QNAP [Résolu] photo station ne se lance plus !

Daeri

Padawan
27 Août 2017
97
1
8
Bonjour,

Depuis quelques jours, je ne sais plus lancer Photo station (idem avec music & video station), j'obtiens un message :

Échec de connexion à la Médiathèque !
Veuillez réessayer plus tard.

err bib multim.png

Ce que j'ai déjà tenté sans succès :
- relancer le nas
- vérifier que le serveur multimédia dnla est activé + désactiver puis réactiver
- vérifier que le serveur web est activé + désactiver puis réactiver

J'ai la dernière version du firmware (à savoir 4.3.3.0262 du 27/07/2017) et les applications sont à jour. Ces applications ont toujours fonctionné jusqu'alors. Je peux toujours accéder à mes photos via file station. Les photos sont uploadées automatiquemnt sur le nas via l'application qnap android pour le téléphone et netbak replikator sur le pc.

J'avoue que je sèche un peu, si quelqu'un a une idée.
 
Essaye de desinstaller et réinstaller les paquets. Jvois que ca


Envoyé de mon iPhone en utilisant Tapatalk
 
Merci ! J'ai désinstallé photo/music/video station. J'ai ensuite voulu réinstaller photo station mais il restait bloqué "en attente". SI je cliquais sur "mes applications", il apparaissait mais sans bouton "ouvrir". J'ai donc relancé une nouvelle fois le nas, et là, deux tâches de fond, photo station en cours de téléchargement et la création des vignettes ! Photo station se lance bien à présent.

Je n'ai pas pensé à faire une capture d'écran mais dans l'app center, j'avais "myqnapcloud" avec une vignette de tête de mort et la bulle d'aide signalant une incohérence) alors j'ai désinstallé aussi cette appli, seulement je ne la retrouve pas dans l'app center. Je regrette de n'avoir pas fait de photo d'écran car c'était très bizarre.

Un autre truc bizarre, au reboot, j'ai un avertissement comme quoi le système ne s'est pas éteint correctement et me conseille de vérifier le disque (ce que je vais faire) mais on a l'impression que le nas a planté au lieu de faire un shutdown propre :

err reboot.png


J'édite avec de nouvelles infos. J'ai retrouvé ce fil sur le forum officiel anglophone où d'autres utilisateurs ont constaté le même soucis d'application avec l'icône bizarre.. Apparemment, ce serait un malware. J'ai installé l'application malware remover et il me signale qu'il a effectivement nettoyé des traces d'un malware appelé myqnapcloud. A noter que j'avais uniquement ouvert l'accès en https (même en local) et j'avais redirigé un seul port sur mon routeur. Il va sans dire que j'ai immédiatement supprimé la redirection et l'accès via myqnapcloud en attendant de comprendre comment ce malware a pu atterrir là.. Les logs de connexion n'indiquent rien d'autres que mes ordinateurs..
 
Daeri a dit:
J'édite avec de nouvelles infos. J'ai retrouvé ce fil sur le forum officiel anglophone où d'autres utilisateurs ont constaté le même soucis d'application avec l'icône bizarre.. Apparemment, ce serait un malware. J'ai installé l'application malware remover et il me signale qu'il a effectivement nettoyé des traces d'un malware appelé myqnapcloud. A noter que j'avais uniquement ouvert l'accès en https (même en local) et j'avais redirigé un seul port sur mon routeur. Il va sans dire que j'ai immédiatement supprimé la redirection et l'accès via myqnapcloud en attendant de comprendre comment ce malware a pu atterrir là.. Les logs de connexion n'indiquent rien d'autres que mes ordinateurs..
C'est très surprenant... effectivement. Est-ce que pour le reste, tout est rentré dans l'ordre (extinction du NAS, application Photo Station...) ?
 
Oui :)

Le scan du disque n'a trouvé aucune erreur. Je n'ai pas repéré de fichier étranger, mais je ne sais pas ce que fait ce malware connu (pour info l'antimalware a donné dans les logs la liste des fichiers supprimés). Je me tâte à réinitialiser le nas ou pas... Les fichiers originaux sont en double sur l'ordinateur et sur un cloud.

Photostation a rescanné la bibliothèque, ce qui a pris quelques heures. Mes photos sont apparues au fur et à mesure.
 
C'est effectivement très étrange... La réinitialisation ? Je ne sais pas si c'est nécessaire. Il faudrait à minima lancer un Antivirus sur l'ensemble des données pour être sûr. Et dans un second temps, remettre QTS ou une mise à jour pour être sûr que les fichiers système sont sains (ce que l'Anti-malware a dû faire). Tu as eu beaucoup de fichiers supprimés par l'application (log) ?
 
L'anti-malware n'a supprimé que quelques fichiers (de mémoire dont un script sh). Je pourrais mettre la liste exacte ce soir !

Il y a eu un bulletin de qnap en mai dernier concernant des vulnérabilités à des malwares. Personnellement, j'ai activé les alertes emails et sms et j'ai toujours fait les mises à jour dès qu'elle étaient disponibles :) Après, il faut que les attaquants aient accès au nas. Je n'ai jamais hébergé de fichier public via mon nas. L'origine de mon malware restera probablement un mystère..

Il y a déjà clamav qui tourne. Je pourrais éventuellement en plus scanner via l'ordinateur. Le malware tourne sous linux mais tu as raison, il est possible qu'il ait laissé trainer un virus pour infecter des machines sous windows qui accéderaient au nas..


Je vais regarder si on peut réinstaller la dernière version du firmware.

Il va sans dire que j'ai changé les mots de passe également.
 
Voici déjà les fichiers supprimés par l'anti-malware :

qnap malware removed2.png


Code:
[MalwareRemover] Scan completed and malware deleted.
[MalwareRemover] Malware removed: /share/CACHEDV1_DATA/.qpkg/.myQNAPcloud/upnpc-static
[MalwareRemover] Malware removed: /share/CACHEDV1_DATA/.qpkg/.myQNAPcloud/qcloud_agent
[MalwareRemover] Malware removed: /share/CACHEDV1_DATA/.qpkg/.myQNAPcloud/.auth
[MalwareRemover] Malware removed: /share/CACHEDV1_DATA/.qpkg/.myQNAPcloud/.qsync.conf
[MalwareRemover] Malware removed: /share/CACHEDV1_DATA/.qpkg/.myQNAPcloud/.key
[MalwareRemover] Malware removed: /tmp/config/autorun.sh


Si c'était bien un malware, il est vraiment fort car les noms de fichiers utilisés ressemblent vraiment à ce que l'on s'attendrait de la fonction myqnapcloud :shock:
 
Non mais je pense que le malware est arrivé par connexion directe par le port https ouvert sur internet. Soit les pirates arrivent à retrouver les nas créés sur myqnapcloud (le mien était privé), soit ils scannent les ips au hasard et ils profitent d'une faille pour rentrer (par exemple celles de qts 4.2.5). Ce serait assez compliqué d'infecter un ordinateur puis de là chercher spécifiquement à infecter le nas car le malware doit être codé pour qnap.

Pour info, j'avais désactivé l'accès http non sécurisé même en local, ainsi que les protections qui bloquent une ip automatiquement après X essais infructueux et mon mot de passe était relativement compliqué ;)

Je ne saurais probablement jamais si mon problème avec photostation avait un lien avec ce malware..
 
Je pense avoir résolu le mystère mais il faudrait peut-être créer un autre sujet :?:

Je pense qu'il ne s'agit pas d'un malware mais de restes de fichiers obsolètes suite une mise à jour du firmware. En gros, soit l'application "myqnapcloud" a existé et a été rendue obsolète lors d'un changement de firmware, soit ce sont juste des fichiers obsolètes qui sont restés et qui apparaissent dans l'app center.

Après avoir fouillé sur le forum officiel et observé des retours de personnes qui ont vu l'antimalware enlever des modifs qu'ils ont fait en ssh, je pense avoir compris comment l'antimalware fonctionne. En gros, il compare les fichiers systèmes à ce qu'ils devraient être et s'il trouve une différence, il remet à l'état d'origine. C'est assez facile à faire si l'archive du firmware reste sur le nas après l'installation.

Lors de la dernière mise à jour, certains fichiers n'ont pas été correctement déplacés ou supprimés. Peut-être que seuls certains modèles de nas sont concernés. Avec toutes les variantes de nas qui existent, ce n'est pas facile de faire une mise à jour qui prenne en compte tous les cas... Si l'installeur se contente de copier les nouveaux fichiers, les fichiers obsolètes vont rester trainer, inutiles. Un peu comme une installation de windows qui grossit même quand on désinstalle les applications inutiles, il reste souvent des fichiers qui ne servent plus à rien.


Par contre, cela veut dire que l'antimalware est assez efficace car il va détecter le moindre fichier qui n'a rien à faire là.
 
C'est tout à fait possible... mais ce n'est pas pour tout le monde. Donc, il doit y a avoir un process ou une application qui bloque la suppression des précédents fichiers (ou un bug du firmware).

Daeri a dit:
Par contre, cela veut dire que l'antimalware est assez efficace car il va détecter le moindre fichier qui n'a rien à faire là.
Ca, c'est la bonne nouvelle ;)
 
(vous me dites si je dépasse le cadre du topic !)

Jusqu'à il y a peu, il existait une application "myqnapcloud certificate" que j'avais effectivement du installer pour gérer le certificat ssl de mon nas.

La documentation la montre encore sur les captures d'écran :
https://www.qnap.com/fr-fr/how-to/tutorial/article/comment-utiliser-hybrid-backup-sync-pour-sauvegarderrestaurersynchroniser-vos-fichiers-sur-un-qnap-nas
qnap myqnapcloud ssl certificate.png

Aujourd'hui, cette application n'existe plus. Ce sont peut-être (je l'espère) des fichiers restants de cette application qui ont été supprimés par l'antimalware. J'ai essayé d'ouvrir le code de l'antimalware, programmé en python, mais il est compilé (pyc) donc illisible.

Si c'est bien ça, les seules personnes potentiellement concernées par ce soucis seraient celles qui ont installé le certificat ssl (j'ai installé celui de let's encrypt depuis qnap le propose gratuitement, cela fait quelques mois je crois).

edit : j'ai réactivé l'accès à distance sécurisé. Je vous dirais si je me suis trompé et que le malware revient :mrgreen: