Synology-System mit Virus von Werk aus? :-/

[Benares]

Oben ist ja auch von /usr/syno/bin die Rede und da liegt bei mir ein zip-Executable. Unter /usr/bin gibt's das nicht.

 

[geimist]

Mein Fehler!
Sorry


EDIT:
MD5 ist seit (mindestens) Juli mit der aktuellen PAT identisch.

 

[Crash1601]

Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^

 

[Jongleur]

Der MD5 meiner möglicherweise infizierten Datei lautet: f2a91d540bfc2779b44a90ad7d890f8b

 

[jahlives]

die Datei ist kaum infiziert Sondern enthält wohl eine u.U. ausnutzbare Schwachstelle

 

[Jongleur]

Hab mich mal was reingelesen. Du hast wohl recht. Dann kann ich meine neuen grauen Strähnen ja jetzt getrost färben. *grr*
Bin da ein gebranntes Kind, vor Jahren wurde mal meine alte QNap-Station gekapert, seit dem bin ich da sehr vorsichtig. Da es QNap aber mit der Sicherheit über einen langen Zeitraum gar nicht so genau genommen hat, hatte ich damals gewechselt. Hast du hier im Forum schon Fälle gesehen wo eine Syno nachweisbar infiziert oder gehackt wurde?

 

[Jongleur]

Na, verlaufen?

 

[Tommes]

Hast du hier im Forum schon Fälle gesehen wo eine Syno nachweisbar infiziert oder gehackt wurde?

http://www.synology-forum.de/showth...M-Daten-auf-NAS-gecrypted-worden-durch-Hacker

 

[Jongleur]

Ach ja, damals hatte ich auch gebibbert.
Hier die Antwort vom Support, alles gut:

Hi Mr. Jongleur,

The /usr/syno/bin/zip is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.

We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin/zip from the quarantine area in Antivirus Essential and put it into white list.

Both Antivirus Essential and Security Advisor will not show further warnings in this way.

Hope this helps and we are sorry for any inconvenience caused.

Best regards,
Grant Cheng

 

[jahlives]

Imho ist das kein false-positive, sondern berechtigt. Denn das Problem ist die Lücke in libzip. Statt einen false positive zu melden sollten sie lieber die Lücke patchen.

 

[Jongleur]

Gerade nochmal getestet. Es gibt schon jetzt neue Virendefinitionen mit denen der Alarm nicht mehr losgeht. Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen.

 

[flosbach]

Bei mir kommt seit heute morgen auch eine Warnung. Allerdings ist nichts in Quarantäne verschoben, sondern wurde nur "verändert"
DSM Systemdatei wurde unbeabsichtigt verändert /usr/syno/bin/zip

 

[Jongleur]

Wenn du jetzt das Antivirus-Programm öffnest, siehst du dass die Datei in Quarantäne verschoben wurde. Einfach wiederherstellen und notfalls auf die Whitelist setzen. Das wird dir beim Wiederherstellen automatisch angeboten.

 

[flosbach]

Ja, klar.. danke, da stand ich etwas auf dem Schlauch.

 

[Matthieu]

Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen.

IMHO hostet Synology die Virendefinitionen selbst. Prinzipiell stammt die Datei zwar vom ClamAV-Team, Synology kann sie aber nach Belieben manipulieren bevor sie zu den Usern raus geht, weil sie selbst die Infrastruktur dazu betreiben. Also muss man höchstens einen Entwickler bestechen die entsprechende Definition zu suchen und jedes mal zu löschen ...

MfG Matthieu

 

[Fischgebruell]

Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^

Ist bei mir auch so. Vor allem Programme die direkt beim Hersteller heruntergeladen wurden wie z.B. Toshiba Programme/Treiber, WinRar, Adobe Reader 10, verschiedene Kaspersky Trial Testversionen, etc.....
Norton meckert bei den Programmen nicht.

Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?

 

[b1tchnow]

Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?

Einen False Positive alle paar Jahre sollte man seinem Antivirenprogramm schon erlauben. Mir machen die False Negatives eigentlich viel mehr Sorgen, die wirst aber im Log nicht finden. ;-)

 

[MMD*]

Thank you for the inquiry.
The /usr/syno/bin is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.
We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin from the quarantine area in Antivirus Essential and put it into white list.

http://www.synology-forum.nl/antivi...-met-antivirus-essential/msg166461/#msg166461

 

[jahlives]

Wieso redet hier Synology von "infection"? Die Warnung kommt doch wegen der anfälligen libzip, welche auf einen Overflow anfällig ist. So zumindest lese ich das CVE.

 

[b1tchnow]

So zumindest lese ich das CVE.

Wo?