Qnap Malware trouvé sur le NAS, comment avoir plus de détails ?

Ishido

Maître Jedi
7 Janvier 2017
616
21
48
Bonjour,

J'ai reçu un mail tout à l heure avec ceci :

NAS Name: QNAP-TS451A
Severity: Warning
Date/Time: 2019/08/29 13:22:11

App Name: Malware Remover
Category: Malware Removal
Message: [Malware Remover] Removed high-risk malware. Change all user account passwords immediately, update QTS and all applications to the latest versions, and restart the NAS.

Ok parfait, mais je ne trouve nul part plus de détails. Où était le fichier et son nom. Je suis assez étonné de cette alerte car je n'ai strictement rien ajouté sur mon nas en dehors de 2 ou 3 photos du smartphone ( et ça se fais automatiquement avec Qfile )

J'ai regardé dans Malware Remover pour plus d infos, mais rien à part le message reçu par mail. Egalement pas plus d info sur Security Counselor.

Merci
 
Merci pour ta réponse :)

Bon si on ne peux plus avoir confiance dans ce logiciel, c'est problématique.
 
Je pense qu'il parle de son IP publique ;)

De mon coté RAS coté Blacklistage.
 
Ok mais comment c'est possible si c'est un faux positif ? C'est bien qu'il y a eu un souci ?

Mon problème c est que je ne sais pas de quel fichier est concerné ....
 
Peut-être que @qoolBox pourrait nous éclairer o_O

En attendant, tu peux vérifier si ton IP publique est blacklistée : https://www.spamhaus.org/lookup/

Perso, j'ai un doute quant à l'envoi de spam depuis nos NAS...
 
je ne suis pas certain que ca soit lié, mais c'est quand même une drôle de coincidence..
 
Gravitys, comment tu as fais le lien entre l alerte de Malware et le blacklistage ? Tu as juste vérifié par hasard si c'était blacklisté ?

J'ai testé mon ip, et à priori je suis également blacklisté, même si je ne comprend pas tout car c'est en anglais et assez technique.

Sinon je reviens à ma première question, y a un moyen d avoir plus de détails sur où était le malware et le nom du fichier infecté ?je n ai pas trouvé comment faire

Merci
 
Si je ne suis pas le seul ca doit etre lié...

une petite com officielle de Qnap sur le sujet serait sympa

De mon coté j'ai remarqué que Cloudflare me demandait a chaque fois que j'y accédait de remplir les captcha de securité avancé (ce n'etait pas le cas il y a une semaine).Sur la même page, il etait indiqué qu'il devait s'agir d'un blacklistage causé par un virus/malware spammeur.

De plus ma synchro Garmin depuis le telephone ne fonctionnait plus sur le reseau local alors qu'elle fonctionnait parfaitement en 4G, Steam aussi ne voulait plus de moi et quelques autres sites web.

pour info, voici la réponse de l'equipe de Spamhauss :
Code:
Spamhaus CSS Team <css-mmxvi@spamhaus.org>
05:59 (il y a 6 heures)
À stef


If this has already been fixed, them this listing will likely expire shortly.

Your IP appears to have been detected spamming very recently, there is 
a distinct possibility that your machine has been compromised by virus.
Or, if this is a router, a machine behind that router or the router itself.

At this time we do not have a sample which could help you identify the cause.

Assuming that you find and fix the problem,
please request removal explaining what virus/problem you found. 


You may or may not have got this one. It started on 22nd and was last seen 28th around 1600 GMT

Comme par hazard ca s'est arrêté pile poil après la detection du malware, il faudrait vraiment avoir plus de détail sur la criticité du malware en question...
 
il y a un faux positif ... depuis deux jours...

Message de ce matin au TSD WW

Aujourd'hui, les règles du Malware Remover ont été mises à jour mais il y a un bug faux-positif.
Le programme de suppression des logiciels malveillants signalera incorrectement un journal système tel que ""[Malware Remover] Removed high-risk malware..."". "

Les règles ont déjà été annulées mais l'utilisateur doit réinstaller Malware Remover pour résoudre ce problème.

:geek: évitez de tomber dans la paranoïa :geek:
 
Paranoia, oui, peut être, faudra en parler aux équipes de Spamhauss. Comme par hazard, le spam c'est arrêté apres l'alerte de malware remover, bizarre non?
Rien n'a été détecté ni changé depuis sur les autres machines du réseau (windows avec defender a jour)
 
Merci pour ce retour QoolBox :!:

EDIT:

Bon, j'ai désinstaller puis réinstaller Malware Remover
Résultat, il gueule encore :-?

Après, McAfee ne dit rien et comme je me fie plus à lui, je ne m'inquiète pas trop.
 
Pour ma part j'ai ça en résultat :

XX.XXX.XXX.XX is not listed in the SBL
XX XX XX XX is listed in the PBL, in the following records:

PBL043662
XX XX XX XX is not listed in the XBL

Seule chose que j ai remarqué, c'est que depuis quelques temps je n'ai plus accès au site américain home depot, mon adresse est bloquée sur leur site je pense.

Ok donc je vais re installer malware remover :) pour qu il soit à jour.
 
Bon, j'ai viré Malware Remover. Trop de faux positifs.
Niveau suivi applicatifs, QNAP est à la ramasse...
 
coeur51 a dit:
Bon, j'ai viré Malware Remover. Trop de faux positifs.
Niveau suivi applicatifs, QNAP est à la ramasse...

Je pense que je vais faire pareil, car Qoolbox est intervenu sur mon nas pour un souci sur HBS, et a trouvé un malware dans le autorun.sh

Je ne sais pas comment ce truc est arrivé là, ni depuis combien temps ( ni d'ailleurs comment il a fais pour le trouver ^^ ), Malware remover ne m'a jamais alerté sur ce malware donc bon....

J'y connais rien, mais quand je vois un fichier autorun, c'est à priori pas une petite infection.

D'ailleurs j'ai changé mon password de mon compte ( j'étais à 22 caractères, je passe à 29 ^^ )
 
Ishido a dit:
Je pense que je vais faire pareil, car Qoolbox est intervenu sur mon nas pour un souci sur HBS, et a trouvé un malware dans le autorun.sh
Comment/où on accède à ce fichier ?
 
Il m'a indiqué qu'ils ont un programme interne à Qnap, non disponible au public.

Ils devraient donner ce logiciel à l'équipe de Malware Remover, vu que c'est pas vraiment efficace lol.

Personne m'a répondu pour trouver les détails sur une alerte, j'imagine qu'on ne peux pas avoir de détails à priori.
 
On se croirait chez Microsoft où tout est secret,
sauf que ce n'est pas comme ça qu'on avance, surtout quand on tourne par dessus Linux...