Udzielamy pomocy MalwareRemover

Dyskusja w 'Narzędzia użytkowe' rozpoczęta przez użytkownika zgoneq, 13 Lipiec 2017.

Ładowanie...
  1. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    6 102
    Miejscowość:
    Nowy Sącz
    Local Time:
    14:25
    Oceny:
    +1 353 / 30 / -5
    Followers:
    22
    QNAP:
    TVS-x71
    Ethernet:
    1 GbE
  2. cajar
    Offline

    cajar Nowy użytkownik Noobie

    Dołączył:
    23 Styczeń 2017
    Wiadomości:
    9
    Local Time:
    14:25
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Ethernet:
    null
    null null
    Podłącze się pod temat, bo też mam problem z malware.

    1. Zobaczyłem z poziomu UI, że autorun.sh ma dziwną zawartość
    qnap-autorun.

    2. W App Center było kilka aplikacji o dziwnych nazwach
    qnap-apps.

    3. Po instalacji Malware Remover - komunikaty o wykryciu malware.
    qnap-malware1. qnap-malware2. qnap-malware3.

    4. Podejrzanie wpisy w cron
    qnap-cron1.

    Po przejrzeniu tych podejrzanych plików wszystkie mają content bardzo podobny do autorun.sh.
    Odinstalowałem podejrzane aplikacje, usunąłem wpisy crontab. Aplikacji brak, ale wpisy wróciły po reboocie. Malware remover na zmiane pokazuje, że jest malware, po reboocie nie ma, po reboocie znów jest.
    Jakby tego było mało, część aplikacji wcale nie działa - jak Monitor Zasobów, Container Station czy QCenter agent (akurat tej ostatniej nie da sie zainstalować).

    Konto admin miało dobre hasło + 2 factor auth. Moje drugie konto admina (inny user) też miało dobre hasło. Jedyny sposób infekcji to właśnie luka w software QNAP. Przyznam, że straciłem zaufanie do tej firmy, a mam kilka ich urządzeń.

    Problem zgłoszony do supportu, ale biorąc pod uwagę dotychczasowy kontakt z supportem, nie jestem do końca przekonany czy będą mi w stanie pomóc.

    1. Gdzie na dysku znajdę plik autorun.sh? Chciałbym go ręcznie wyczyścić.
    2. Jakie IP zablokować na sieci, żeby malware nie miał kontaktu z centralą?
    3. Wieczorem usunę pliki, na które wskazują wpisy cron, usunę same wpisy. Ale czy to wystarczy? Obawiam się, że czeka mnie factory reset - a tego chciałbym uniknąć.

    Jesteście w stanie mi pomóc z pozbyciem się tego śmiecia z dysków? :)
     
  3. Silas Mariusz
    Offline

    Silas Mariusz SysOp Administrator

    Dołączył:
    5 Kwiecień 2008
    Wiadomości:
    6 102
    Miejscowość:
    Nowy Sącz
    Local Time:
    14:25
    Oceny:
    +1 353 / 30 / -5
    Followers:
    22
    QNAP:
    TVS-x71
    Ethernet:
    1 GbE
    TVS-x71 1 GbE
    @cajar@cajar na PM moge wysłam Ci bete Malware Removera.
     
  4. cajar
    Offline

    cajar Nowy użytkownik Noobie

    Dołączył:
    23 Styczeń 2017
    Wiadomości:
    9
    Local Time:
    14:25
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Ethernet:
    null
    null null
    Cały czas piszę z supportem, ale niezależnie prowadzę swoje działania. Poniżej info co już zrobiłem:

    1. Usunąłem ostatecznie podejrzane wpisy z crontaba (trzeba edytować pliki w /etc zamiast crontab -l).
    2. Wyczyściłem zawartość autorun.sh (edycja pliku po podmontowaniu w /tmp/...)
    3. Ustaliłem prawdopodobną datę infekcji 17-09-2017 01:38. Przeszukałem / w poszukiwaniu plików sh zmienionych tego dnia. Wyników było około 30.
    Niestety większość z nich posiada doklejony malware na początku. Co ważne - często były to kluczowe pliki usług jak Download Station, plik sh Pythona czy disk management.
    4. Nie mam żadnej pewności, że malware nie jest rootkitem który się chowa w ps i top.
    5. Obecna wersja Malware Remover nie pomaga. Nawet jeśli coś usunie - niebawem pliki powracają.
    6. Kod malware z plików sh jest charakterystyczny (litera ${jakies znaki} litera litera ${znaki} ....) więc przeszukałem / pod tym kątem. Również usunąłem te pliki.

    Podsumowując: wątpie czy da się pozbyć tego w 100% w sposób inny niż formatowanie dysków.
     
  5. pigers
    Online

    pigers GOD's left hand - careful - he don't care anymore. Administrator

    Dołączył:
    26 Lipiec 2013
    Wiadomości:
    5 742
    Miejscowość:
    Nysa
    Local Time:
    14:25
    Oceny:
    +1 027 / 28 / -12
    Followers:
    2
    QNAP:
    TS-x53
    Synology:
    huh ? I do not collect crap
    Ethernet:
    1 GbE
    TS-x53 1 GbE
    edycja offline, nie na włączonym NASie
     
  6. cajar
    Offline

    cajar Nowy użytkownik Noobie

    Dołączył:
    23 Styczeń 2017
    Wiadomości:
    9
    Local Time:
    14:25
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Ethernet:
    null
    null null
    Edycja offline też na niewiele się zda, jeśli malware zaatakował kluczowe procesy systemu (linuxa).
    A bez reverse engineeringu (lub wycieku źródeł) malware nikt nie potwierdzi, że tak nie jest.
    --- Połączono posty, 17 Październik 2017 o 22:46, Data oryginalnego postu: 17 Październik 2017 o 18:44 ---
    Ostatecznie proces zakończył się błędem:
    Kod (Text):
    1. /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
    2. [/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
    3. /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
    4. [/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
    5. /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/modules/02_autoupgrade.pyc is running
    6. [/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # 2017-10-17 22:31:06,747 gagdet.py:36 [qgagdet] CRITICAL Except Start
    7. 2017-10-17 22:31:06,747 gagdet.py:40 [qgagdet] CRITICAL     <class 'FileNotFoundError'>
    8. 2017-10-17 22:31:06,748 gagdet.py:41 [qgagdet] CRITICAL     [Errno 2] No such file or directory: 'docker'
    9. 2017-10-17 22:31:06,748 gagdet.py:42 [qgagdet] CRITICAL     <traceback object at 0x7fc95ff7edc8>
    10. 2017-10-17 22:31:06,748 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
    11. 2017-10-17 22:31:06,748 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
    12. 2017-10-17 22:31:06,749 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7edc8>
    13. 2017-10-17 22:31:06,749 gagdet.py:49 [qgagdet] CRITICAL         function or module? __call__
    14. 2017-10-17 22:31:06,749 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
    15. 2017-10-17 22:31:06,749 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
    16. 2017-10-17 22:31:06,750 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
    17. 2017-10-17 22:31:06,750 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed08>
    18. 2017-10-17 22:31:06,750 gagdet.py:49 [qgagdet] CRITICAL         function or module? execute
    19. 2017-10-17 22:31:06,750 gagdet.py:50 [qgagdet] CRITICAL         file? modules/gagdet.py
    20. 2017-10-17 22:31:06,750 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
    21. 2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
    22. 2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed88>
    23. 2017-10-17 22:31:06,751 gagdet.py:49 [qgagdet] CRITICAL         function or module? __init__
    24. 2017-10-17 22:31:06,751 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
    25. 2017-10-17 22:31:06,751 gagdet.py:46 [qgagdet] CRITICAL         <class 'FileNotFoundError'>
    26. 2017-10-17 22:31:06,751 gagdet.py:47 [qgagdet] CRITICAL         [Errno 2] No such file or directory: 'docker'
    27. 2017-10-17 22:31:06,751 gagdet.py:48 [qgagdet] CRITICAL         <traceback object at 0x7fc95ff7ed48>
    28. 2017-10-17 22:31:06,752 gagdet.py:49 [qgagdet] CRITICAL         function or module? _execute_child
    29. 2017-10-17 22:31:06,752 gagdet.py:50 [qgagdet] CRITICAL         file? /share/CACHEDEV1_DATA/.qpkg/Python3/python3/lib/python3.5/subprocess.py
    30. 2017-10-17 22:31:06,752 gagdet.py:52 [qgagdet] CRITICAL Except Done
    31. ./MalwareRemover.sh status
    32. [/share/CACHEDEV1_DATA/.qpkg/MalwareRemover] # ./MalwareRemover.sh status
     
  7. _Floyd
    Offline

    _Floyd Network Architect Q's Professional

    Dołączył:
    6 Luty 2011
    Wiadomości:
    429
    Miejscowość:
    Warszawa/Żyrardów
    Local Time:
    14:25
    Oceny:
    +19 / 1 / -0
    Followers:
    0
    QNAP:
    TS-x53A
    Synology:
    Miałem kiedyś
    Ethernet:
    802.11ac
    TS-x53A 802.11ac
    Dziś była aktualizacja, może to coś zmieni.
     
  8. cajar
    Offline

    cajar Nowy użytkownik Noobie

    Dołączył:
    23 Styczeń 2017
    Wiadomości:
    9
    Local Time:
    14:25
    Oceny:
    +1 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Ethernet:
    null
    null null
    Jaka aktualizacja? Malware remover w app center nadal ma wersję 2.3.0 - natomiast beta (której używam) to 2.4.0.
     
  9. _Floyd
    Offline

    _Floyd Network Architect Q's Professional

    Dołączył:
    6 Luty 2011
    Wiadomości:
    429
    Miejscowość:
    Warszawa/Żyrardów
    Local Time:
    14:25
    Oceny:
    +19 / 1 / -0
    Followers:
    0
    QNAP:
    TS-x53A
    Synology:
    Miałem kiedyś
    Ethernet:
    802.11ac
    TS-x53A 802.11ac
    Hm... wybacz może to zależy od systemu. Ja dostałem info o aktualizacji do 2.3 w środę.
     

Poleć tę stronę