Virus Sur Qnap Ts219Ii

[Jérôme]

Bonjour,

 

l'antivirus installé sur QNap a détecté recement le virus  worm tenga A, J'ai donc réparé les fichiers infectés. Pendant plusieurs jours plus de virus, mais apres quelquesune semaine, tout se reinfecte...

avez vous déja eu ce type de probleme ?

avez vous des solutions ?

 

Merci pour votre aide.

 

Cordialement.

 

Jérôme

[GlaceNot]

Si vous êtes sur un réseau il se peut que ce soit un pc qui est la source du problème. Vérifiez avec un bon antivirus à jour.

[Jérôme]

j'utilise Avast antivirus, les pc ne sont plus infecté, par contre c'est toujours le Qnap qui se reinfecte.

[GlaceNot]

Et quel est ce fichier récalcitrant ? Si vous supprimer le fichier il ne devrait pas revenir comme par magie ? Vérifiez si cela ne vient pas de l'extérieur donc le parefeu du router (DMZ désactivé bien sûr) et votre connexion WIFI cela prend des mots de passe forts. Allez voir sur ce site pour vérifier, vous risquez d'être surpris; http://howsecureismypassword.net/

 

Pour les tests de ports; https://www.grc.com/x/ne.dll?bh0bkyd2 ,normalement ils devraient être tous au vert.

 

Quoi d'autres avez-vous qui se branchent sur le nas ? Pour les tablettes j'ai un antivirus sur chacunes, il en faut un maintenant sur ce genre d'appareil. Donc regardez si cela ne vient pas aussi de là. Les téléphones intelligents aussi commencent à avoir des failles.

 

Personnellement l'antivirus du nas m'a déjà sorti des virus de mes propres fichiers 'sains' (hors de tout doute). Donc pas de virus (faux positifs) cela arrive aussi.

[Jérôme]

En fait c'est tous les fichiers *.exe qui sont infectés je les répare, je refais un scan pas de probleme et ensuite qque jours apres, de nouveau il sont infectés.

[GlaceNot]

Bon ce ver est très difficile à éradiquer effectivement, il se répand par le réseau et infecte tout ce qu'il trouve en plus d'ouvrir les ports et de télécharger du contenu malveillant. Votre pc est peut-être plus infecté que vous ne le croyez. Aviez-vous une protection en temps réel avec Avast ?

 

D'abord déconnecter tous vos pc du réseau, pour ne pas propager à nouveau le virus lors de la désinfection.

 

Voici un lien pour désinfecter ce ver sur les pc; http://www.securitystronghold.com/gates/win32-tenga.html  (je n'ai jamais testé, donc à vos risques)

 

Il est possible aussi de désinfecter manuellement, mais je n'ose pas vous le dire ici...trop dangereux...à moins de savoir ce que vous faites.

[Jérôme]

Oui tous les deux PC portable sont equipé d'avast et activé.

Avec l'antivirus installé sur Qnap est ce normal que le temps de recherche soit de 16 heures environ pour 140 Go ?

Je trouve que c'est tres long mais c'est le cas sur mes deux Qnap TS219 celui ayant 140Go de données c'est 16 heures et celui avec 600Go c'est 48 heures environs...

 

 

Voici un lien pour désinfecter ce ver sur les pc; http://www.securitystronghold.com/gates/win32-tenga.html  (je n'ai jamais testé, donc à vos risques)

 

Je vais regarder la procédure proposée pour les ordinateurs.

 

Autre question, par exemple, avec l'antivirus avast lorsque je selectionne le Qnap sur le reseau, je ne peux cocher directement le qnap, je suis obligé de selectionner tous les sous respertoires..Si non j'ai un message qui me dit qu'il est impossible de proceder au controle... pourtant il n'est pas possible de mettre des fichiers directement sous la racine qnap.

 

 

C'est de quel ordre le danger et sa consiste en quoi ?

 

En tout cas, merci pour toutes vos réponses GlaceNot

[Jérôme]

Pour les tests de ports; https://www.grc.com/x/ne.dll?bh0bkyd2 ,normalement ils devraient être tous au vert.

 

apres essai du lien voici le resultat :

Your equipment at IP:

XX.XXX.XXX.XXX

Is now being queried:

THE EQUIPMENT AT THE TARGET IP ADDRESS

DID NOT RESPOND TO OUR UPnP PROBES!

(That's good news!)

 

Bon je suis nul en anglais, mais en traduisant avec google traduction, j'ai l'impresion que c'est une bonne nouvelle mais pourtant tous les curseurs sont en rouge ? !

[Jérôme]

Bon ce ver est très difficile à éradiquer effectivement,

 

Mais lorsque le fichier est réparé, il peut etre utilisé de nouveau ?

je m'explique, puisque ce sont que des fichiers EXE, j'ai des logiciels telechargés gratuitement, ce qui n'est pas trop grave, mais j'ai aussi tous les logiciels office 2007, 2010 qui sont stoké... et là c'est des versions acheté, ca m'embeterai qu'elles soient hs... En plus c'est acheté directement en ligne sans support DVD. si je repare, je pourais faire une copie DVD afin d'avoir ces logiciels sauvegardés ?

[Zakyl]

apres essai du lien voici le resultat :

Your equipment at IP:

XX.XXX.XXX.XXX

Is now being queried:

THE EQUIPMENT AT THE TARGET IP ADDRESS

DID NOT RESPOND TO OUR UPnP PROBES!

(That's good news!)

 

Bon je suis nul en anglais, mais en traduisant avec google traduction, j'ai l'impresion que c'est une bonne nouvelle mais pourtant tous les curseurs sont en rouge ? !

 

Vous avez sélectionné le mauvais test. Il faut cliquer sur "All service ports" après le bouton "proceed".

 

Personnellement, voici ce que j'aurais fait si j'avais été infecté :

- Déconnecter du réseau le NAS tout de suite et l'éteindre.

 

Postes de travail :

- Mise a jour de la base virale des postes du réseau.

- Déconnection des postes du réseau.

- Analyse anti-virale sur tous les postes du réseau.

 

NAS :

- Récupérer le CD de boot "Kaspersky Rescue Disk"

- Graver le CD

- Allumer un PC et changer l'ordre de boot dans le BIOS => Mettre sur lecteur DVD/CD au lieu de disque dur

- Récupérer tous les disques du NAS et les brancher sur le PC eteind.

- Mettre le CD Kaspersky

- Allumer le PC

- Arrivé sur le CD Kaspersky, analyse antivirale des disques NAS branché au PC

[Yann LANCO]

Oui Zakyl, excellente réaction.

 

Le Kaspersky Rescue Disk est passé à la version 10 depuis le 2 mars 2013, si je ne me trompe pas.

 

Vous pourrez le télécharger ici : http://support.kaspersky.com/fr/faq/?qid=208282174

 

Comme l'a dit Zakyl, il faudra brancher les HDD de votre NAS sur votre PC. Pas de problème concernant la prise en charge des systèmes de fichiers, KRD (Kaspersky Rescue Disk) gère les FAT32/NTFS/Ext2/Ext3/Ext4/Reiser.

 

Aller Jérôme, Mission désinfection!

[Jérôme]

Vous avez sélectionné le mauvais test. Il faut cliquer sur "All service ports" après le bouton "proceed".

voici la liste des ports ouvert , je ne sais pas a quoi ils correspondent pour la pluspart...

 

Results from scan of ports: 0-1055

  147 Ports Open

  906 Ports Closed

    3 Ports Stealth

---------------------

1056 Ports Tested

Ports found to be OPEN were: 21, 22, 81, 111, 139, 368, 369,

                             370, 399, 400, 401, 402, 403, 404,

                             405, 406, 407, 408, 409, 410, 411,

                             412, 413, 414, 415, 416, 417, 418,

                             419, 420, 421, 422, 423, 424, 425,

                             426, 427, 428, 429, 430, 431, 432,

                             433, 434, 435, 436, 437, 438, 439,

                             440, 441, 442, 443, 444, 446, 447,

                             466, 467, 468, 469, 470, 471, 472,

                             473, 474, 475, 476, 477, 478, 479,

                             480, 481, 482, 483, 484, 485, 486,

                             487, 488, 489, 490, 491, 492, 493,

                             494, 495, 496, 514, 517, 518, 519,

                             520, 521, 522, 523, 524, 525, 526,

                             527, 528, 529, 530, 531, 532, 533,

                             534, 535, 536, 537, 538, 539, 540,

                             541, 542, 543, 561, 562, 563, 564,

                             565, 566, 567, 568, 569, 570, 571,

                             572, 573, 574, 575, 576, 577, 578,

                             579, 580, 581, 582, 583, 584, 585,

                             586, 587, 588, 589, 631, 692, 873

Ports found to be STEALTH were: 80, 135, 445

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,

                   - NO unsolicited packets were received,

                   - A PING REPLY (ICMP Echo) WAS RECEIVED.

 

 

 

 

 

 

 

 

Le NAS repartira sans probleme si on lui enleve les deux disques dur ?

 

je ne voudrais pas perdre toute l'arborescence

[Zakyl]

Normalement oui (Si vous avez du RAID, il faudra remettre les disques durs dans votre NAS dans le même ordre => Disk1 dans emplacement 1, disk 2 dans emplacement 2 etc...)

 

Au niveau des ports de votre réseau, c'est un vrai gruyère ! Qu'avez vous comme box/routeur/firewall ?

 

Attention par contre pour vos fichiers il se peut qu'ils soient supprimés à l'analyse s'ils sont infectés

[GlaceNot]

Ouf! c'est mal parti...un ver qui transite par le réseau de pc à nas et de nas à pc...vous comprenez ?

 

Votre réseau est visible de l'extérieur et il faut que les ports soit à 'stealth' ou, si vous préférez, invisible de l'extérieur.

 

D'abord allez-y par étape comme le dit Zakyl et Yann Lanco...

 

Puis configurez votre router sciemment (faites vous aidez par un ami si vous avez de la difficulté).

[Jérôme]

j'ai fermé la dmz de la livebox j'ai cela maintenant :

Results from scan of ports: 0-1055

5 Ports Open

1 Ports Closed

1050 Ports Stealth

---------------------

1056 Ports Tested

Ports found to be OPEN were: 21, 22, 81, 443, 873

The port found to be CLOSED was: 20

Other than what is listed above, all ports are STEALTH.

TruStealth: FAILED - NOT all tested ports were STEALTH,

- Received one or more unsolicited packets,

- NO Ping reply (ICMP Echo) was received.

je pense que c'est mieux ?

Par contre, je fait d'avoir fermé la dmz, je ne vais plus pouvoir acceder a distance au nas je suppose ?

[Jérôme]

Normalement oui (Si vous avez du RAID, il faudra remettre les disques durs dans votre NAS dans le même ordre => Disk1 dans emplacement 1, disk 2 dans emplacement 2 etc...)

 

Au niveau des ports de votre réseau, c'est un vrai gruyère ! Qu'avez vous comme box/routeur/firewall ?

 

Attention par contre pour vos fichiers il se peut qu'ils soient supprimés à l'analyse s'ils sont infectés

 

j'ai une livebox sagem 2

pas de firewall sur la livebox ?

seulement les firewall windows sur les ordi sur qnap je ne sais pas...

[GlaceNot]

Vous avez encore des ports ouverts 21, 22, 81, 443, 873

 

Le 20 est encore visible mais au moins il est fermé. Idéalement il devrait être invisible...regarder la configuration du router.

 

DMZ est un trou béant et vous avez bien fait de le désactiver.

 

Fermez tous ces trous d'abord, mais tant que vous n'aurez pas désinfecter le réseau en entier le virus va s'amuser à ouvrir à nouveau vos ports via le DMZ ou autres méthodes de son cru. Donc commencez par là...

[Jérôme]

j'ai desactivé dans la livebox l'UpNp a priori cette fonction permet aux applications d'ouvrir des ports automatiquement.

 

j'ai refais un scan avec https://www.grc.com/x/ne.dll?bh0ciyl2 :

 

Results from scan of ports: 0-1055

    0 Ports Open
    0 Ports Closed
1056 Ports Stealth
---------------------
1056 Ports Tested

ALL PORTS tested were found to be: STEALTH.

TruStealth: FAILED - ALL tested ports were STEALTH,
                   - Received one or more unsolicited packets,
                   - NO Ping reply (ICMP Echo) was received.
 

[GlaceNot]

Très bien...

 

maintenant désinfectez les pc et le nas selon les méthodes que l'on vous a décrites ci-haut.

[Jérôme]

Je vous tiens informé des résultats

 

Par contre le fait que la dmz soit désactivée, il ne sera plus possible d'acceder au Nas a distance ?

[GlaceNot]

Oui il sera possible d'accéder...juste pour vous...avec la redirection de port à partir du router. Dmz = gros trou de sécurité.

[Jérôme]

Savez vous a quoi correspond le NAT/PAT sur la livebox ?

 

si je crée une regle d'ouverture de port 21 par exemple pour acceder en FTP au serveur Qnap, celui ci est detecté comme port ouvert

si je crée la meme regle avec port 80 pour acceder en http au serveur Qnap, celui ci est detécté comme port fermé..

 

vous comprenez pourquoi ?

 

En fait s'il est possible d'acceder via FPT ou HTTP par internet à mon qnap sans créer des regles dans NAT/PAT ca me convient

[GlaceNot]

Pour le ftp ou http cela ne demande qu'une redirection de port vers le nas. Activer le upnp sur le nas et si votre router est compatible upnp alors cela se fait automatiquement à partir de l'administration du nas.

 

Et oui les ports sont ouverts c'est normal si vous voulez accéder au nas, aussi mettez un mot de passe fort.

 

http://howsecureismypassword.net/

[Zakyl]

Mais pour le moment, concentrez vous sur la désinfection de vos pc / nas.

Cela ne sert à rien de le remettre en service si le virus circule encore sur le réseau !

 

On pourras par la suite vous aider pour la redirection des ports de votre Livebox !

[father_mande]

Bonjour,

 

Le NAT/PAT livebox est le pendant manuel de l'Upnp IGD (aussi dans la livebox en tant que serveur)

 

La Livebox comme beaucoup de box, ne répond PAS aux demandes sur le port 80 si elle ne semble pas venir d'un navigateur (en tête HTPP) ce que font peu de "testeurs / scanners de port ... il faut un outil d'intrusion ou une vrai requête HTTP

 

Le port 80 étant aussi utilisé localement par la box pour son propre management ... il gère donc un port pour le forwarding ... (PAS LUI) et gère les droits du port 80 (POUR LUI) ceci évite une attaque par rebond dans le réseau interne ...

 

Le port 21 ne  SUFFIT PAS pour le FTP, il faut des ports passios ... SAUF routeur Linux ou pro. qui supporte le "connection tracking" ou suivi de connexion .

 

Philippe.

[Jérôme]

Merci a tous pour vos réponses,

 

j'ai ce week end sorti mes disques, et lancé kaspersky d'un ordi fix sur cd boot en mettant l'un apres l'autre mes deux disques.

 

pour l'instant pas de virus... des fois ca met une semaine avant de revenir...

 

je vous tiens informé !