Pagina 1 di 1
Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 16:26
da bitlaurent
Ciao a tutti, mi rivolgo a voi perché ho un fastidioso problema di malware su un QNAP TS-259 Pro+ che mi procura non pochi problemi:
ogni giorno il programma Malware Remover intercetta un malware e lo elimina. Ne ho la prova perché facendo ripartire il programma di scansione non trova più nulla.
Poi nella notte il Qnap viene di nuovo infettato e al mattino il report mi indica che il malware è stato di nuovo intercettato ed eliminato.
Il firmware per questo modello è aggiornato, anche se fermo al 4.2.6 (non vi sono aggiornamenti più recenti per questo modello)
Questo problema genera, da parte del mio provider internet, la sospensione momentanea “per questioni di sicurezza" del mio collegamento internet, perché rilevano una potenziale minaccia. Ogni volta che succede questo inconveniente devo chiedere la riattivazione del collegamento internet motivando che ho fatto tutti i passi necessari per eliminare il problema.
Questo NAS lo utilizzo come backup di un altro NAS più recente, aggiornato al 4.4.1.1117 e pulito (senza malware).
Il supporto tecnico del mio provider mi consiglia di fare in modo che il NAS che si infetta giornalmente non sia collegato ad internet.
Quindi ho disabilitato tutti i i servizi di accesso al NAS, tranne il TCP/IP per poter fare il backup giornaliero da un NAS all'altro, ma tutt'ora viene infettato lo stesso.
Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?
Grazie mille in anticipo per qualsiasi informazione
Lorenzo
Re: Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 16:45
da PiaNi
Il nas più recente ha 2 porte di rete?
Re: Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 17:41
da FFFAB
bitlaurent ha scritto: ↑23 nov 2019, 16:26
Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?
Togli il gateway e i DNS dalla configurazione della scheda di rete del NAS, impostando (ma penso ci sia già) un IP fisso e maschera adeguata.
Disattiva anche i servizi non utilizzati e l'UPNP.
Alcuni router permettono anche il blocco dell'IP in uscita.
Ma prima di queste soluzioni un po' drastiche, hai provato a reinizializzare il NAS ex-novo??
Re: Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 19:44
da selvaggi
controlla il tuo pc è infetto o servizio che esso sia
Re: Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 22:10
da marcottt
Basta che togli il gateway o ne metti uno sbagliato.
Se cerchi con problema quasi identico ho risolto con uno script di qnap lanciato in ssh. Cerca un thread simile con la mia risposta
Inviato dal mio BAH-W09 utilizzando Tapatalk
Re: Malware su QNAP TS-259 Pro+
Inviato: 23 nov 2019, 22:12
da marcottt
https://r.tapatalk.com/shareLink/topic? ... source=app
Messaggi di Avviso dal Malware Remover
Trovato
Inviato dal mio BAH-W09 utilizzando Tapatalk
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 07:48
da bitlaurent
PiaNi ha scritto: ↑23 nov 2019, 16:45
Il nas più recente ha 2 porte di rete?
Si il più recente (TS 251+) ha due porte di rete, anche quello infettato (TS-259Pro+).
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 07:53
da bitlaurent
PiaNi ha scritto: ↑23 nov 2019, 16:45
Il nas più recente ha 2 porte di rete?
GRAZIE; provo a disinstallare malware e a reinstallarlo, vediamo cosa succede ;O))))
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 07:55
da bitlaurent
FFFAB ha scritto: ↑23 nov 2019, 17:41
bitlaurent ha scritto: ↑23 nov 2019, 16:26
Qualcuno ha un'idea di come posso isolarlo da internet e lasciare solo la possibilità di ricevere i dati dal NAS principale?
Togli il gateway e i DNS dalla configurazione della scheda di rete del NAS, impostando (ma penso ci sia già) un IP fisso e maschera adeguata.
Disattiva anche i servizi non utilizzati e l'UPNP.
Alcuni router permettono anche il blocco dell'IP in uscita.
Ma prima di queste soluzioni un po' drastiche, hai provato a reinizializzare il NAS ex-novo??
Già provato tutto grazie, ma non funziona. La reinizializzazione la lasciavo come ultima spiaggia, anche perché prima volevo capire come potevo isolarlo da internet.
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 07:58
da bitlaurent
selvaggi ha scritto: ↑23 nov 2019, 19:44
controlla il tuo pc è infetto o servizio che esso sia
Avevo già controllato tutti i mac collegati, ma sia a livello di virus che di malware non ho trovato nulla. Inoltre il NAS in questione fa da backup al NAS principale a cui si collegano i computer, quindi se fossero i computer ad infettare "malware remover" dovrebbe trovarlo anche sul NAS principale.
grazie comunque! ;O)))
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 08:16
da PiaNi
bitlaurent ha scritto: ↑25 nov 2019, 07:58
Inoltre il NAS in questione fa da backup al NAS principale a cui si collegano i computer, quindi se fossero i computer ad infettare "malware remover" dovrebbe trovarlo anche sul NAS principale.
grazie comunque! ;O)))
Non è detto perchè il NAS principale ha gli aggiornamenti più recenti e probabilmente quel malware non può attaccarlo.
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 11:07
da selvaggi
esatto PiaNi in più può essere innocuo per il mac ma non per linux e viceversa
scommetti che se togli il file dal pc sparisce anche l'allarme sul nas
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 19:46
da FFFAB
bitlaurent ha scritto: ↑25 nov 2019, 07:55
Già provato tutto grazie, ma non funziona
Beh, allora sai che il problema non è lì: se togliendo il gateway (che per definizione isola il NAS dalla rete di livello superiore) il malware si ripresenta lo stesso, sai che il problema è interno al NAS (senza gateway, il NAS non "esce".... guarda i log del router se puoi attivarli).
A mio parere, il remover non è in grado di estirpare la sorgente (che evidentemente non viene rilevata come malware): ti cancella "l'effetto" ma non la fonte.
Perché non provi per un paio di giorni ad isolarlo dalla rete (stacca direttamente il cavo lan) e vedere se il remover ti rileva cmq il malware la notte/mattina dopo??
PS: Visto che ci stai solo perdendo tempo, una reinizializzazione è la cosa più rapida e certa: visto che si tratta di un NAS di backup, troverai provvisoriamente modo di effettuarli in altro modo.
E già che ci sei, io farei anche un recovery del firmware on board:
https://wiki.qnap.com/wiki/Firmware_Recovery
Re: Malware su QNAP TS-259 Pro+
Inviato: 25 nov 2019, 20:31
da marcottt
Non per insistere ma prova lo script che ti ho mostrato in precedenza. Anche io non capivo da dove venisse il mio ma semplicemente non veniva rimosso correttamente.
Inviato dal mio BAH-W09 utilizzando Tapatalk
Re: Malware su QNAP TS-259 Pro+
Inviato: 26 nov 2019, 00:43
da bitlaurent
FFFAB ha scritto: ↑25 nov 2019, 19:46
bitlaurent ha scritto: ↑25 nov 2019, 07:55
Già provato tutto grazie, ma non funziona
Beh, allora sai che il problema non è lì: se togliendo il gateway (che per definizione isola il NAS dalla rete di livello superiore) il malware si ripresenta lo stesso, sai che il problema è interno al NAS (senza gateway, il NAS non "esce".... guarda i log del router se puoi attivarli).
A mio parere, il remover non è in grado di estirpare la sorgente (che evidentemente non viene rilevata come malware): ti cancella "l'effetto" ma non la fonte.
Perché non provi per un paio di giorni ad isolarlo dalla rete (stacca direttamente il cavo lan) e vedere se il remover ti rileva cmq il malware la notte/mattina dopo??
PS: Visto che ci stai solo perdendo tempo, una reinizializzazione è la cosa più rapida e certa: visto che si tratta di un NAS di backup, troverai provvisoriamente modo di effettuarli in altro modo.
E già che ci sei, io farei anche un recovery del firmware on board:
https://wiki.qnap.com/wiki/Firmware_Recovery
Proverò anche questa via, ma se il firmware disponibile non è aggiornato, una volta reinizializzato quando lo ricolleggherò ad internet si infetterà di nuovo subito, non credi?
Re: Malware su QNAP TS-259 Pro+
Inviato: 26 nov 2019, 00:45
da bitlaurent
selvaggi ha scritto: ↑25 nov 2019, 11:07
esatto PiaNi in più può essere innocuo per il mac ma non per linux e viceversa
scommetti che se togli il file dal pc sparisce anche l'allarme sul nas
ma sul PC sia i programmi malware remover che gli antivirus non trovano nulla…
Re: Malware su QNAP TS-259 Pro+
Inviato: 26 nov 2019, 00:54
da bitlaurent
marcottt ha scritto: ↑25 nov 2019, 20:31
Non per insistere ma prova lo script che ti ho mostrato in precedenza. Anche io non capivo da dove venisse il mio ma semplicemente non veniva rimosso correttamente.
Inviato dal mio BAH-W09 utilizzando Tapatalk
Proverò, come ho provato tutte le indicazioni che forniscono sul sito ufficiale di QNAP ma che non funzionano. Anche il suggerimento di disinstallare malware remover e reinstallarlo che ad alcuni utenti è servito, nel mio caso non ha funzionato. In pratica il NAS viene infettato tra le ore 16.00 e le ore 19.00.
Secondo il provider il malware viene costantemente spedito a ripetizione dagli “hacker” a tutti i QNAP sfruttando la falla del firmwire.
Domani proverò a staccarlo fisicamente da internet per un paio di giorni per verificare che effettivamente arrivi sempre dall'esterno.
Re: Malware su QNAP TS-259 Pro+
Inviato: 26 nov 2019, 00:57
da bitlaurent
Proverò tutte le proposte che mi state fornendo e per questo vi ringrazio.
Ho provato tutte le indicazioni che forniscono sul sito ufficiale di QNAP ma non funzionano. Anche il suggerimento di disinstallare malware remover e reinstallarlo che ad alcuni utenti è servito, nel mio caso non ha funzionato.
In pratica il NAS viene infettato tra le ore 16.00 e le ore 19.00.
Secondo il provider il malware viene costantemente spedito a ripetizione dagli “hacker” a tutti i QNAP sfruttando la falla del firmwire.
Domani proverò a staccarlo fisicamente da internet per un paio di giorni in modo da appurare che effettivamente la sua provenienza sia da internet.