Druck Header
zuverlässig
immer zu erreichen
 
QNAP NAS
23.03.2019 -

QNAP Malware entfernen



Da wollte ich doch ein etwas älteres NAS über die GUI updaten, es konnte aber die neue Firmware nicht finden. Ebenso liessen sich die Updates der QPKG Apps nicht finden.

So schrieb ich an den Support. Die erste Antwort war, ich sollte das Update manuell durchführen. Das gleiche Problem hatte ich aber auch bei einem neuen NAS. Die Antwort dieses QNAP Mitarbeiters war da schon erschreckender. Es könnte sich um eine Malware handeln. Ich sollte doch mal den Malware Remover als QPKG herunterladen und installieren. Und wirklich, der Malware Remover fand dann auch einiges und bereinigte die zwei NAS.

Einige Wochen später wurde der Besitzer des ersten NAS von seinem Internetprovider wegen einer DDOS Attacke von seinem Anschluss aus angeschrieben. Ich machte mich daran die Rechner im Netz zu scannen. Zu der Uhrzeit des Angriffs aber waren nur 2 Rechner in Betrieb und beide Rechner waren definitiv sauber.

So schaute ich mir nochmal das NAS genauer an. Auf der QTS Oberfläche bemerkte ich, dass der Lüfter ausgefallen war. Um das Gerät nicht zu heiss werden zu lassen wollte ich erst mal alles abschalten was nicht gebraucht wurde. Da fiel mir ein Prozess KIONAI auf, der 50% CPU Resourcen brauchte. Ich stöberte etwas in den Verzeichnissen rum und fand im /tmp einige Dateien die ich mit VIRUSTOTAL scannte. Die meisten wurden als Malware erkannt. QNAP lieferte auch noch ein paar Hinweise dazu.

Letzendlich machte ich folgendes:

phpmyadmin entfernt bzw Passwort geändert, user sqladmin deaktiviert, Webzugriff von aussen erst mal deaktiviert

in das Verzeichnis wechseln /share/Web
entweder Putty oder WinSCP/FileZilla..
und dort die bösartigen/suspecten Dateien löschen
Beispiel:
ABX...php
3CFD...php
cgod*; god*, god.1, god.2 ...., lan1

im /tmp waren das
kionai
kupma
pionei
puonai
qupma
sqlcan
ultpma

nach der Bereinigung NAS rebooten

nach einer weiteren EMail bekam ich noch ein Skript von QNAP das mich von weiteren Plagegeistern befreite

bitte SSH asl admin herstellen und eingeben:

# curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh

Danach NAS rebooten

siehe hier:
https://www.hardwareluxx.de/index.php/news/hardware/festplatten/48618-qnap-nas-malware-nutzt-zero-day-exploit.html

mit weiteren Recherchen fand ich in /etc/config/qpkg.conf und im Verzeichnis /share/CACHEDEV1_DATA/.qpkg weitere seltsame Einträge bzw Verzeichnisse.

ich hoffe, die Systeme jetzt sauber bleiben.



« ZURÜCK

Thomas Neuburger
IT-Fachmann
Holbeinstr. 8
D-88212 Ravensburg

tel. +49 (751) 26805
fax. +49 (751) 35450913
mobil +49 (171) 5274633

e-mail info@neuburger-it.de
Facebook Share

letzte News:

01.11.2019
BSI warnt: Fritzbox Update einspielen!
alle Fritzboxen mit FritzOS 6.80 und 6.83 sollten auf die neueste Version des...

MEHR »
Telefon
+49 (751) 2 68 05
Telefax
+49 (751) 35 45 09 13
Mobil
+49 (171) 52 74 633