{"id":321,"date":"2015-01-08T12:00:23","date_gmt":"2015-01-08T12:00:23","guid":{"rendered":"http:\/\/kalb.it\/simone\/?p=321"},"modified":"2015-01-13T12:56:00","modified_gmt":"2015-01-13T11:56:00","slug":"shellshock-su-qnap-verifica-e-rimozione-del-malware","status":"publish","type":"post","link":"https:\/\/kalb.it\/simone\/2015\/01\/shellshock-su-qnap-verifica-e-rimozione-del-malware\/","title":{"rendered":"Shellshock su QNAP. Verifica e rimozione del malware"},"content":{"rendered":"<p><a href=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2015\/01\/shellshocker.png\"><img loading=\"lazy\" class=\"alignleft wp-image-388 size-thumbnail\" src=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2015\/01\/shellshocker-150x150.png\" alt=\"shellshocker\" width=\"150\" height=\"150\" \/><\/a>Ogni tanto capita qualche sfiga. Capita anche ai migliori. Bash per esempio \u00e8\u00a0la shell di default su praticamente qualunque sistema GNU\/Linux. Lo \u00e8 dalla sua nascita, fai una quindicina d&#8217;anni va&#8217;.<\/p>\n<p>Da qualche tempo \u00e8 uscita fuori una <a href=\"https:\/\/shellshocker.net\" target=\"_blank\">vulnerabilit\u00e0 grave<\/a> di Bash (Bourne Again Shell) che consente ad un malintenzionato con una particolare sequenza di caratteri di scalare la piramide dei privilegi di un sistema a cui non ha accesso.<!--more--><\/p>\n<h2>Verifica<\/h2>\n<p>Se il vostro QNAP ha una versione &lt; 4.1.1 build 1003 del firmware potreste essere stati vittima di qualche malware che sfrutta la vulnerabilit\u00e0 chiamata <a href=\"http:\/\/en.wikipedia.org\/wiki\/Shellshock_(software_bug)\" target=\"_blank\">Shellshock<\/a>.<\/p>\n<p>Per verificare se il vostro sistema \u00e8 stato infettato dovreste verificare alcune cose, nell&#8217;ordine:<\/p>\n<ul>\n<li>\u00a0Ottenere un prompt dei comandi nella\u00a0forma<strong style=\"color: #262222;\"> [admin@NAS-NAME ~]\u00a0<\/strong>al posto di<span style=\"color: #262222;\">\u00a0<\/span><strong style=\"color: #262222;\">[~] <\/strong>quando ci si connette via SSH (<em>ssh admin@ip.del.nas<\/em>)<\/li>\n<li>Esiste una cartella\u00a0<span style=\"color: #262222;\">optware nella cartella del volume principale (di solito\u00a0<em>\/share\/MD0_DATA\/<\/em> )<\/span><\/li>\n<li>Ci sono uno o pi\u00f9 utenti che hanno strani nomi nel sistema (tipo &#8220;request&#8221;), che si evincono da un:\n<pre>cat \/etc\/shadow\ncat \/etc\/passwd<\/pre>\n<p>entrambi con \u00a0privilegi di root.<\/li>\n<li>Processi in esecuzione perlomeno sospetti, a seguito di un:\n<pre>ps |grep cgi<\/pre>\n<p>che nel mio caso ha restituito la seguente lista:<\/li>\n<\/ul>\n<p><script src=\"https:\/\/gist.github.com\/simonekalb\/89552fddd8bfdbdc09d9.js\"><\/script><br \/>\n Se non avete accesso a SSH perch\u00e9 ottenete connection refused allora forse dovestre leggere\u00a0il suggerimento\u00a0<a href=\"#hint\">qua<\/a>.<\/p>\n<p>Se avete riscontrato questa serie\u00a0di stranezze state pur certi di essere vittima di un malware che sfrutta ShellShock per infettare la macchina.<\/p>\n<h2>Azioni Correttive<\/h2>\n<p>Per ripristinare una condizione di normalit\u00e0 \u00e8\u00a0possibile agire in maniera manuale o automatica. La prima consente di rimuovere il malware e di ripristinare il software aggiornato, la seconda di backuppare i dati e ripulire la macchina con un&#8217;installazione pulita del &#8220;<em>ab initio<\/em>&#8220;.<\/p>\n<p>Mi rendo conto che la seconda via sia la pi\u00f9 sicura e sicuramente l&#8217;affronteremo, ma per lo meno per adesso mettiamo il culo in cassaforte vedendo cosa ha infettato la macchina e rimuovendo tutte le parti potenzialmente nocive.<\/p>\n<p>Prima di tutto montiamo la partizione su una directory temporanea<\/p>\n<pre>mount \/dev\/mtdblock5 \/tmp\/config<\/pre>\n<p>Ora controlliamo il file autorun.sh alla ricerca di informazioni potenzialmente dannose:<br \/>\n<script src=\"https:\/\/gist.github.com\/simonekalb\/ac04801815dd829e3925.js\"><\/script><br \/>\nMmmm&#8230;sembra proprio che il malware abbia riscritto le informazioni pi\u00f9 importanti della macchina in maniera quantomeno inquietante. La prospettiva di sapere che i miei dati sono potenzialmente alla merc\u00e9 di chicchessia non \u00e8 proprio edificante&#8230;<br \/>\nOperiamo subito un<\/p>\n<pre>rm \/tmp\/config\/autorun.sh<\/pre>\n<p>Poi questo verr\u00e0 ripristinato non appena aggiorneremo il firmware.<br \/>\nOra possiamo smontare il file system<\/p>\n<pre>umount \/tmp\/config<\/pre>\n<p>e rimuovere la cartella sospetta con un veloce:<\/p>\n<pre>rm -r \/share\/MD0_DATA\/optware<\/pre>\n<p>La cartella dovrebbe esistere (come abbiamo verificato al punto precedente).<\/p>\n<p>Ora dovreste rimuovere tutti gli utenti non desiderati del sistema dall&#8217;interfaccia di amministrazione del\u00a0NAS. Da <em>Impostazioni Provilegi-&gt;Utenti<\/em> dovreste trovarvi uno o pi\u00f9 utenti chiamati &#8220;request&#8221;. Selezionate e rimuovete con i relativi dati associati, come in figura:<\/p>\n<div id=\"attachment_341\" style=\"width: 935px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-15.55.06.png\"><img aria-describedby=\"caption-attachment-341\" loading=\"lazy\" class=\"size-full wp-image-341\" src=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-15.55.06.png\" alt=\"Lista utenti QNAP\" width=\"925\" height=\"255\" srcset=\"https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-15.55.06.png 925w, https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-15.55.06-300x82.png 300w, https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-15.55.06-500x137.png 500w\" sizes=\"(max-width: 925px) 100vw, 925px\" \/><\/a><p id=\"caption-attachment-341\" class=\"wp-caption-text\">Lista utenti QNAP<\/p><\/div>\n<p>Ora potete riavviare il server, anche dall&#8217;interfaccia web.<br \/>\nOra dovreste essere\u00a0perlomeno al sicuro, ma non basta: \u00e8 fondamentale che aggiorniate il QNAP quanto prima alla versione &gt;= 4.1.1 build 1103. Per fare questo potete dirigervi dall&#8217;interfaccia web in Impostazioni Sistema-&gt;Aggiornamento Firmware e fare tutto in automatico oppure scaricare\u00a0il\u00a0firmware da <a href=\"http:\/\/www.qnap.com\/i\/in\/product_x_down\/\" target=\"_blank\">qua<\/a> e caricarlo manualmente.<\/p>\n<p>Al riavvio del sistema (operazione che nel mio caso \u00e8 durata circa un&#8217;oretta) dovreste trovare tutto come prima compresa la possibilit\u00e0 di loggarvi via SSH.<\/p>\n<h3 id=\"hint\">Suggerimento<\/h3>\n<p>Qualora, come \u00e8 successo a me, non doveste essere in grado di connettervi alla macchina via SSH (il malware ha inibito anche questo accesso che era attivo al momento dell&#8217;infezione) pregate di avere disattivo almeno Telnet (io lo tengo off per ovvie ragioni di sicurezza). In tal caso attivatelo sulla porta 13131 come in figura:<\/p>\n<div id=\"attachment_336\" style=\"width: 594px\" class=\"wp-caption aligncenter\"><a href=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57.png\"><img aria-describedby=\"caption-attachment-336\" loading=\"lazy\" class=\"size-large wp-image-336\" src=\"http:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57-1024x532.png\" alt=\"Come attivare telnet\" width=\"584\" height=\"303\" srcset=\"https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57-1024x532.png 1024w, https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57-300x155.png 300w, https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57-500x259.png 500w, https:\/\/kalb.it\/simone\/wp-content\/uploads\/2014\/12\/Schermata-2014-12-17-alle-11.17.57.png 1195w\" sizes=\"(max-width: 584px) 100vw, 584px\" \/><\/a><p id=\"caption-attachment-336\" class=\"wp-caption-text\">Come attivare telnet<\/p><\/div>\n<p>A questo punto, potete loggarvi sul vostro nas con:<\/p>\n<pre>telnet ip.del.nas 13131<\/pre>\n<p>dovreste essere in grado di loggarvi. Al termine della procedura ricordate di disabilitare l&#8217;accesso via Telnet che, ricordo avviene in modalit\u00e0 non criptata, e quindi potenzialmente non sicura nel caso in cui il QNAP abbia dei servizi esposti all&#8217;esterno della vostra LAN.<\/p>\n<p>Fonte [<a href=\"http:\/\/www.qnap.com\/i\/in\/support\/con_show.php?cid=74\" target=\"_blank\">QNAP Security\u00a0Bulletin<\/a>]<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Ogni tanto capita qualche sfiga. Capita anche ai migliori. Bash per esempio \u00e8\u00a0la shell di default su praticamente qualunque sistema GNU\/Linux. Lo \u00e8 dalla sua nascita, fai una quindicina d&#8217;anni va&#8217;. Da qualche tempo \u00e8 uscita fuori una vulnerabilit\u00e0 grave &hellip; <a href=\"https:\/\/kalb.it\/simone\/2015\/01\/shellshock-su-qnap-verifica-e-rimozione-del-malware\/\">Continue reading <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":387,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3,78,82,79],"tags":[80,88,86,87,136,83,84,81,85],"_links":{"self":[{"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/posts\/321"}],"collection":[{"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/comments?post=321"}],"version-history":[{"count":27,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/posts\/321\/revisions"}],"predecessor-version":[{"id":439,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/posts\/321\/revisions\/439"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/media\/387"}],"wp:attachment":[{"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/media?parent=321"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/categories?post=321"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/kalb.it\/simone\/wp-json\/wp\/v2\/tags?post=321"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}