Malware detected...

[suicidus]

Hallo Community,

ich habe 2 Synology Systeme. Ein DS213j und eine DS211j. Mit der DS213j gibt es aktuell keine Probleme.

Aber die DS211j. Das Gerät ist nur zeitweise eingeschaltet und hat am 21.05.2015 das Update DSM 5.2-5565 installiert. Heute morgen hat mir das System gemeldet, dass Malware gefunden wurde.



Wenn ich einen rescan mache, erscheint die Meldung weiterhin.

Kann jemand damit etwas anfangen und mir empfehlen, was ich machen soll?
Oder bleibt mir nur der Synology Support?

Ich wünsche Euch ansonst einen schönen Feiertag.

Grüße - Sui

 

[g202e]

Welche Software meldet denn sowas? Womit machst du einen "Rescan"?

 

[Frogman]

Welche Software meldet denn sowas? Womit machst du einen "Rescan"?

Ein Blick auf den Screenshot oben bzw. in das DSM sagt Dir, dass es der Sicherheitsberater des DSM ist

 

[g202e]

Das sagt es mir zwar nicht. Oder meine Brille ist gerade beschlagen? Nein!
Aber, wenn du es sagst...dann ist das also dieses sinnfreie Programm, welches ich noch nicht benutzt habe und wohl auch nicht nutzen werde.

Und wenn ich mir die Ergebnisse der Benutzung so ansehe, habe ich offensichtlich eine sehr gute Entscheidung getroffen!

 

[Benares]

Also die Idee eines "Sicherheitsberaters" an sich finde ich nicht schlecht. Zum Glück ist er ja konfigurierbar und die einzelnen Tests lassen sich leicht an-/ausschalten.
Nur die unbedarften User dürften verwirrt sein, wenn nach irgendwelchen Aktionen der Berater plötzlich anschlägt und sie die Kritikalität der Meldung nicht einschätzen können.

 

[Frogman]

Das sagt es mir zwar nicht. Oder meine Brille ist gerade beschlagen? Nein!

Welches Software sollte sonst wohl melden "DSM-Systemdateien wurden unabsichtlich geändert." ?

 

[suicidus]

Hallo Zusammen,

vielen Dank für die Beteiligung. Der Vollständigkeit halber hätte ich erwähnen müssen, dass der Sicherheitsberater die Meldung auswirft. Der Satz "Malware detected..." wird im Protokoll-Center ausgegeben, wenn ich den Event öffne, erscheint die im Screenshot angegebene Meldung des Sicherheitsberaters.

Ich würde mich nicht als unbedarfter User bezeichnen. Ich habe nur nicht den Mega Linux Peil oder groß Ahnung vom System. Daher frage ich ja aber auch in einem Forum nach und schreibe nicht direkt den Hersteller an.

Ob es sinnvoll ist, den Sicherheitsberater zu deaktivieren... muss ich mir überlegen. Wenn von Euch niemand eine Idee hat, schreibe ich doch mal Synology an...

Grüße

 

[g202e]

Sicher kannst du Synology anschreiben...

Die Qualität des sog. Sicherheitsberaters magst du der Tatsache entnehmen, dass diese Software sogar Synology-eigene Dateien als Malware bezeichnet.
Damit disqualifiziert sich das Teil von selbst!

 

[bfpears]

@g202e bitte lies noch mal sorgfältig den Screenshot bevor du hier weiter so eine Welle machst.
da steht welche Dateien geändert wurden, nicht welche dafür verantwortlich sind.

Die Meldung ist schon interessant, die Interpretation ist halt recht schwierig.

Wie oft lässt du den Sicherheitsberater laufen?!
Ich könnte mir in diesem Fall vorstellen das es was mit dem Update auf 5.2 zu tun hat. Kann das jemand nachstellen? (ich bin noch auf 5.1)
Du solltest das auf jeden Fall an den Support melden.

Das der Sicherheitsberater auf geänderte Dateien prüft finde ich sehr gut.
Kann einen evtl davor bewahren seine externe Backup Platte an zu schließen wenn es im Bereich Schadsoftware eine Meldung gibt.

Ich habe mir gerade eine angepasste Checkliste erstellt und lasse die mal Testweise täglich laufen.
Bisher hatte mich die Warnmeldung über SSH Ports, usw auch nur gestört und somit den Nutzen des gesamten Beraters in Frage stellen lassen.

 

[Perry2000]

DS412+ und DS413 keine solche Meldung.
Habe es gerade getestet und bin auf aktuellster Version.

 

[raymond]

Den Sicherheitsberater traue ich auch kein Meter über den Weg. Die Empfehlungen, die dieser gibt, sind einfach nur schlecht.
Ich ignoriere diesen einfach. Schön wäre es, wenn diese in der DSM 5.2 auch angegangen wäre.

 

[bfpears]

@raymond dann legt doch eine angepasste Checkliste an und lasse die "schlechten Empfehlungen" weg (Stand DSM 5.1)

 

[Scylor]

Also wenn ich mir die Antworten so durchlese muss ich doch ärgstens an der Ahnung mancher user hier zweifeln.

Was das Programm versucht dir zu sagen, ist dass irgendwas Systemdateien verändert hat (und zwar die auf dem screenshot), was laut Meinung vom Sicherheitsberater nicht hätte passieren dürfen. Wenn ich dann Antworten lese wie "Deaktiver halt die Meldungen dazu" wird mir schlecht.

Ich würde folgendes tun: Backup von allen Dateien (und nein, das machst du nicht auf deinen PC, sondern auf irgendeine externe Festplatte, die du danach nirgendwo anders anschließt. Dann Synology komplett leerputzen und neu aufsetzen. Die Dateien auf der externen Platte lässt du am besten mit einem vom USB-stick gebooteten Betriebssystem durchchecken, danach packst du sie auf den Synology zurück. Dann nochmal alle Malwarescanner die es für die DS so gibt drüberlaufen lassen und wenn das Problem danach nicht mehr auftritt sollte es das hoffentlich gewesen sein.

 

[dil88]

Das Problem ist, dass der Sicherheitsberater hin und wieder selbst bei Paketen, die von Synology stammen, anspringt. Da ist es ein bisschen wie mit dem Schäfer, der solange aus Spaß "Wolf" schreit, bis dieser wirklich kommt und ihm keiner mehr glaubt und hilft. Kurz: Ein solches Tool muss gepflegt werden. Tut man dies nicht ausreichend, wird es sein Ziel nicht erreichen.

 

[suicidus]

Hallo Zusammen,

erstmal danke an alle für die Diskussion.

Scylor - guter Punkt. Einfach so lässt sich der Schritt leider nicht durchführen. Das NAS steht an einem entfernten Ort. Das geht nur mit entsprechender Vorplanung. Solange muss ich mir halt überlegen, ob ich mit einem "Risiko" lebe, oder das System abgeschaltet lasse.
dil88 - Das war natürlich mein erster Gedanke. Hatte daher die Hoffnung, dazu im Netz was zu finden oder Eure Erfahrung da hilft. Dagegen spricht, dass ich dieses Problem auf der DS213j nicht habe...

Ich habe eine Support Meldung bei Synology abgesetzt, und lasse den Antivirus schonmal komplett über das System drüberlaufen.

Grüße - Sui

€DIT: Was für Malware Scanner kennt Ihr? Ich kenne nur den Antivirus und den "Rootkit Hunter" von QTip, den ich über eine fremde Paketquelle beziehen kann.

 

[bfpears]

Also ich habe mir mal die 5 oben aufgeführten Dateien anzeigen lassen:

die Beiden "strings" scheinen Übersetzungen der System Variablen ins (cht, sve / Chinesiche, Schwedisch) zu enthalten. (wenn man cht gegen ger tausch sieht man die deutschen)

Die SQL Dateien sind bei mir wohl leer (Facebook & Co habe ich nicht)

DS110> cat /usr/syno/synoman/webfm/sql/emailaccount.sql
BEGIN;
CREATE TABLE emailaccountinfo
(
uid integer NOT NULL,
email_type text NOT NULL,
alias text NOT NULL,
host text DEFAULT '',
port text DEFAULT '',
account text NOT NULL,
passwd text DEFAULT '',
auth text DEFAULT 'true',
sender_account text DEFAULT '',
sender_name text DEFAULT '',
access_token text DEFAULT '',
refresh_token text DEFAULT '',
expires_in text DEFAULT '',
is_default boolean DEFAULT false,
tls text DEFAULT 'true',
PRIMARY KEY (uid,alias)
);
COMMIT;

DS110> cat /usr/syno/synoman/webfm/sql/fbsharing.sql
BEGIN;
CREATE TABLE sharingLinks
(
linkID text NOT NULL,
uid integer NOT NULL,
filename text NOT NULL,
filepath text NOT NULL,
password text,
ExpDate bigint,
AvailDate bigint NOT NULL,
tmp_username text DEFAULT '',
tmp_linkStatus text DEFAULT '',
isFolder boolean DEFAULT 0,
sharing_list text DEFAULT '',
PRIMARY KEY (linkID)
);
COMMIT;

DS110> cat /usr/syno/synoman/webfm/sql/socialaccountinfo.sql
BEGIN;
CREATE TABLE socialAccountInfo
(
uid integer NOT NULL,
social_type text NOT NULL,
social_id text NOT NULL,
access_token text NOT NULL,
refresh_token text DEFAULT '',
PRIMARY KEY (uid,social_type)
);
COMMIT;

 

[suicidus]

Hi,

Daumen hoch. So wird das denke ich bei mir auch aussehen. Auf dem NAS ist ausschließlich rsync aktiv, mehr läuft dadrauf nicht. Sieht sowieso eher danach aus, als wären das Dateien, womit Datenbanken neu angelegt werden (CREATE), wenn man diesen Service nutzen möchte.....

Kann ich eigentlich auch per Paket direkt eine Konsole oder ein Terminal öffnen oder gehts nur über SSH/Telnet?

Grüße - Sui

 

[g202e]

@g202e bitte lies noch mal sorgfältig den Screenshot bevor du hier weiter so eine Welle machst.
da steht welche Dateien geändert wurden, nicht welche dafür verantwortlich sind.

Habe ich jemals was Anderes behauptet?

Also wenn ich mir die Antworten so durchlese muss ich doch ärgstens an der Ahnung mancher user hier zweifeln.
Was das Programm versucht dir zu sagen, ist dass irgendwas Systemdateien verändert hat...was laut Meinung vom Sicherheitsberater nicht hätte passieren dürfen.

Genau das ist das Problem! Bei einem Update ist es das Normalste der Welt, dass Dateien geändert werden. Wenn eine Software des Herstellers Malware annonciert, weil derselbe Hersteller Dateien geändert hat, dann ist das einfach nur ARMSELIG! Und das sage ich in vollem Ernst mit über 30 Jahren Berufserfahrung als Software-Entwickler.
Da kannst du an den Regeln drehen, soviel du willst. Das Problem wird bestimmt erst dann wirklich beseitigt, wenn dieser "Berater" eine Signaturprüfung integriert bekommt.
So macht man das nämlich! Das ist die absolute Mindestanforderung, dass man vom offiziellen Hersteller signierte Pakete in Ruhe lässt.