Synology-Forum.nl
Packages => Officiële Packages => Antivirus Essential => Topic gestart door: Robert Koopman op 27 augustus 2015, 08:29:04
-
Twee van mijn NASsen geven opeens een security alert..
Het bestand /usr/syno/bin/zip zou een virus php.exploit.CVE_2015_2331-3 bevatten.
Dit bestand is door AE in quarantaine gezet.
Vreemd, maar je weet het maar nooit.
Een derde NAS die al een paar weken uit staat even aangezet.
Antivirus Essentials erop gezet en de scan ook hier laten draaien.
Zelfde probleem!
En DSM op deze NAS is er net een paar weken geleden op gezet en heeft in de tussentijd uit gestaan.
Is dit nu echt virus activiteit of zit er een of ander foutje in de update van AE.
De NAS geeft aan dit te melden bij Synology maar op beide belangrijke NASsen draait externe software.
Sickrage, en dat moet er altijd eerst af van de Helpdesk in Taiwan, heb ik nu even geen zin in.
Anderen dezelfde ervaring?
-
Bij onze Duitse buren ook zo'n melding. (http://www.synology-forum.de/showthread.html?68457-Synology-System-mit-Virus-von-Werk-aus)
Zal vanavond m'n DS111 ook eens checken.
-
Met mijn derde NAS kan ik wel een melding maken bij Synology, daar draait niets op.
Ga ik later vandaag toch even doen.
-
Hier op mijn 415+ krijg ik dezelfde melding.
Maar een zip-file lijkt me niet een file die nu actief door het systeem gebruikt wordt, dus zal het in quarantaine plaatsen niet direct iets essentieels buiten werking zetten.
Bestandsnaam 'zip' is eigenlijk wel een vreemd korte naam. Het is de ZIP software om archieven te zippen en vanuit filestation te zippen.
-
Dan lijkt het dus op een "foutje" van Antivirus Essentials :S
-
Ik hoop ook op een foutje!
Ben benieuwd of er reactie komt.
-
De snelste actie is om deze file even met een andere virus-checker te controleren. Als die niets aangeeft zou ik hem gewoon weer terugzetten uit quarantaine.
-
Mijn Antivirus Essential draait elke nacht om 1 uur, alleen voor de systeempartie.
Ik zou hem morgen weer in de quarantaine moeten halen.
Maar een optie is het wel!
Al gebruik ik Zip nooit in File Station.
-
Robert: Je kunt hem ook white-listen om te voorkomen dat hij elke keer weer in quarantaine gaat.
-
Zal vanavond m'n DS111 ook eens checken.
Nou, ik wist dat AE niet zo ideaal was, zeker niet op een DS111. ;D
Op de DS111 AE geinstalleerd, def. updaten en alleen een Systeemscan gestart, ruim 2.5 uur geleden en staat nog steeds op:
[attachimg=1]
Ik geef het op maar heb wel even de file zip laten scannen:
[attach=2]
[attach=3]
-
Ik heb de file verwijderd, maar lees nu dat het een false positive is.
Is er een manier om deze weer terug te zetten?
-
Ja hoor, welke versie DSM draai je ?
-
Ik draai DSM versie 5.2-5592 update 2.
Update 3 geeft ie aan als beschikbaar.
-
OK..... zip file voor DSM5.2 toegevoegd, even unzippen op je PC dan deze file plaatsen met b.v. WinSCP (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/) in /usr/syno/bin/
-
Dank je wel, ga het proberen.
-
Moet lukken ;D
Wel inloggen als gebruiker root met password van admin anders gaat het niet lukken.
-
In principe is het gelukt. ::)
-
Mooi zo, ook getest?
-
Ik heb een zip bestand kunnen uitpakken in dsm.
-
Ik heb geen idee of het een false positive is. Het is een melding over een kwetsbaarheid die in deze file aangetroffen is en niet van een virus zelf. Als ik naar de officiële beschrijving (https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-2331) kijk, dan betreft het juist een kwetsbaarheid in bepaalde versies van de bibliotheken die door zip-softwae gebruikt wordt.
Overview CVE_2015_2331-3
Integer overflow in the _zip_cdir_new function in zip_dirent.c in libzip 0.11.2 and earlier, as used in the ZIP extension in PHP before 5.4.39, 5.5.x before 5.5.23, and 5.6.x before 5.6.7 and other products, allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a ZIP archive that contains many entries, leading to a heap-based buffer overflow.
Het is dus zeer goed mogelijk dat Synology nog met oude Zip software werkt en deze ge-update moet worden. Als je geen software draait die zelfstandig kan zippen, lijkt het me niet dat je risico loopt.
-
Antwoord van Synology:
Thank you for the inquiry.
The /usr/syno/bin is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.
We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin from the quarantine area in Antivirus Essential and put it into white list.
Terugzetten en op de white list zetten dus.
-
Mooi om dit via officiële kanalen te horen.
Als je op deze melding zoekt, vind je ook dat ClamAV dit sinds deze week op de mac vind. De mac is unix gebaseerd, net als de nas en gebruikt waarschijnlijk dezelfde zip engine.
-
Ook op putty.exe slaat hij aan. (Had hem in mijn software backup directory staan)
-
Zou putty toch even controleren omdat er recent noch een geïnfecteerde versie in omloop is gekomen.
-
Dit was de versie die ik vorige week van een hun site heb gehaald.
Dus dat is het vreemde eraan, omdat ik wist dat er inderdaad een geïnfecteerde versie was.
-
Synology heeft de zip file online gezet:
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/
-
Ik heb het afgelopen weekend een volledige scan gedaan van het systeem, maar er werd geen melding gedaan van het pakket wat Robbert aangaf. Toch vreemd dat hij bij mij niet aanslaat.
Ik ben nu nog een systeemscan aan het doen, kijken of dat misschien de melding oplevert.
-
Die zip is daar met de bedoeling om deze in /usr/syno/bin/ te zetten ?
-
Ja, voor het geval die verwijderd is.
-
Hallo,
zojuist maar even geregistreerd om te kunnen posten.
Ik ben er ook zo een die de file uit de quarantaine verwijderd heeft :-|
Heb de zipfile gedownload van de FTP van Synology (Armadaxp heb ik genomen omdat ik een DS214 heb) en deze teruggeplaatst. Helaas werkt het zippen nog niet en blijft mijn NAS de melding geven dat systeembestanden gewijzigd zijn.
Wat kan ik nu doen? Zit echt niet te wachten op een complete reset...
Oh ja, ik draai de laatste software 5.2 update 3 heet ie dacht ik.
-
Helaas werkt het zippen nog niet
Vanuit File Station of in CLI.
Krijg je een error dan ?
Voor de zekerheid: zip heb je in /usr/syno/bin/ als gebruiker root ?
-
Via File Station geprobeerd (na zelfs een restart van het systeem). Ik krijg eerst een popup met de melding "comprimeren" gevolgd door niets. Na een refresh van de directory geeft ie geen zip file weer.
De file zip heb ik idd in die map geplaatst. Dat heb ik gedaan via deze manier: http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/
-
Heb je eerst Antivirus update gedaan?
Staan de rechten goed op die zip?
Kan iemand die rechten evt. posten?
Bij mijn DS414/ArmadaXP staan die op 0755
-
Of probeer de toegevoegde zip.zip eens, komt uit de basis van DSM 5.2 (DS214).
zip.zip uitpakken en dan op je NAS zetten.
-
[... Bij mijn DS414/ArmadaXP staan die op 0755 ...]
Dit zette mij aan het denken. Blijkt dat als ik de file upload er een te nauwe set rechten meegegeven wordt aan de file. Nadat ik de X-jes had aangezet (en de rechten octaal op 0755 kwamen te staan) was het issue verholpen.
Thanks voor alle snelle hulp!!!
-
Mooi zo :!:
-
Beste,
Voor het eerst hier op het forum en ook zeker nog niet goed onderlegd m.b.t. mijn NAS.
Vraag: Kan iemand mij op weg helpen met het juiste zip bestand te plaatsen (ja, heb ook het bestand verwijderd uit quarantaine). Lees hier behoorlijk wat info en volg het niet geheel door mijn onkunde en wil zeker niet mijn NAS om zeep helpen.
Groet
-
Ok....daar komt tie:
Je hebt een DS1515+ Intel Atom C2538 x86_64 dan moet je deze downloaden (ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/x86/zip).
Deze file zet je met WinSCP op je NAS, hier de procedure voor WinSCP. (http://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/), in /usr/syno/bin/
Daarna op die file staan, rechtermuisklnop en kies eigenschappen, dan zet je in het hokje octaal: 0755, op OK klikken om te saven.
Dat is al. ;)
-
Birdy,
Alvast bedankt. Nu heb ik de link voor het zip bestand geprobeerd echter werkt deze niet naar behoren. Nu kon ik via een eerder geposte link op de ftp komen maar moet ik dan de zip file X86 gebruiken?
verbinding opzetten met WinSCP is al gelukt.
thanks
-
De editor van het forum plaatst http:// voor de link.
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/x86/zip
-
Wederom bedankt. Had de juiste Zip file!! heb hem volgens jou uitleg neergezet en opgeslagen. Nu bleef de melding wel bestaan bij de Security Advisor maar ik heb hem "overgeslagen" waardoor de melding er niet meer is.
Ga er eigenlijk nu vanuit dat het weer functioneert naar behoren of heb ik hem beter niet kunne overslaan?
Nogmaals bedankt!!
-
De editor van het forum plaatst http:// voor de link.
Wel als je de opdracht geeft om er een http link van te maken. :P
Ik heb Birdy's link in een ftp link veranderd. Nu download hij bij mij vanzelf de file bij klikken. (Die forumoptie was ook nieuw voor mij)
-
Hm....vreemd, ik had copy link gedaan, zoals ik altijd doe (http://ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/x86/zip) en zie dat het goed niet gaat :S
Die "http://" zie je niet meer in de box, als je <ctrl>v doet en ook niet als je met je muis over die link gaat :lol:
[attachimg=1]
-
Wel als je de opdracht geeft om er een http link van te maken. :P
Was een reactie op Birdy`s link, had ik beter kunnen formuleren ;-)
-
Ga er eigenlijk nu vanuit dat het weer functioneert naar behoren of heb ik hem beter niet kunne overslaan?
Ik neem toch aan dat Synology met een update zal komen zodat die weer van de whitelist af kan...
-
Die "http://" zie je niet meer in de box, …//… als je met je muis over die link gaat :lol:
Dat lijkt me een bug in zowel Chrome als Firefox. Daar mis ik ook de http op de mac versies. Normaal gebruik ik Safari en die laat wel het http deel zien in de statusbalk. Ik heb iik nog een plug-in die de link laat zien direct boven de statusbalk. Die laat ook het http deel zien. Een beetje dubbelop, maar die plugin gaat beter om met url verkorters en test vooraf de certificaten bij https.
[attachimg=1]
In elk geval volgende keer [ftp=… gebruiken i.p.v. [url= :P
-
YEP ;D
-
Ik heb even getest maar, het ziet ernaar uit dat het AE probleem met file zip is opgelost met de laatste update van AE van vandaag: 2015-09-01 15:37].
Heb m'n DS111 weer eens opnieuw geinstalleerd t/m update 2.
System scan gedaan, duurt wel ff op een DS111 ;D maar, niets gevonden.
DSM update 3 gedaan en weer een system scan, niets gevonden. ;D
-
De virus definitie is nu bijgewerkt voor deze false positieve melding. Met de version-5-2-5592-update-4 (http://www.synology-forum.nl/synology-dsm-5-2/version-5-2-5592-update-4/) van vandaag wordt ook het eventueel gedelete ZIP bestand weer teruggeplaatst.
Topic gaat op slot.