![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Merkw\u00fcrdiges bei QNAP Netzwerkspeichern (NAS): Eine Schadsoftware scheint Eintr\u00e4ge in der Hosts-Datei des Ger\u00e4ts zu manipulieren. Dadurch werden Virenscanner und der QNAP Malware Remover nicht mehr aktualisiert.<\/p>\nMerkw\u00fcrdiges bei QNAP Netzwerkspeichern (NAS): Eine Schadsoftware scheint Eintr\u00e4ge in der Hosts-Datei des Ger\u00e4ts zu manipulieren. Dadurch werden Virenscanner und der QNAP Malware Remover nicht mehr aktualisiert.<\/p>\n
<\/p>\n
0.0.0.0 bugs.clamav.net Mit dieser Zuweisung in der hosts-Datei sind die betreffenden Server von ClamAV nat\u00fcrlich nicht mehr erreichbar. Ein Scan mit dem QNAP Malware Remover 3.3.1<\/a> ergab, dass die Firmware des NAS sauber sei. <\/p>\n Am 22. Januar 2019 meldete sich ein weiterer Nutzer jhand00, der angibt, wohl 'auf die gleiche Weise gehackt' worden zu sein. Dieser schreibt: <\/p>\n I did have qnapcloud enabled. My guess is that it was through that, but other possibilities are that I had https access available from the Internet, along with port forwarding to a Plex server on the QNAP server.<\/p>\n<\/blockquote>\n Aber es bleibt unklar, was passiert sein k\u00f6nnte. Der Thread-Starter hatte das Problem an QNAP gemeldet, ohne eine Reaktion zu erhalten. Er konnte die Eintr\u00e4ge zwar aus der hosts-Datei manuell herausl\u00f6schen. Aber nach einem Neustart der NAS-Firmware waren die Eintr\u00e4ge wieder da. <\/p>\n Also hat er einen Versuch gemacht und ein Downgrade seiner QNAP NAS-Firmware auf die Version 4.3.4.0675 vorgenommen. Dann waren die 'Geister-Eintr\u00e4ge' in der hosts-Datei weg. <\/p>\n Als Benutzer ianch99 <\/em>die QNAP NAS-Firmware erneut auf die Version 4.3.4.0695 aktualisierte, waren die mehr als 700 Eintr\u00e4ge in der hosts-Datei pl\u00f6tzlich wieder vorhanden. Er schreibt dazu: <\/p>\n Out of interest, I downgraded to 4.3.4.0675 firmware and the hosts file did not have the 700+ entries. I then upgraded to 4.3.4.0695 and they came back . I am thinking it is related to the config settings that persist on the \/share\/CACHEDEV1_DATA device. There is a new Malware Remover version 3.4.0 that came out yesterday so QNAP know that they have an issue here. I ran this and it says it \"Malware was detected and removed. You must restart the NAS\". You do this and then it runs on restart and says the same thing –> endless loop.<\/p>\n<\/blockquote>\n <\/em>Er vermutete, dass die Eintr\u00e4ge in einer Cache-Datei \u00fcberdauert haben. Der Thread umfasst inzwischen 8 Seiten \u2013 und Benutzer berichten, dass ihre Antivirus-Software auf dem NAS nicht mehr aktualisiert werden kann. <\/p>\n Auf reddit.com hat ein Benutzer diesen Thread<\/a> er\u00f6ffnet. Nachdem sein QNAP Malware Remover sich weigerte, zu arbeiten und er diese auch nicht neu installieren konnte, hat ein QNAP-Techniker in einer Remote-Sitzung ein Shell-Script ausgef\u00fchrt. Der Befehl ist im verlinkten Thread (und in diesem heise.de-Artikel<\/a>) dokumentiert und soll das Problem erst einmal beheben. <\/p>\n Im deutschsprachigen QNAP-Club-Forum gibt es einen Thread, wo ein Benutzer am 24. Januar 2019 berichtet, dass sein Malware Remover nicht mehr scannen kann. Der Versuch einer Neuinstallation endet mit einer Fehlermeldung.<\/p>\n Hier beschreibt ein weiterer Benutzer seine Analyse und kommt zum Schluss, dass sein QNAP-NAS durch Malware infiziert ist, die das Scannen und Updaten durch den Malware Remover unterbindet. Ein Benutzer fasst es aktuell in folgendem Post zusammen: <\/p>\n Ich habe gerade alle mehrere Deutsche und Englische Qnap Foren Threads durchgelesen und anschliessend in M\u00fcnchen angerufen (Qnap Support). Es scheint so, als w\u00fcsste bisher keiner so wirklich wo der Angriffsvektor dieser Malware ist?!<\/p>\n<\/blockquote>\n Allerdings gibt es von QNAP mehrere Sicherheitsupdates, die ein Benutzer hier auflistet. So existiert ein Security Advisory NAS-201901-22 vom 22. Januar 2019 mit dem Titel Security Advisory for Vulnerabilities in QTS<\/a>, in dem ein QTS-Update dringend empfohlen wird. Ein weiteres QNAP Security Advisory NAS-201901-14 vom 14. Januar 2019 tr\u00e4gt den Titel Security Advisory for Photo Station Vulnerability<\/a>, der ein Update der Photo Station-Software empfiehlt. <\/p>\n Allerdings spricht dagegen, dass die Betroffenen die vermutete Infektion nach einem Update der QNAP-Firmware bekommen haben. Man k\u00f6nnte dann schon mal auf den Gedanken kommen, dass diese Firmware nicht sauber ist oder eine Schwachstelle aufweist, die nun ausgenutzt wird. Die beim Schreiben des Beitrags letzte Forenmeldung stammt von einem Benutzer, der eine OEM-Version (Fujitsu Celvin Q902 = TS 669) des QNAP-NAS hat, dort aber aber bisher keine Auff\u00e4lligkeiten bemerkt. Wer ein solches Ger\u00e4t besitzt, sollte auch die Nutzerkommentare zu diesem heise.de-Artikel<\/a> durchgehen. <\/p>\n","protected":false},"excerpt":{"rendered":" Merkw\u00fcrdiges bei QNAP Netzwerkspeichern (NAS): Eine Schadsoftware scheint Eintr\u00e4ge in der Hosts-Datei des Ger\u00e4ts zu manipulieren. Dadurch werden Virenscanner und der QNAP Malware Remover nicht mehr aktualisiert.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-214772","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214772","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214772"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214772\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214772"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214772"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214772"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich bin schon vor einigen Tagen auf einen Artikel bei The Register<\/a> zum Thema gesto\u00dfen. Im QNAP NSA Community-Forum hat sich bereits am 7. Januar 2019 ein Nutzer ianch99 <\/em>gemeldet, dem aufgefallen war, dass nach dem letzten Firmware-Update der QNAP-Ger\u00e4te der ClamAV Antivirus keine Updates mehr beziehen konnte. Bei einer Kontrolle stie\u00df er darauf, dass \u00fcber 700 clamav.net-Eintr\u00e4ge in seiner \/etc\/hosts-Datei zu finden waren, die dort auf die IPv4-Adresse 0.0.0.0 gesetzt waren. Hier ein Auszug:<\/p>\n
0.0.0.0 current.cvd.clamav.net
0.0.0.0 database.clamav.net
0.0.0.0 db.local.clamav.net
0.0.0.0 update.nai.com
0.0.0.0 db.ac.clamav.net
0.0.0.0 db.ac.ipv6.clamav.net
0.0.0.0 db.ac.big.clamav.net <\/p>\nBest\u00e4tigung durch andere Nutzer, ein Firmware-Bug?<\/h2>\n<\/p>\n
\n
\n
Weitere Beobachtungen, keine Reaktion von QNAP<\/h2>\n
<\/p>\n
\n