
QNAP Malware entfernen
Da wollte ich doch ein etwas älteres NAS über die GUI updaten, es konnte aber die neue Firmware nicht finden. Ebenso liessen sich die Updates der QPKG Apps nicht finden.
So schrieb ich an den Support. Die erste Antwort war, ich sollte das Update manuell durchführen. Das gleiche Problem hatte ich aber auch bei einem neuen NAS. Die Antwort dieses QNAP Mitarbeiters war da schon erschreckender. Es könnte sich um eine Malware handeln. Ich sollte doch mal den Malware Remover als QPKG herunterladen und installieren. Und wirklich, der Malware Remover fand dann auch einiges und bereinigte die zwei NAS.
Einige Wochen später wurde der Besitzer des ersten NAS von seinem Internetprovider wegen einer DDOS Attacke von seinem Anschluss aus angeschrieben. Ich machte mich daran die Rechner im Netz zu scannen. Zu der Uhrzeit des Angriffs aber waren nur 2 Rechner in Betrieb und beide Rechner waren definitiv sauber.
So schaute ich mir nochmal das NAS genauer an. Auf der QTS Oberfläche bemerkte ich, dass der Lüfter ausgefallen war. Um das Gerät nicht zu heiss werden zu lassen wollte ich erst mal alles abschalten was nicht gebraucht wurde. Da fiel mir ein Prozess KIONAI auf, der 50% CPU Resourcen brauchte. Ich stöberte etwas in den Verzeichnissen rum und fand im /tmp einige Dateien die ich mit VIRUSTOTAL scannte. Die meisten wurden als Malware erkannt. QNAP lieferte auch noch ein paar Hinweise dazu.
Letzendlich machte ich folgendes:
phpmyadmin entfernt bzw Passwort geändert, user sqladmin deaktiviert, Webzugriff von aussen erst mal deaktiviert
in das Verzeichnis wechseln /share/Web
entweder Putty oder WinSCP/FileZilla..
und dort die bösartigen/suspecten Dateien löschen
Beispiel:
ABX...php
3CFD...php
cgod*; god*, god.1, god.2 ...., lan1
im /tmp waren das
kionai
kupma
pionei
puonai
qupma
sqlcan
ultpma
nach der Bereinigung NAS rebooten
nach einer weiteren EMail bekam ich noch ein Skript von QNAP das mich von weiteren Plagegeistern befreite
bitte SSH asl admin herstellen und eingeben:
# curl https://download.qnap.com/Storage/tsd/utility/derek-be-gone.sh | sh
Danach NAS rebooten
mit weiteren Recherchen fand ich in /etc/config/qpkg.conf und im Verzeichnis /share/CACHEDEV1_DATA/.qpkg weitere seltsame Einträge bzw Verzeichnisse.
ich hoffe, die Systeme jetzt sauber bleiben.
« ZURÜCK