qsnatch - Schädling speziell für QNAP NAS oder Fake?

[BFF]

Spaßig ist das erst, wenn Du HDD durch SSD ersetzt. :-)

Kann sein. Ich war eher auf das "RPM" aus. Was wird da wohl immer getippt?
Exakt "Rounds per Minute" was in diesem Zusammenhang etwas daneben ist.

Anyway.
@lord-of-fire
Das was Du da so wieder gibst, warum nicht einfach ein Bild von dessen was die geschrieben haben, ist das was man immer von denen bekommt wenn noch keiner hier in "D" wirklich weiss was los ist.
Sprich, das Dingens ist zu neu, die haben auch nur eine Warnung von den Finnen, Hersteller huellt sich in Schweigen weil sie koennten ja den Nutzern vor einem Jahr gesagt haben "Bleibt auf der Firmware die funktioniert".

Fuer mich.
Dein NAS war Fremdbeeinflusst.
Ob's noch so ist? K.A. K.d.k.v.

BFF

 

[lord-of-fire]

So langsam wirds noch abstruser, da ich weitere Antwort vom BSI hab. Die haben (angeblich) auch keine Ahnung, benennen aber zumindest "shadowserver" als Partner und Quelle.

Ich finds halt supsekt, daß meinem ISP vom BSI eine angebliche Infektion gemeldet wurde, bevor das Ding überhaupt irgendwo öffentlich dokumentiert war - und daß mir jetzt angeblich keiner Auskunft über Details geben kann - oder eher will. Und daß das zuerst als Quelle benannte BSI seinerseits zunächst seine Quelle nicht nennen wollte. Ich gehe davon aus, daß eine Anfrage bei shadowserver entweder unbeantwortet bliebt oder man auf eine weitere ungenannte Quelle verweist.
Nach dem, was ich mir zu shadowserver angelesen hab, würde ich die auch als grey hats einstufen und keinesfalls white.

Wie gesagt: Entweder Hoax oder ZDE (für Mitleser, denen im IT-Bereich geläufige Abk nicht geläufig sein sollten: Zero Day Exploit).

Mein Fazit: Ich mach morgen über mehrere Platten verteilt (weil ich grad nur nen Stapel 2TB Platten da hab) ein zweites vollständiges Backup, setze dann komplett neu auf und geb den ganzen bisherigen Schriftverkehr plus Informationssammlung an die c't weiter. Mal schauen, was die dazu meinen.

 

[swisshele]

Hallo Leute
Ich habe (wie auch einige meiner Kollegen, welche auch QNAP TS251haben) von meinem ISP (UPC) in der Schweiz den Hinweis auf die Malware per Post (Papier) erhalten. Von daher bin ich sehr sicher dass die Malware kein Fake ist und bereits sehr verbreitet ist. Auf meine Anfrage nach mehr informationen erhielt ich folgende Informationen:

description: This host is most likely infected with malware.
destination domain name: ykake.cf
destination ip: 208.100.26.251
destination port: 443
feeder: shadowserver
http request: /qnap_firmware.xml?t=1572179580
ip: THIS IS MY PUB-IP
malware family: qsnatch
source port: 34954
source time: 2019-10-27 12:33:00UTC+0
Please check your NAS: https://www.qnap.com/en/security-advisory
After updating the firmware, the Malware Remover should be able to clean up the infection.
We will inform you if we receive new reports regarding a security problem on your side.

Werde heute Abend mal die Firmware Upgraden und Malware Remover drüber laufen lassen.
Hoffe die Information hilft auch anderen

 

[andy.cgn]

Hallo zusammen,

mein Hoster hat mich auch heute informiert, folgendes hat er vom BSI erhalten:
"asn","ip","timestamp","malware","src_port","dst_ip","dst_port","dst_host","proto"
"00000","1.2.3.4","2019-10-29 06:47:29","qsnatch","38956","208.100.26.251","443","ykakef.cf",""

Die IP habe ich Anonymisiert. Das NAS hat eine öffentlich IP nur für sich, es kann also auch nichts anderes gewesen sein. Ein LAN ist nicht hinter dem NAS.

Für mich ist das sonderbar. Das NAS ist hinter einer Firewall, nur Port 443 ist offen. Nach 5 Fehlversuchen wird die Quell-IP gesperrt. Das Passwort ist ungefähr so: F8cj("&AC5fg

Es gibt immer mal wieder BruteForce Attacken, aber nicht so lange, dass die an das Passwort kommen

Firmware ist 4.4.1.1081

Der Remover hat auch was gefunden, erhellendes schreibt er aber nicht.

Ich werde es wohl neu aufsetzen, hab keine Lust in den Tiefen nach Resten der Malware zu suchen.

Auf de NAS liegt nix besonderes drauf und ich habe eine Wochenaktuelle Sicherung. Von daher juckt mich das nicht sooo sehr. Es würde mich aber schon interessieren wie die Malware da drauf gekommen ist.

Ich glaube nicht an die Variante mit den schwachen Passwörtern.



Viele Grüße,
Andy

 

[lockeoaa]

Habe die Meldung auch von Unitymedia erhalten und mal nachgeforscht.

Auf meinem infiziertem Nas liegt ein sehr aufschlussreiches Script:

/share/MD0_DATA/.qpkg/.liveupdate/liveupdate.sh

Damit habe ich folgenden Forum Eintrag gefunden.

https://forum1.qnap.com/viewtopic.p...73722190117b86a2cf1c8dcd683&start=135#p731138

In my case I opened a ticket with Qnap and they give me a link to downlaod a script (clean.sh). After run this and rebooted I've changed my users' passwords (two) and everything seems to works fine again.
I hope to help someone copying and paste here the support answer to my issue:

Please try the procedure below:
- Connect to your NAS by SSH: https://www.qnap.com/en/how-to/knowledg ... as-by-ssh/
- Type the command line below:
curl https://download.qnap.com/Storage/tsd/u ... cleanme.sh | sh

• It will clean the NAS and reinstall Malware Remover
• After the Malware Remover scan:
• Reboot the NAS
• Change all NAS user passwords

- Update all apps in the App Center.

I have not used the part below because not necessary.

If apps icons are grey, the solution is to reinstall the disabled app packages from the official App Center website:
- Go to https://www.qnap.com/en/app_center/?qts=4.3.5

• Select the NAS model, find the app to reinstall, and download the .zip package
• Unzip the .zip package, you will have a .qpkg file
• Login to QTS and open the App Center
• Click the button icon in the top-right of the App Center (please refer to the picture attached)

- Select the .qpkg file from step 3, and click Install.


Auf meinem Nas wurde direkt was gefunden:

chmod +x "./$bin" && "./$bin"[/share/MD0_DATA/.qpkg] #
[/share/MD0_DATA/.qpkg] #
<url https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh
% Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 367 100 367 0 0 367 0 0:00:01 --:--:-- 0:00:01 4587
2019-10-30 19:08:55 URL:https://download.qnap.com/Storage/tsd/utility/clean/clean.x64?t=1572458935 [900819/900819] -> "clean.x64" [1]
System path: /share/MD0_DATA
---
[o] Removing fake qpkg
[*] Removing /share/MD0_DATA/.qpkg/.liveupdate/liveupdate.sh
[+] Success!
[*] Removing /share/MD0_DATA/.qpkg/.liveupdate/
[+] Success!
[!] Malware was found and cleaned
---
[o] Removing fake qfix and binary
[*] Removing /mnt/HDA_ROOT/md_backup_2016-04-19_05.54.36
[+] Success!
[!] Malware was found and cleaned
---
[o] Sterilising infected shell script
[*] Sterilise /share/MD0_DATA/.qpkg/Entware-ng/Entware-ng.sh
[+] Success!
[*] Sterilise /share/MD0_DATA/.qpkg/phpMyAdmin/phpMyAdmin.sh
[+] Success!
[!] Malware was found and cleaned
---
[o] Cleaning DOM
No malware was found
---
[o] Refreshing XML
[*] Removing /etc/config/rssdoc/qpkgcenter_eng.xml
[+] Success!
[*] Removing /etc/config/rssdoc/qpkgcenter_ger.xml
[+] Success!
Done
---
[o] Reinstalling Malware Remover
[*] Removing /share/MD0_DATA/.qpkg/MalwareRemover/
[+] Success!
[*] 2019-10-30 19:08:56 URL:https://download.qnap.com/QPKG/MalwareRemover_3.4.1_20190125_182348.zip [288890/288890] -> "MalwareRemover_3.4.1_20190125_182348.zip" [1]
[*] Archive: MalwareRemover_3.4.1_20190125_182348.zip
inflating: MalwareRemover_3.4.1_20190125_182348.qpkg
[+] Success!
Installation completed
---
Finished!

 

[andy.cgn]

Hallo nochmal,

ich hab jetzt ein paar Mal den Malware Remover drüber laufen lassen. Er findet nix mehr, was aber offenkundig falsch ist. In der Crontab findet sich u.a.:

#0 * * * * /share/CE_CACHEDEV2_DATA/.TxaxaxXaCijjfivjj/GyaecqseyfrxSasdy.sh > /dev/null 2>&1
und das Script ist noch da.

Im selben Verzeichnis liegen noch andere -unbekannte- Scripte, die Owner der Scripte sind drei unterschiedliche Nutzer, die allesamt ein generiertes Passwort hatten, das Originalpasswort eines Nutzers war z.B. Q0$FWk#fp4rK

Mit Fail to Ban von unendlich bei 5 Versuchen und 68 gesperrten IPs waren das 340 Passwortversuche, ihr könnt selber abschätzen, ob ihr das für realistisch haltet.

Ich werde das NAS neu aufsetzen :-(

Weiterhin fällt ein merkwürdiges "liveupdate" Script auf.

Wie ich es hasse......

VG
Andy


Edit: ist bei mir dasselbe Script wie bei lockeoaa

Edit 2: Ich hab das Reinigungsscript von lockeoaa mal laufen lassen. Es hat auch noch einige Dinge gefunden, aber das Script share/CE_CACHEDEV2_DATA/.TxaxaxXaCijjfivjj/GyaecqseyfrxSasdy.sh hat das Teil nicht gefunden, das ist weiterhin da und wird aufgerufen.

 

[swisshele]

Habe jetzt mal die Firmware auf den neusten Stand gebracht und den Malware Remover mehrfach drüber laufen lassen. Ergebnis siehe Screenshot attached.
Morgen schaue ich mal den den crontab Einträgen und den oben erwähnten Scripts...

 

[online123]

Hallo zusammen,
mich hat es heute auch erwischt. Muss zugestehen dass meine Firmware auf meinem ebenfalls schon sehr alt war und ich über eine Port Freigabe auf mein Qnap zugegriffen habe.

Es ist das gleiche Erscheinungsbild wie bei den Usern zuvor. Ein Update vom Virus Programm ist fehlgeschlagen. Habe den Qnap erstmal ausgeschaltet, da ich nicht sicher bin wie ich diesen vom Internet abkapsle.

Mir ist nur im Moment nicht wirklich klar wie ich vorzugehen habe, bin auch nicht der Hammer Experte und habe Angst um meine Daten. Hier steht mal die Firmware soll upgedated werden und mal nicht?!?

Also wie soll ich jetzt vorgehen und kann ich die hdd drinlassen oder lieber abklemmen?
Werden die Daten nach dem Update bestehen bleiben?
Wie lade ich die neuste Firmware runter, ich soll mit dem Qnap ja erstmal nicht online gehen. Sorry, wie ihr merkt Fragen über Fragen.
Hoffe ihr habt die Geduld mir zu helfen?
Gruß

 

[lord-of-fire]

Danke für die Detailinfos. Die sind durchaus hilfreich.
Aktueller Stand bei mir: Zweitbackup läuft noch, weil die USB3 Ports am TS-412 nicht wirklich schnell sind und ich etwas mehr als 5 TB auf drei HDDs a 2 TB verteilen muß.
Sobald das Backup vollständig ist, werde ich das ganze Ding neu aufsetzen.

@online123
Beim Update bleiben die Daten erhalten. Aber ein Update der FW ist eben kein sicherer Weg, die Malware loszuwerden. Die einzig sichere Methode ist komplett neu aufsetzen, wobei die Daten überschrieben werden.

 

[M@rsupil@mi]

Inzwischen ist QSnatch in den Medien angekommen: u.a. hier bei Heise.de.

 

[lord-of-fire]

Wobei Heise ja auch nur rezitiert, was wir schon wußten...

Ich bin immer noch mit mir selbst am ringen, ob ich nicht doch den aktuellen Vorfall zum Anlaß nehme, vorzeitig auf ein neues NAS zu wechseln. In dem Fall dann gleich im 19" Format.

Das zweite Backup (das übrigens noch mindestens bis morgen dauern wird) ist in jedem Fall kein Schaden...

 

[andy.cgn]

Qnap schreibt auch nix erhellendes:
https://www.qnap.com/de-de/security-advisory/nas-201911-01

 

[online123]

Hallo,
Mal eine leichte Frage an euch.
Wie Kapsel ich mein Qnap vom Internet? Reicht es, dass ich die Port Weiterleitung am Router löschen?
Möchte wie geschrieben zuerst in den remover installieren und schauen ob was gefunden wird. Danach versuche ich es mit dem Update. Und wenn alles nicht geht muss ich wohl alles neu aufsetzen. Da fällt mir ein Beim neu aufsetzen, könnte ich alle Einstellungen speichern und diese dann beim Konfigurieren einfach hochladen? Oder würde dort die Möglichkeit bestehen, dass ich den Virus mitnehme?

Noch eine Frage, wenn ich die Daten zuerst sicher mit einem Back-up? Muss ich auf irgendwas aufpassen damit ich den Virus nicht mit speicher?

Gruß

 

[M@rsupil@mi]

Wenn du das NAS vom Netz trennen willst, dann wirst du dem Gerät im Router den Zugriffs aufs Internet sperren müssen. Auch ohne Portweiterleitungen kommt das Gerät ins Netz.

Würde jetzt nicht empfehlen die Einstellungen zu sichern und für die Neueinrichtung zu verwenden. Lieber "frisch" einrichten, da ist man auf der sichereren Seite.

Theoretisch könnte die Schadsoftware natürlich auch (noch / ebenfalls) in den Nutzerdaten liegen. Aber davon war jetzt zumindest nichts berichtet worden und die Daten werden ja auch nicht direkt ausgeführt.

Wichtig wäre es, dass du das System (offline) neu aufsetzt, das aktuellste Update einspielst und das Gerät entsprechend der QNAP Info (siehe Beitrag #52) absicherst. Danach dürftest du die Eigenen Dateien recht gefahrlos wieder einspielen können.

 

[lord-of-fire]

Und ganz wichtig: Danach komplett neue Passwörtet verwenden, weil qsnatch die alten nach Hause telefoniert hat.

 

[online123]

Wichtig wäre es, dass du das System (offline) neu aufsetzt, das aktuellste Update einspielst und das Gerät entsprechend der QNAP Info (siehe Beitrag #52) absicherst. Danach dürftest du die Eigenen Dateien recht gefahrlos wieder einspielen können.

Danke für die Antworten!
Eine kleine Verwirrung habe ich noch. Ihr sagt, man sollte das System neu offline aufsetzen. In der Beschreibung #52 ist davon nicht die Rede und es wird gesagt man kann ein online Update machen Plus die weiteren Schritte.

Neu aufsetzen bedeutet natürlich mehr Arbeit. Verstehe auch, dass dies der sichere Weg ist aber natürlich ist dieser Zeit intensiver. Außerdem habe ich keine weitere große Festplatte parat, dass ich alles noch mal sichern kann. Deshalb würde mir die Variante von der Qnap Website mehr zu sagen.
Hatte niemand dies auch so gemacht und war damit erfolgreich? Oder haben alle sofort alles neu aufgesetzt?

Gruß

 

[lord-of-fire]

Aktueller Stand bei mir: Da mir das TS-412 eh zu langsam war, hab ich jetzt ein neues NAS gekauft und werde ein zweites kaufen. Platten dafür werde ich im Laufe des Tages ordern.
Bisher hatte ich ja ein RAID5 im TS-412 und ein HW RAID5 per eSATA als Backup.
Zukünftig werde ich NAS2NAS Backup fahren.
Ich überlege bloß noch, ob beide in den gleichen Serverschrank kommen oder ob ich sie auch räumlich trenne. Was eigentlich besser wäre...

 

[Scandelli]

Qsnatch ist definitiv kein Fake, ich kämpfte 2 Wochen lang damit. Dies allerdings, weil mein Internetprovider regelmässig den Zugang sperrte wegen verdächtigem Netzwerktrafic, dabe aber keinerlei weitere Hinweise gab. Nach dem Verdacht auf Qsnatch habe ich die neueste Version der Firmware (4.3.3.1098) direkt von der QNAP-Webseite (nicht über das Dashboard oder den QFinder) heruntergeladen und installiert. Im Gegensatz zu den vorherigen Läufen des Malware-Removers hat sich der neu installierte prompt mit einer Erfolgsmeldung bemerkbar gemacht und der Internetprovider reklamiert nicht mehr. Passwörter (NAS, e-Mail und Rechner) geändert, seither ist Ruhe im Haus. Es geht also auch ohne Hardware-Reset und den zeitraubenden Backup aller Daten hätte ich mir wohl sparen können. Lästig an Qsnatch ist, dass er in Virensuchprogrammen gar nicht und über den Netzwerkverkehr nur mit erheblicher Verzögerung erkennbar ist.

 

[lord-of-fire]

Mir war wie gesagt mein TS-412 eh zu langsam und die 4x3TB als RAID5 wurden langsam eng.
Hab daher dem TS-412 den Internetzugriff gesperrt und bin grad dabei, sämtliche Daten per RSync auf ein neues NAS umzuziehen.