Malware su QNAP TS-259 Pro+

[bitlaurent]

Ciao a tutti, mi rivolgo a voi perché ho un fastidioso problema di malware su un QNAP TS-259 Pro+ che mi procura non pochi problemi:
ogni giorno il programma Malware Remover intercetta un malware e lo elimina. Ne ho la prova perché facendo ripartire il programma di scansione non trova più nulla.
Poi nella notte il Qnap viene di nuovo infettato e al mattino il report mi indica che il malware è stato di nuovo intercettato ed eliminato.
Il firmware per questo modello è aggiornato, anche se fermo al 4.2.6 (non vi sono aggiornamenti più recenti per questo modello)

Questo problema genera, da parte del mio provider internet, la sospensione momentanea “per questioni di sicurezza" del mio collegamento internet, perché rilevano una potenziale minaccia. Ogni volta che succede questo inconveniente devo chiedere la riattivazione del collegamento internet motivando che ho fatto tutti i passi necessari per eliminare il problema.

Questo NAS lo utilizzo come backup di un altro NAS più recente, aggiornato al 4.4.1.1117 e pulito (senza malware).
Il supporto tecnico del mio provider mi consiglia di fare in modo che il NAS che si infetta giornalmente non sia collegato ad internet.
Quindi ho disabilitato tutti i i servizi di accesso al NAS, tranne il TCP/IP per poter fare il backup giornaliero da un NAS all'altro, ma tutt'ora viene infettato lo stesso.

Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?

Grazie mille in anticipo per qualsiasi informazione
Lorenzo

[PiaNi]

Il nas più recente ha 2 porte di rete?

[FFFAB]

Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?

Togli il gateway e i DNS dalla configurazione della scheda di rete del NAS, impostando (ma penso ci sia già) un IP fisso e maschera adeguata.
Disattiva anche i servizi non utilizzati e l'UPNP.
Alcuni router permettono anche il blocco dell'IP in uscita.

Ma prima di queste soluzioni un po' drastiche, hai provato a reinizializzare il NAS ex-novo??

[selvaggi]

controlla il tuo pc è infetto o servizio che esso sia

[marcottt]

Basta che togli il gateway o ne metti uno sbagliato.
Se cerchi con problema quasi identico ho risolto con uno script di qnap lanciato in ssh. Cerca un thread simile con la mia risposta

Inviato dal mio BAH-W09 utilizzando Tapatalk

[marcottt]

https://r.tapatalk.com/shareLink/topic? ... source=app

Messaggi di Avviso dal Malware Remover

Trovato

Inviato dal mio BAH-W09 utilizzando Tapatalk

[bitlaurent]

Il nas più recente ha 2 porte di rete?

Si il più recente (TS 251+) ha due porte di rete, anche quello infettato (TS-259Pro+).

[bitlaurent]

Il nas più recente ha 2 porte di rete?

https://r.tapatalk.com/shareLink/topic? ... source=app

Messaggi di Avviso dal Malware Remover

Trovato

Inviato dal mio BAH-W09 utilizzando Tapatalk

https://r.tapatalk.com/shareLink/topic? ... source=app

Messaggi di Avviso dal Malware Remover

Trovato

Inviato dal mio BAH-W09 utilizzando Tapatalk

GRAZIE; provo a disinstallare malware e a reinstallarlo, vediamo cosa succede ;O))))

[bitlaurent]

Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?

Togli il gateway e i DNS dalla configurazione della scheda di rete del NAS, impostando (ma penso ci sia già) un IP fisso e maschera adeguata.
Disattiva anche i servizi non utilizzati e l'UPNP.
Alcuni router permettono anche il blocco dell'IP in uscita.

Ma prima di queste soluzioni un po' drastiche, hai provato a reinizializzare il NAS ex-novo??

Già provato tutto grazie, ma non funziona. La reinizializzazione la lasciavo come ultima spiaggia, anche perché prima volevo capire come potevo isolarlo da internet.

[bitlaurent]

controlla il tuo pc è infetto o servizio che esso sia

Avevo già controllato tutti i mac collegati, ma sia a livello di virus che di malware non ho trovato nulla. Inoltre il NAS in questione fa da backup al NAS principale a cui si collegano i computer, quindi se fossero i computer ad infettare "malware remover" dovrebbe trovarlo anche sul NAS principale.
grazie comunque! ;O)))

[PiaNi]

Inoltre il NAS in questione fa da backup al NAS principale a cui si collegano i computer, quindi se fossero i computer ad infettare "malware remover" dovrebbe trovarlo anche sul NAS principale.
grazie comunque! ;O)))

Non è detto perchè il NAS principale ha gli aggiornamenti più recenti e probabilmente quel malware non può attaccarlo.

[selvaggi]

esatto PiaNi in più può essere innocuo per il mac ma non per linux e viceversa
scommetti che se togli il file dal pc sparisce anche l'allarme sul nas

[FFFAB]

Già provato tutto grazie, ma non funziona

Beh, allora sai che il problema non è lì: se togliendo il gateway (che per definizione isola il NAS dalla rete di livello superiore) il malware si ripresenta lo stesso, sai che il problema è interno al NAS (senza gateway, il NAS non "esce".... guarda i log del router se puoi attivarli).
A mio parere, il remover non è in grado di estirpare la sorgente (che evidentemente non viene rilevata come malware): ti cancella "l'effetto" ma non la fonte.
Perché non provi per un paio di giorni ad isolarlo dalla rete (stacca direttamente il cavo lan) e vedere se il remover ti rileva cmq il malware la notte/mattina dopo??

PS: Visto che ci stai solo perdendo tempo, una reinizializzazione è la cosa più rapida e certa: visto che si tratta di un NAS di backup, troverai provvisoriamente modo di effettuarli in altro modo.
E già che ci sei, io farei anche un recovery del firmware on board:

https://wiki.qnap.com/wiki/Firmware_Recovery

[marcottt]

Non per insistere ma prova lo script che ti ho mostrato in precedenza. Anche io non capivo da dove venisse il mio ma semplicemente non veniva rimosso correttamente.

Inviato dal mio BAH-W09 utilizzando Tapatalk

[bitlaurent]

Già provato tutto grazie, ma non funziona

Beh, allora sai che il problema non è lì: se togliendo il gateway (che per definizione isola il NAS dalla rete di livello superiore) il malware si ripresenta lo stesso, sai che il problema è interno al NAS (senza gateway, il NAS non "esce".... guarda i log del router se puoi attivarli).
A mio parere, il remover non è in grado di estirpare la sorgente (che evidentemente non viene rilevata come malware): ti cancella "l'effetto" ma non la fonte.
Perché non provi per un paio di giorni ad isolarlo dalla rete (stacca direttamente il cavo lan) e vedere se il remover ti rileva cmq il malware la notte/mattina dopo??

PS: Visto che ci stai solo perdendo tempo, una reinizializzazione è la cosa più rapida e certa: visto che si tratta di un NAS di backup, troverai provvisoriamente modo di effettuarli in altro modo.
E già che ci sei, io farei anche un recovery del firmware on board:

https://wiki.qnap.com/wiki/Firmware_Recovery

Proverò anche questa via, ma se il firmware disponibile non è aggiornato, una volta reinizializzato quando lo ricolleggherò ad internet si infetterà di nuovo subito, non credi?

[bitlaurent]

esatto PiaNi in più può essere innocuo per il mac ma non per linux e viceversa
scommetti che se togli il file dal pc sparisce anche l'allarme sul nas

ma sul PC sia i programmi malware remover che gli antivirus non trovano nulla…

[bitlaurent]

Non per insistere ma prova lo script che ti ho mostrato in precedenza. Anche io non capivo da dove venisse il mio ma semplicemente non veniva rimosso correttamente.

Inviato dal mio BAH-W09 utilizzando Tapatalk

Proverò, come ho provato tutte le indicazioni che forniscono sul sito ufficiale di QNAP ma che non funzionano. Anche il suggerimento di disinstallare malware remover e reinstallarlo che ad alcuni utenti è servito, nel mio caso non ha funzionato. In pratica il NAS viene infettato tra le ore 16.00 e le ore 19.00.
Secondo il provider il malware viene costantemente spedito a ripetizione dagli “hacker” a tutti i QNAP sfruttando la falla del firmwire.
Domani proverò a staccarlo fisicamente da internet per un paio di giorni per verificare che effettivamente arrivi sempre dall'esterno.

[bitlaurent]

Proverò tutte le proposte che mi state fornendo e per questo vi ringrazio.
Ho provato tutte le indicazioni che forniscono sul sito ufficiale di QNAP ma non funzionano. Anche il suggerimento di disinstallare malware remover e reinstallarlo che ad alcuni utenti è servito, nel mio caso non ha funzionato.
In pratica il NAS viene infettato tra le ore 16.00 e le ore 19.00.
Secondo il provider il malware viene costantemente spedito a ripetizione dagli “hacker” a tutti i QNAP sfruttando la falla del firmwire.
Domani proverò a staccarlo fisicamente da internet per un paio di giorni in modo da appurare che effettivamente la sua provenienza sia da internet.