QNAP Club Italia

mister P ha scritto: 08/05/2018, 12:28 cosa significa disabilitare qnapcloud?

Scusa volevo scrivere myqnapcloud
myQNAPcloud è un servizio integrato al nas che permette l'accesso remoto al Nas

https://www.qnap.com/it-it/how-to/tutor ... yqnapcloud

Allora, il firmware qnap conteneva una vulnerabilità
che è stata fixata (pare) con l'ultimo firmware 4.3.4.0569 build 20180501
(Fixed a command injection vulnerability in LDAP Server(CVE-2018-0712))

dropkick.sh non elimina il malware, lo rinomina soltanto per renderlo inefficace, sarà poi Malware ...

Alla fine il risultato sarà

[/mnt/ext] # sh dropkick.sh
============================================
[*] Checking for malware script...
[+] Found. Quarantine it.
============================================
[*] Checking whether dropbear is in execution...
[-] No dropbear process found ...

infatti ieri sera era tornato tutto a funzionare ma stamattina è tutto come prima...


Ed è per questo che va comunque eseguito dropkick.s_ anche se il firmware nuovo sembra risolvere.
.

[/mnt/ext] # sh dropkick.sh
============================================
[*] Checking for malware script ...

Che poi il malware è stato solo rinominato per renderlo inefficace, la soluzione definitiva, malgrado il nuovo firmware deve ancora venire

E' stato copiato male il link, ....

PS per giamaer e per tutti: controllate queste cose prima di postare un copia/incolla da altro sito, i link vengono tagliati nel nome, ma verificate che l'url sia corretto. Grazie.


E per questo motivo che qui son state tolte le h
http://www.qnapclub.it ...

È molto semplice.
Tramite il terminale accedere al nas in ssh digitando:

SSH admin@ipnas

Una volta loggati digitare

cd /mnt/HDA_ROOT
ls
Controllare se esiste init_system_ex.sh
In caso affermativo eseguire ugualmente dropkick.sh

L'aggiornamento del firmware cancella il processo dropbear, elimina l'utente guest ma non rimuove il malware.
Per sicurezza eseguire ugualmente dropkick.sh e poi verificare in /mnt/HDA_ROOT se l'archivio è ancora presente.

Il malware dovrebbe essere questo
/mnt/HDA_ROOT/init_system_ex.sh

Malware:
/mnt/HDA_ROOT/init_system_ex.sh

Controllate se esiste: /mnt/HDA_ROOT/init_system_ex.sh .
in caso affermativo installare malware remover e aspettare aggiornamento

la soluzione dovrebbe essere questa

Solución:

Conectar por SSH y ejecutar lo siguiente

cd /mnt/ext
wget _ttp://download.qnap.com/Storage/tsd/utility/dropkick.sh (cambiar _ por h)
chmod +x dropkick.s_ (cambiar _ por h)
sh dropkick.s_ (cambiar _ por h)
reboot

ma io non ho provato perché non son ...

Qualcuno sa dirmi se questa procedura è corretta?

Sto brancolando nel buio da giorni e ho realmente bisogno di supporto.

Grazie anticipatamente

Ho il nas in panne, cercando su web ho trovato questo

AVISO: Si no puedes acceder a tus carpetas compartidas desde File Station en tu NAS QNAP, comprueba si existe el siguiente archivo (con WinSCP): /mnt/HDA_ROOT/init_system_ex.sh . En caso afirmativo, estás infectado por un reciente malware ...

A quanto pare abbiamo i nas compromessi da un Malware

Otros síntomas son: un proceso llamado "dropbear", la creación de un usuario maligno llamado "guest" con derechos de administrador (con uid y gid 0) y la modificación de crontab para hacer la infección persistente.

Pare sia un malware,

Otros síntomas son: un proceso llamado "dropbear", la creación de un usuario maligno llamado "guest" con derechos de administrador (con uid y gid 0) y la modificación de crontab para hacer la infección persistente.

Credo sia un malware, fai attenzione è tutto compromesso, controlla se hai un nuovo utente Guest nel gruppo admin

Ciao a tutti ho un ts-251 e mi sono beccato un fastidioso malware a cui non vengo a capo.