QNAP Club Italia

Salve a Tutti :-)

Ho un TS-212P, sempre aggiornato sia come Firmware (attualmente 4.3.3.0998 del 2019/07/30) sia come App installate.

Da qualche giorno, tutti i giorni, stanno arrivano in mail questi avvisit, generati da Malware Remover (v. 3.5.2):

Level: Warning
[Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.

Level: Warning
[Malware Remover] Removed high-risk malware. Restart NAS and update all apps in 'App Center' > 'My Apps' > 'Install Updates'.

Level: Warning
[Malware Remover] Removed high-risk malware. Update passwords for email account and QNAP ID.

Nel Registro di Sistema però non c'è nessuna segnalazione.
Riesco a vedere qualcosa aprendo Malware Remover... ma in ogni caso NON indica nessun file.

Presumo quindi sia un qualche falso positivo o un errore generico inviato a tutti i QNAP in cui viene installato Malware Remover.


Ho un altro NAS, un TS-220, con stesso firmware, che mi ha segnalato lo stesso problema (anche se con frequenza inferiore)

Sta capiando a qualcun altro?
Ringrazion Anticipatamente per le Risposte :-)

Qui viewtopic.php?f=1&t=17504&p=90476#p90476 si è parlato di un problema simile.

Grazie...
quindi è semplicemente un problema di Firmware?

Il problema con Malware Remover è noto (si tratta di un falso positivo), per risolvere il problema sembra basti disintallare e reinstallare il Malware Remover.

ok, grazie :-)

Anche io da stamani sto avendo questo problema su due NAS, un TS-421 e un TS-412.
Non vorrei portarvi su una falsa pista ma ho l'impressione che Malware Remover veda come infetto l'aggiornamento di "Cloud Backup Sync 2.1.670".

Lo dico perchè dopo i messaggi allarmanti di Malware Remover i NAS mi hanno riproposto di aggiornare l'app suindicata che è "tornata" alla 2.1.670 (con l'update era passata a 2.1.671).

Ora ho provato su uno dei due a disinstallare "Malware Remover", a rifare l'aggiornamento di "Cloud Backup Sync" e poi reinstallare "Malware Remover".
Vediamo che succede....

A distanza di qualche ora non ho più ricevuto alcun messaggio da Malware Remover.
La soluzione proposta da Luciano (disinstalla e reinstalla) sembra aver funzionato

lucam1970 ha scritto: ↑08 set 2019, 22:34 A distanza di qualche ora non ho più ricevuto alcun messaggio da Malware Remover.
La soluzione proposta da Luciano (disinstalla e reinstalla) sembra aver funzionato

Confermo, anche io più nessun errore :-)

Buongiorno a tutti.. Da qualche tempo ho lo stesso problema. Avevo installato malware remover sulla mia ts212 perché mi sembrava avere qualcosa di anomalo.
Ho cambiato password e spostato le porte pubblicate su internet su altre più elevate e fuori standard ma ogni 2/3 giorni il messaggio ricompare. Qts sempre aggiornato.
Pensate possa essere falso positivo?

Inviato dal mio BAH-W09 utilizzando Tapatalk

marcottt ha scritto: ↑30 set 2019, 07:37 Buongiorno a tutti.. Da qualche tempo ho lo stesso problema. Avevo installato malware remover sulla mia ts212 perché mi sembrava avere qualcosa di anomalo.
Ho cambiato password e spostato le porte pubblicate su internet su altre più elevate e fuori standard ma ogni 2/3 giorni il messaggio ricompare. Qts sempre aggiornato.
Pensate possa essere falso positivo?

Inviato dal mio BAH-W09 utilizzando Tapatalk

Hai provato, come suggerito nelle risposte, a disinstallare e reinstallare malware remover ?
Se non lo hai fatto, fallo subito... io ho risolto.

Esattamente che messaggio compare?

Ho appena provato a reinstallare.
Il messaggio è the following infect fike/folder was found and recovered /tmp/config/autorun. Sh

Peraltro avevo disabilitato autorun user per questo motivo

vediamo se si ripete... faccio anche scansione antivirus senza trovare nulla

marcottt ha scritto: ↑30 set 2019, 13:02 Ho appena provato a reinstallare.
Il messaggio è the following infect fike/folder was found and recovered /tmp/config/autorun. Sh

Peraltro avevo disabilitato autorun user per questo motivo

OK, il messaggio è diverso da quello indicato all'inizio del Tread che era causato da un problema di installazione/aggiornamento.
Il tuo sembra un più specifico.
Riesci a collegarti tramite terminale SSH (puoi usare ad esempio Putty se sei su Windows: https://www.putty.org/ ) e verificare cosa trovi in quel percorso?

vediamo se si ripete... faccio anche scansione antivirus senza trovare nulla

Probabilmente perché il file è stato rimosso... ma se si ripete sempre può essere che qualche altro software o attacco lo ripristina.

Hai installato l'ultimo aggiornamento per il tuo NAS?

Si sempre aggiornato. Stasera guardo cosa trovo tramite ssh e ti dico.

Inviato dal mio SM-G935F utilizzando Tapatalk

Per ora tutto ok. Non ho guardato la cartella.

Inviato dal mio SM-G935F utilizzando Tapatalk

sempre ok (strano mi sembrava di aver già fatto queste mosse)....
La cartella /tmp contiene un sacco di roba (tipo 40 cartelle e file), la cartella /tmp/config è presente ma vuota.

OK, sono di nuovo qui e forse ho risolto.... spero possa essere d'aiuto ad altri
Nei giorni scorsi ho di nuovo avuto problemi di prestazioni, ho ricontrollato e la na snon sembrava infetta ma bloccata proprio da Malware reporter. Allora lo ho fermato e rimosso, poi reinstallato ma quando lanciavo scansione non teminava mai.... poi mi ha dato di nuovo problemi all'autorun.sh
A quel punto ho cercato il file (che peraltro avevo disattivato nella interfaccia) e ho trovato che era pieno di codice binari, mentre penso che dovrebbe avere una sintassi leggibile... allora ho provato a editarlo/cancellarlo ma non riuscivo ad avere autorizzazioni.

Q quel punto ho trovato questo post:
https://forum.qnap.com/viewtopic.php?t=146605&start=120

che facendola breve mi ha indicato questo comando/script:

curl https://download.qnap.com/Storage/tsd/u ... cleanme.sh | sh

che ha generato il testo che segue.... penso per ora di essere a posto... ricontrollerò nei prossimi giorni....

grazie comunque a tutti e spero possa essere d'aiuto.

Marco



[/] # curl https://download.qnap.com/Storage/tsd/u ... cleanme.sh | sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 367 100 367 0 0 1040 0 --:--:-- --:--:-- --:--:-- 1215
2019-10-05 14:00:54 URL:https://download.qnap.com/Storage/tsd/u ... 1570276852 [611592/611592] -> "clean.armv5" [1]
System path: /share/HDA_DATA
---
[o] Removing fake qpkg
No malware was found
---
[o] Removing fake qfix and binary
No malware was found
---
[o] Sterilising infected shell script
[*] Sterilise /etc/init.d/backup_conf.sh
[+] Success!
[*] Sterilise /etc/init.d/idmap.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/.config/openvpn/keys/.alarm_info.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/.qpkg/diagnosticApp/QNAP_Diagnostic_Tool.sh
[+] Success!
[*] Sterilise /mnt/HDA_ROOT/update_pkg/helpdesk/helpdesk.sh
[+] Success!
[*] Sterilise /share/HDA_DATA/.qpkg/HybridBackup/backupstation.sh
[+] Success!
[*] Sterilise /share/HDA_DATA/.qpkg/QsyncServer/qsyncsrv.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Cleaning DOM
[*] Removing /tmp/config/autorun.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Refreshing XML
[*] Removing /etc/config/rssdoc/qpkgcenter_ita.xml
[+] Success!
Done
---
[o] Reinstalling Malware Remover
[*] Removing /share/HDA_DATA/.qpkg/MalwareRemover/
[+] Success!
[*] 2019-10-05 14:01:05 URL:https://download.qnap.com/QPKG/MalwareR ... 182348.zip [288890/288890] -> "MalwareRemover_3.4.1_20190125_182348.zip" [1]
[*] Archive: MalwareRemover_3.4.1_20190125_182348.zip
inflating: MalwareRemover_3.4.1_20190125_182348.qpkg
[+] Success!
Installation completed
---
Finished!

Grazie, bel lavoro!

grazie marcottt