo też mam problem z malware.

1. Zobaczyłem z poziomu UI, że autorun.sh ma dziwną zawartość
qnap-autorun.jpg

2. W App Center było kilka aplikacji o dziwnych nazwach
qnap-apps.jpg

3. Po instalacji Malware Remover - komunikaty o wykryciu malware.
qnap-malware1.jpg qnap-malware2.jpg qnap-malware3.jpg

4. Podejrzanie wpisy w cron
qnap-cron1.jpg

Po przejrzeniu tych podejrzanych plików wszystkie mają content bardzo podobny do autorun.sh.
Odinstalowałem podejrzane aplikacje, usunąłem wpisy crontab. Aplikacji brak, ale wpisy wróciły po reboocie. Malware remover na zmiane pokazuje, że jest malware, po reboocie nie ma, po reboocie znów jest.
Jakby tego było mało, część aplikacji wcale nie działa - jak Monitor Zasobów, Container Station czy QCenter agent (akurat tej ostatniej nie da sie zainstalować).

Konto admin miało dobre hasło + 2 factor auth. Moje drugie konto admina (inny user) też miało dobre hasło. Jedyny sposób infekcji to właśnie luka w software QNAP. Przyznam, że straciłem zaufanie do tej firmy, a mam kilka ich urządzeń.

Problem zgłoszony do supportu, ale biorąc pod uwagę dotychczasowy kontakt z supportem, nie jestem do końca przekonany czy będą mi w stanie pomóc.

1. Gdzie na dysku znajdę plik autorun.sh? Chciałbym go ręcznie wyczyścić.
2. Jakie IP zablokować na sieci, żeby malware nie miał kontaktu z centralą?
3. Wieczorem usunę pliki, na które wskazują wpisy cron, usunę same wpisy. Ale czy to wystarczy? Obawiam się, że czeka mnie factory reset - a tego chciałbym uniknąć.

Jesteście w stanie mi pomóc z pozbyciem się tego śmiecia z dysków? :)
 
Głosuj w górę 0 Zgłoszenie negatywne
Cały czas piszę z supportem, ale niezależnie prowadzę swoje działania. Poniżej info co już zrobiłem:

1. Usunąłem ostatecznie podejrzane wpisy z crontaba (trzeba edytować pliki w /etc zamiast crontab -l).
2. Wyczyściłem zawartość autorun.sh (edycja pliku po podmontowaniu w /tmp/...)
3. Ustaliłem prawdopodobną datę infekcji 17-09-2017 01:38. Przeszukałem / w poszukiwaniu plików sh zmienionych tego dnia. Wyników było około 30.
Niestety większość z nich posiada doklejony malware na początku. Co ważne - często były to kluczowe pliki usług jak Download Station, plik sh Pythona czy disk management.
4. Nie mam żadnej pewności, że malware nie jest rootkitem który się chowa w ps i top.
5. Obecna wersja Malware Remover nie pomaga. Nawet jeśli coś usunie - niebawem pliki powracają.
6. Kod malware z plików sh jest charakterystyczny (litera ${jakies znaki} litera litera ${znaki} ....) więc przeszukałem / pod tym kątem. Również usunąłem te pliki.

Podsumowując: wątpie czy da się pozbyć tego w 100% w sposób inny niż formatowanie dysków.
 
Głosuj w górę 0 Zgłoszenie negatywne
Edycja offline też na niewiele się zda, jeśli malware zaatakował kluczowe procesy systemu (linuxa).
A bez reverse engineeringu (lub wycieku źródeł) malware nikt nie potwierdzi, że tak nie jest.
Ostatecznie proces zakończył się błędem:
Kod: 
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
/share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # 2017-10-17 22:31:06,747 gagdet.py:36 [qgagdet] CRITICAL Except Start
2017-10-17 22:31:06,747 gagdet.py:40 [qgagdet] CRITICAL     <class 'FileNotFoundError'>
2017-10-17 22:31:06,748 gagdet.py:41 [qgagdet] CRITICAL     [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,748 gagdet.py:42 [qgagdet] CRITICAL     <traceback object at 0x7fc95ff7edc8>
2017-10-17 22:31:06,748 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,748 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,749 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7edc8>
2017-10-17 22:31:06,749 gagdet.py:49 [qgagdet] CRITICAL         function or module? __call__
2017-10-17 22:31:06,749 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
2017-10-17 22:31:06,749 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,750 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,750 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed08>
2017-10-17 22:31:06,750 gagdet.py:49 [qgagdet] CRITICAL         function or module? execute
2017-10-17 22:31:06,750 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
2017-10-17 22:31:06,750 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed88>
2017-10-17 22:31:06,751 gagdet.py:49 [qgagdet] CRITICAL         function or module? __init__
2017-10-17 22:31:06,751 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
2017-10-17 22:31:06,751 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed48>
2017-10-17 22:31:06,752 gagdet.py:49 [qgagdet] CRITICAL         function or module? _execute_child
2017-10-17 22:31:06,752 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
2017-10-17 22:31:06,752 gagdet.py:52 [qgagdet] CRITICAL Except Done
./MalwareRemover.sh status
[/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
 
Głosuj w górę 0 Zgłoszenie negatywne
@Penerros

A jak wejdziesz w AppCenter w tą aplikację to co Ci się pokażę ? Ja mam zainstalowaną Betę 2.4, w szukajce pokazuje 2.3, ale jak wejdę w dane aplikacji to mam takie dane:

upload_2017-10-21_22-27-26.png

PS. Ile u Ciebie trwa przeskanowanie całości ? czyli pewnie jak zacznie o 3:00 w nocy to o której masz komunikat o zakończeniu skanowania ?
 
Głosuj w górę 0 Zgłoszenie negatywne
hehe.. poprawiło się u mnie ;)

Informacja 2017/10/27 03:00:00 System 127.0.0.1 localhost [Malware Remover] Start scanning.
Informacja 2017/10/27 03:00:25 System 127.0.0.1 localhost [Malware Remover] Scan failed, error = 1
 
Głosuj w górę 0 Zgłoszenie negatywne
Odinstalowałem u siebie wczoraj i zainstalowałem podobnie.
Log z nocy mam znowu Scan failed, error = 1
Zrobiłem restart NAS'a i po restarcie skan Malvare jest ok w logu.
Ale zobaczymy w nocy jak znowu wystartuje. Potem ewentualnie sprawdzę tę nową (jakaś testowa?)
 
Głosuj w górę 0 Zgłoszenie negatywne
ok, ale o 3-ciej w nocy żaden domownik mu nie przerywał.. wczoraj czy przedwczoraj też. Wejścia z zewnątrz nie ma, bo poblokowałem jakiś czas temu wszystkie standardowe porty (Ruskie próbowały się dobijać po portach https).
Chyba że się system wysypał i teraz po restarcie zacznie działać.
 
Głosuj w górę 0 Zgłoszenie negatywne
Musisz się zalogować lub zarejestrować, aby odpowiedzieć tutaj.

Użytkownicy znaleźli tą stronę używając tych słów:

  1. error code
Początek strony Dół
Z powrotem