Sainpa operaattoriltani viestiä, että QNAPpini on "saastunut haittaohjelmalla ja siten päätynyt rikollisten etähallintaan".

Kyberturvallisuuskeskuksen mukaan: "Haittaohjelma hakee generoimalla muodostuvista DNS-osoitteista lisää haitallista koodia. Kutsumuoto on 'HTTP GET https://<generoitu osoite>/qnap_firmware.xml?t=<aikaleima>', ja tästä kutsusta pystyy erittäin vahvasti tunnistamaan saastuneen laitteen."

Päivitin QNAPin valmistajan ohjeiden mukaan, vaihdoin salasanat, lisäsin IP-blokkauksia, yms. yms.
Kertokaapa, kuinka pystyn itse tarkistamaan, lähtikö vihulainen purkista pois, vai vieläkö se jatkaa siellä touhujaan?

 

Kappas, hyvä että sattui Muropaketin etusivulta hyppään topic silmille. Olin ite unohtanu täysin et tollanen pyörii nurkassa, pitänee päivittää se

Ihan hirveästi noi Kyberturvallisuuskeskuksen tai QNAPin artikkelit ei tota tosiaan avanneet. Tosta päivityksestäkin tosiaan mainitaan että ei voi olla varma, lähteekö haittaohjelma noilla keinoilla. Pitää varmaan olla next level velho et saa ton selville o.0. Kai siihen QNAPin käyttikseenkin pääsee jotenkin ssh:lla tms. kiinni. Pitää mennä katteleen miltä sielä näyttää.

Oma laite on onneks kyllä varmaan sisäverkossa, et jos sinne on jotenkin päästy niin sit varmaan on jossain muuallakin reikä.

 

Juurikin haittaohjelmia välttääkseen NAS:ia ei koskaan kannata laittaa näkymään Internettiin päin julkisella IP:llä. Tuolla kun kerjää vain ongelmia. Qnapeissakin ollut läjä haavoittuvuuksia. Toki noita pikaiseen kyllä paikkailevat, mutta jos softapäivityksiä ei harrasta, niin paikkauksista ei ole juurikaan apua.

Itse olen sen verran vainoharhainen, että vetäisisin varmaan käyttiksen kokonaan Qnapin imagella uusiksi.
https://wiki.qnap.com/wiki/Firmware_Recovery

Samoin jyräisin levyt ja palauttelisin backupeista tiedostot. Levyillä on meinaan myös Qnapin ohjelmistoon liittyviä tiedostoja, kaikki ei ole laitteen omassa flash-muistissa.

Qnapin tiedotteesta:
Warning: If your NAS device is already infected, updating QTS and all NAS applications may not completely remove the malware. QNAP is currently working on a removal solution and will update this advisory once it is publicly available.

 

Yöllä kolusin tiedostoja läpi ihan ruohonjuuritasolla. Pari epäilyttävää asiaa pisti silmään. Toinen oli muutokset /etc/config/crontab -tiedostossa. Siellä oli pari riviä lisää, joita en ole ennen nähnyt:

0 * * * * /share/HDA_DATA/.YSgSnAhmjiKFmzq/Bowhivfw.sh >/dev/null 2>&1
0 7 * * * /mnt/HDA_ROOT/.config/license/.lc/act.sh >/dev/null 2>&1
​

Sitä en osaa sanoa, liittyvätkö mitenkään tuohon QSnatchiin. Esim. noista ensimmäinen viittasi ihan tyhjään tiedostoon.

Toinen epäilyttävä asia oli se, että /etc/config/ipsec_allow.conf -tiedostossa oli pitkä lista ulkomaisia IP-osoitteita. Onni onnettomuudessa on se, että olen käyttänyt asetuksissani deny-listaa, jolloin tuohon em. mainittuun tiedostoon lisätyillä IP-osoitteilla ei ole ollut mitään vaikutusta laitteelle pääsyyn.

Nukuttu yö auttaa usein ongelmien ratkaisussa. Aamulla sisäinen "next level velhoni" heräsi ja keksin asettaa QNapin verkkoliikenteen kulkemaan toisessa koneessa olevan proxy-palvelimen kautta.
Nyt jännityksellä odotan, tarttuuko palvelimen lokeihin mitään epäilyttävää verkkoliikennettä.

 

Tämähän se ongelma olikin. Kyseinen haittaohjelma esti päivitysten tarkistuksen, ts. päivityksiä ei mukamas ollut tarjolla, niin päivitykset jäivät tekemättä. Muuten pidän kyllä laitteeni päivitettyinä – varsinkin ne, jotka ovat tavalla tai toisella verkossa.

 

No niin! Nyt löytyi virallinen shell-skripti puhdistusta varten:

• https://download.qnap.com/Storage/tsd/utility/cleanme.sh

Skripti löysi parista paikasta malwarea ja putsasi ne pois. Eiköhän tämä tästä...

 

Mulle tuli Elisalta tekstiviesti että liittymäni on suljettu ja avaaminen maksaa 100,00 € lisätietoja Omagurulta tai Elisan abuse linkistä..
Olin päivittänyt tuon verkkolevyn ohjeiden mukaisesti 3 päivää sitten.

Soitin OmaGuru "palveluun" ja kyselin asiasta.
Minulla oli kuulemma salasana vielä vaihtamatta... mistä v..ta ne sen tietää?
Mulla paloi hihat samantien...
Karjuin luuriin että se liittymä auki välittömästi ja tämä guru siellä totesi että se liittymä ei ole suljettu ja sannoi että tuo Zyxel LTE3301 pitäis vaihtaa koska se voi olla kaapattu..

OmaGurulla taitaa olla rahat loppu tai oma rahankeräyskampanja menossa?