Messaggi di Avviso dal Malware Remover

Rispondi
dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

Salve a Tutti :-)

Ho un TS-212P, sempre aggiornato sia come Firmware (attualmente 4.3.3.0998 del 2019/07/30) sia come App installate.

Da qualche giorno, tutti i giorni, stanno arrivano in mail questi avvisit, generati da Malware Remover (v. 3.5.2):
Level: Warning
[Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.
Level: Warning
[Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.

Level: Warning
[Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.

Nel Registro di Sistema però non c'è nessuna segnalazione.
Riesco a vedere qualcosa aprendo Malware Remover... ma in ogni caso NON indica nessun file.

Presumo quindi sia un qualche falso positivo o un errore generico inviato a tutti i QNAP in cui viene installato Malware Remover.


Ho un altro NAS, un TS-220, con stesso firmware, che mi ha segnalato lo stesso problema (anche se con frequenza inferiore)

Sta capiando a qualcun altro?
Ringrazion Anticipatamente per le Risposte :-)
wozxyz
Messaggi: 1589
Iscritto il: 13 mag 2010, 12:30

Re: Messaggi di Avviso dal Malware Remover

Messaggio da wozxyz »

Qui viewtopic.php?f=1&t=17504&p=90476#p90476 si è parlato di un problema simile.
TS-459 Pro - TS-221 - TS-212 - HS-210 Squeezebox Touch & Duet - WD Live Hub
dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

Grazie...
quindi è semplicemente un problema di Firmware?
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da luciano »

Il problema con Malware Remover è noto (si tratta di un falso positivo), per risolvere il problema sembra basti disintallare e reinstallare il Malware Remover.
dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

ok, grazie :-)
Avatar utente
lucam1970
Messaggi: 711
Iscritto il: 28 gen 2012, 01:02

Re: Messaggi di Avviso dal Malware Remover

Messaggio da lucam1970 »

Anche io da stamani sto avendo questo problema su due NAS, un TS-421 e un TS-412.
Non vorrei portarvi su una falsa pista ma ho l'impressione che Malware Remover veda come infetto l'aggiornamento di "Cloud Backup Sync 2.1.670".

Lo dico perchè dopo i messaggi allarmanti di Malware Remover i NAS mi hanno riproposto di aggiornare l'app suindicata che è "tornata" alla 2.1.670 (con l'update era passata a 2.1.671).

Ora ho provato su uno dei due a disinstallare "Malware Remover", a rifare l'aggiornamento di "Cloud Backup Sync" e poi reinstallare "Malware Remover".
Vediamo che succede....
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
Avatar utente
lucam1970
Messaggi: 711
Iscritto il: 28 gen 2012, 01:02

Re: Messaggi di Avviso dal Malware Remover

Messaggio da lucam1970 »

A distanza di qualche ora non ho più ricevuto alcun messaggio da Malware Remover.
La soluzione proposta da Luciano (disinstalla e reinstalla) sembra aver funzionato
- NAS: QNAP TS-653D 16GB (24TB/RAID5 - QTS 5.2.0.2860)
- Backup Unit: QNAP TS-653A 8GB (16TB/RAID5 - QTS 5.2.0.2860)
- UPS: APC Back-UPS BX700
- Client: Macbook Pro (2020) ; Macbook Pro (2016); Macbook Air M1
- Home Cinema: TV Samsung 55C8000 - Apple TV 4th - Samsung BD-C5900 - SkyQ - Denon 1911 - Indiana Line Tesi
dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

lucam1970 ha scritto: 08 set 2019, 22:34 A distanza di qualche ora non ho più ricevuto alcun messaggio da Malware Remover.
La soluzione proposta da Luciano (disinstalla e reinstalla) sembra aver funzionato
Confermo, anche io più nessun errore :-)
marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

Buongiorno a tutti.. Da qualche tempo ho lo stesso problema. Avevo installato malware remover sulla mia ts212 perché mi sembrava avere qualcosa di anomalo.
Ho cambiato password e spostato le porte pubblicate su internet su altre più elevate e fuori standard ma ogni 2/3 giorni il messaggio ricompare. Qts sempre aggiornato.
Pensate possa essere falso positivo?

Inviato dal mio BAH-W09 utilizzando Tapatalk

dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

marcottt ha scritto: 30 set 2019, 07:37 Buongiorno a tutti.. Da qualche tempo ho lo stesso problema. Avevo installato malware remover sulla mia ts212 perché mi sembrava avere qualcosa di anomalo.
Ho cambiato password e spostato le porte pubblicate su internet su altre più elevate e fuori standard ma ogni 2/3 giorni il messaggio ricompare. Qts sempre aggiornato.
Pensate possa essere falso positivo?

Inviato dal mio BAH-W09 utilizzando Tapatalk
Hai provato, come suggerito nelle risposte, a disinstallare e reinstallare malware remover ?
Se non lo hai fatto, fallo subito... io ho risolto.

Esattamente che messaggio compare?
marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

Ho appena provato a reinstallare.
Il messaggio è the following infect fike/folder was found and recovered /tmp/config/autorun. Sh

Peraltro avevo disabilitato autorun user per questo motivo

vediamo se si ripete... faccio anche scansione antivirus senza trovare nulla
dapinna
Messaggi: 90
Iscritto il: 10 ago 2013, 13:54
Località: Sassari
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da dapinna »

marcottt ha scritto: 30 set 2019, 13:02 Ho appena provato a reinstallare.
Il messaggio è the following infect fike/folder was found and recovered /tmp/config/autorun. Sh

Peraltro avevo disabilitato autorun user per questo motivo
OK, il messaggio è diverso da quello indicato all'inizio del Tread che era causato da un problema di installazione/aggiornamento.
Il tuo sembra un più specifico.
Riesci a collegarti tramite terminale SSH (puoi usare ad esempio Putty se sei su Windows: https://www.putty.org/ ) e verificare cosa trovi in quel percorso?

vediamo se si ripete... faccio anche scansione antivirus senza trovare nulla
Probabilmente perché il file è stato rimosso... ma se si ripete sempre può essere che qualche altro software o attacco lo ripristina.

Hai installato l'ultimo aggiornamento per il tuo NAS?
marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

Si sempre aggiornato. Stasera guardo cosa trovo tramite ssh e ti dico.

Inviato dal mio SM-G935F utilizzando Tapatalk

marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

Per ora tutto ok. Non ho guardato la cartella.

Inviato dal mio SM-G935F utilizzando Tapatalk

marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

sempre ok (strano mi sembrava di aver già fatto queste mosse)....
La cartella /tmp contiene un sacco di roba (tipo 40 cartelle e file), la cartella /tmp/config è presente ma vuota.
marcottt
Messaggi: 59
Iscritto il: 30 set 2019, 07:35

Re: Messaggi di Avviso dal Malware Remover

Messaggio da marcottt »

OK, sono di nuovo qui e forse ho risolto.... spero possa essere d'aiuto ad altri
Nei giorni scorsi ho di nuovo avuto problemi di prestazioni, ho ricontrollato e la na snon sembrava infetta ma bloccata proprio da Malware reporter. Allora lo ho fermato e rimosso, poi reinstallato ma quando lanciavo scansione non teminava mai.... poi mi ha dato di nuovo problemi all'autorun.sh
A quel punto ho cercato il file (che peraltro avevo disattivato nella interfaccia) e ho trovato che era pieno di codice binari, mentre penso che dovrebbe avere una sintassi leggibile... allora ho provato a editarlo/cancellarlo ma non riuscivo ad avere autorizzazioni.

Q quel punto ho trovato questo post:
https://forum.qnap.com/viewtopic.php?t=146605&start=120

che facendola breve mi ha indicato questo comando/script:

curl https://download.qnap.com/Storage/tsd/u ... cleanme.sh | sh

che ha generato il testo che segue.... penso per ora di essere a posto... ricontrollerò nei prossimi giorni....

grazie comunque a tutti e spero possa essere d'aiuto.

Marco



[/] # curl https://download.qnap.com/Storage/tsd/u ... cleanme.sh | sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 367 100 367 0 0 1040 0 --:--:-- --:--:-- --:--:-- 1215
2019-10-05 14:00:54 URL:https://download.qnap.com/Storage/tsd/u ... 1570276852 [611592/611592] -> "clean.armv5" [1]
System path: /share/HDA_DATA
---
[o] Removing fake qpkg
No malware was found
---
[o] Removing fake qfix and binary
No malware was found
---
[o] Sterilising infected shell script
[*] Sterilise /etc/init.d/backup_conf.sh
[+] Success!
[*] Sterilise /etc/init.d/idmap.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/.config/openvpn/keys/.alarm_info.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/.qpkg/diagnosticApp/QNAP_Diagnostic_Tool.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/update_pkg/helpdesk/helpdesk.sh
[+] Success!
[*] Sterilise /share/HDA_DATA/.qpkg/HybridBackup/backupstation.sh
[+] Success!
[*] Sterilise /share/HDA_DATA/.qpkg/QsyncServer/qsyncsrv.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Cleaning DOM
[*] Removing /tmp/config/autorun.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Refreshing XML
[*] Removing /etc/config/rssdoc/qpkgcenter_ita.xml
[+] Success!
Done
---
[o] Reinstalling Malware Remover
[*] Removing /share/HDA_DATA/.qpkg/MalwareRemover/
[+] Success!
[*] 2019-10-05 14:01:05 URL:https://download.qnap.com/QPKG/MalwareR ... 182348.zip [288890/288890] -> "MalwareRemover_3.4.1_20190125_182348.zip" [1]
[*] Archive: MalwareRemover_3.4.1_20190125_182348.zip
inflating: MalwareRemover_3.4.1_20190125_182348.qpkg
[+] Success!
Installation completed
---
Finished!
wozxyz
Messaggi: 1589
Iscritto il: 13 mag 2010, 12:30

Re: Messaggi di Avviso dal Malware Remover

Messaggio da wozxyz »

Grazie, bel lavoro!
TS-459 Pro - TS-221 - TS-212 - HS-210 Squeezebox Touch & Duet - WD Live Hub
Avatar utente
luciano
Amministratore
Messaggi: 8710
Iscritto il: 25 apr 2008, 01:45
Località: Roma
Contatta:

Re: Messaggi di Avviso dal Malware Remover

Messaggio da luciano »

grazie marcottt
Rispondi

Torna a “Firmware per NAS (è richiesto l'accesso)”