Pomoc MalwareRemover

[zgoneq]

Cześć,
mam pytanie do do logów z MalwareRemovera. Codziennie o 3 rano w logach mam informację cytuję

[MalwareRemover] Scan completed and malware deleted.

Gdzie mogę znaleźć co to było?
w /mnt/hda_root/.logs tego nie widzę...


Wersja oprogramowania Firmware: 4.3.3 Build 20170703
Model serwera: QNAP TS-453A

 

[Usunięty użytkownik pigers]

zostaw tylko PL dla dostępu do Q i zobacz czy się uspokoji

ja zbanowałem "pół świata" i póki co mam "tfu tfu" spokój

 

[_Floyd]

Ja dostałem informację o infekcji i konieczności włączenia ponownie NAS i nic więcej. I to było wczoraj.

 

[cajar]

zostaw tylko PL dla dostępu do Q i zobacz czy się uspokoji

ja zbanowałem "pół świata" i póki co mam "tfu tfu" spokój

Jak to zrobić? Z panelu QTS czy ręcznie blokowałeś zakresy IP na jakimś firewall?

Ja dostałem informację o infekcji i konieczności włączenia ponownie NAS i nic więcej. I to było wczoraj.

To info to w moim przypadku był tylko początek.
Zaloguj się SSH na NASa, i posprawdzaj czy nie ma podejrzanej zawartości w plikach *.sh.
Sprawdź również, czy malware nie dopisał się do autorun.sh (do zrobienia z GUI QTS) oraz crontab (z ssh polecenie crontab -e).

Przykład złośliwego z pliku Python3.sh:

 

[Silas Mariusz]

Jakie masz appki w App Center?

 

[cajar]

Jutro wieczorem odpowiem. Dziś i jutro jestem poza domem, a ze względu na infekcję NAS jest wyłączony przez ten czas.

 

[_Floyd]

Możesz dokładnie mi powiedzieć jakie czynności mam wykonać?

 

[Silas Mariusz]

@cajar czy zglaszales problem do supportu? Probuje rozwiazac tą kwestie i wydaje sie być bardzo swieza. Mamy w QNAP'ie tylko jeden support ticket w tej sprawie.

 

[cajar]

@Silas Mariusz Tak, zgłosiłem to do supportu wczoraj wieczorem. Mogę podać ID ticketu jeśli potrzebujesz.

 

[Silas Mariusz]

To mamy tą sprawe.

 

[pkvv]

Hej,
Nie chcę się wymądrzać ale czy takie proste działanie jak automatyczne blokowanie nieznanych IP opisane tu: Wiedza - Jak zabezpieczyć NAS, aby zminimalizować szanse na atak? nie będą pomocne?

Automatycznie blokuj nieznane IP
Fajnym narzędziem, które posiada większość serwerów NAS z którego trzeba skorzystać jest możliwość automatycznego blokowania adresów IP. W przypadku gdy z danego adresu IP ktoś błędnie wpisze login i hasło w krótkim odstępie czasu, serwer automatycznie zablokuje wszelkie połączenia z niego. Zalecamy ustawienie ilości prób na 5 w czasie 60 sekund i ustawienie bezterminowej blokady tego adresu. Ci którzy uważają, że ich serwer nie będzie atakowany zdziwią się, jak w pierwszych dwóch tygodniach liczba IP będzie rosła w zastraszającym tempie.

 

[cajar]

Automatyczne blokowanie IP nic nie da w przypadku ataku takiego jak ten - nie odbywa się on poprzez panel logowania.

 

[Silas Mariusz]

Nie wiadomo. Moze to być atak po requstach HTTP.
W QTS 4.3.5 wprowadzamy dosc istotne dla uzytkownikow narzedzie: Your security portal for QNAP NAS

 

[Usunięty użytkownik pigers]

dlatego blokade mam na routerze >.>

 

[cajar]

Jakie masz appki w App Center?

Oto lista aplikacji:

W QTS 4.3.5 wprowadzamy dosc istotne dla uzytkownikow narzedzie: Your security portal for QNAP NAS

Kiedy można spodziewać się release?

 

[Silas Mariusz]

Juz 4.3.5 dostępne

 

[Usunięty użytkownik pigers]

ja właśnie go odinstalowałem - jak osobie prv jest mi on zbędny, 3/4 opcji chce mi wyłączyć ... do firmy jak najbardziej polecam!

@Silas Mariusz .. powiadomienia PUSH na info jako medium ? ktoś musi dobrze puknąć się w czoło w TW ! mają dobre parcie na szkło xD

 

[cajar]

ja właśnie go odinstalowałem - jak osobie prv jest mi on zbędny, 3/4 opcji chce mi wyłączyć ... do firmy jak najbardziej polecam!

Podzielisz się szerszą opinią na ten temat?

 

[Usunięty użytkownik pigers]

personalną czy służbową ? ;>

 

[_Floyd]

Tylko personalna.

 

[cajar]

personalną czy służbową ? :>

A ja poproszę o obie wersje Tylko nie wiem czy admin nie będzie zły o offtop w temacie