Synology-System mit Virus von Werk aus? :-/

Status
Für weitere Antworten geschlossen.

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Oben ist ja auch von /usr/syno/bin die Rede und da liegt bei mir ein zip-Executable. Unter /usr/bin gibt's das nicht.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.569
Punkte für Reaktionen
1.396
Punkte
234
Mein Fehler!
Sorry


EDIT:
MD5 ist seit (mindestens) Juli mit der aktuellen PAT identisch.
 
Zuletzt bearbeitet:

Crash1601

Benutzer
Mitglied seit
27. Jan 2009
Beiträge
360
Punkte für Reaktionen
14
Punkte
24
Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
die Datei ist kaum infiziert ;) Sondern enthält wohl eine u.U. ausnutzbare Schwachstelle
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Hab mich mal was reingelesen. Du hast wohl recht. Dann kann ich meine neuen grauen Strähnen ja jetzt getrost färben. *grr*
Bin da ein gebranntes Kind, vor Jahren wurde mal meine alte QNap-Station gekapert, seit dem bin ich da sehr vorsichtig. Da es QNap aber mit der Sicherheit über einen langen Zeitraum gar nicht so genau genommen hat, hatte ich damals gewechselt. Hast du hier im Forum schon Fälle gesehen wo eine Syno nachweisbar infiziert oder gehackt wurde?
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.736
Punkte für Reaktionen
1.644
Punkte
314

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Ach ja, damals hatte ich auch gebibbert. :D
Hier die Antwort vom Support, alles gut:

Hi Mr. Jongleur,

The /usr/syno/bin/zip is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.

We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin/zip from the quarantine area in Antivirus Essential and put it into white list.

Both Antivirus Essential and Security Advisor will not show further warnings in this way.

Hope this helps and we are sorry for any inconvenience caused.

Best regards,
Grant Cheng
 
Zuletzt bearbeitet:

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Imho ist das kein false-positive, sondern berechtigt. Denn das Problem ist die Lücke in libzip. Statt einen false positive zu melden sollten sie lieber die Lücke patchen.
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Gerade nochmal getestet. Es gibt schon jetzt neue Virendefinitionen mit denen der Alarm nicht mehr losgeht. :) Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen. :D
 

flosbach

Benutzer
Mitglied seit
08. Feb 2015
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Bei mir kommt seit heute morgen auch eine Warnung. Allerdings ist nichts in Quarantäne verschoben, sondern wurde nur "verändert"
DSM Systemdatei wurde unbeabsichtigt verändert /usr/syno/bin/zip
Bildschirmfoto 2015-08-28 um 10.26.59.png
 

Jongleur

Benutzer
Mitglied seit
06. Feb 2013
Beiträge
217
Punkte für Reaktionen
6
Punkte
18
Wenn du jetzt das Antivirus-Programm öffnest, siehst du dass die Datei in Quarantäne verschoben wurde. Einfach wiederherstellen und notfalls auf die Whitelist setzen. Das wird dir beim Wiederherstellen automatisch angeboten.
 

flosbach

Benutzer
Mitglied seit
08. Feb 2015
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Ja, klar.. danke, da stand ich etwas auf dem Schlauch. ;)
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen. :D
IMHO hostet Synology die Virendefinitionen selbst. Prinzipiell stammt die Datei zwar vom ClamAV-Team, Synology kann sie aber nach Belieben manipulieren bevor sie zu den Usern raus geht, weil sie selbst die Infrastruktur dazu betreiben. Also muss man höchstens einen Entwickler bestechen die entsprechende Definition zu suchen und jedes mal zu löschen ...

MfG Matthieu
 

Fischgebruell

Benutzer
Mitglied seit
26. Feb 2012
Beiträge
271
Punkte für Reaktionen
0
Punkte
0
Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^

Ist bei mir auch so. Vor allem Programme die direkt beim Hersteller heruntergeladen wurden wie z.B. Toshiba Programme/Treiber, WinRar, Adobe Reader 10, verschiedene Kaspersky Trial Testversionen, etc.....
Norton meckert bei den Programmen nicht.

Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?
 

b1tchnow

Benutzer
Mitglied seit
18. Jun 2014
Beiträge
169
Punkte für Reaktionen
0
Punkte
0
Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?

Einen False Positive alle paar Jahre sollte man seinem Antivirenprogramm schon erlauben. Mir machen die False Negatives eigentlich viel mehr Sorgen, die wirst aber im Log nicht finden. ;-)
 

MMD*

Gesperrt
Mitglied seit
26. Okt 2014
Beiträge
403
Punkte für Reaktionen
2
Punkte
24

Thank you for the inquiry.
The /usr/syno/bin is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.
We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin from the quarantine area in Antivirus Essential and put it into white list.


http://www.synology-forum.nl/antivi...-met-antivirus-essential/msg166461/#msg166461
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wieso redet hier Synology von "infection"? Die Warnung kommt doch wegen der anfälligen libzip, welche auf einen Overflow anfällig ist. So zumindest lese ich das CVE.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat