PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Synology-System mit Virus von Werk aus? :-/



MattCB
26.08.2015, 23:27
Ich habe heute mal einen Systemscan gemacht, nachdem ich meine neue DS215j in Betrieb genommen habe. Und was soll ich sagen? Angeblich ist die Datei /usr/syno/bin/zip (also eine im System enthaltene Datei!) befallen und wurde in die Quarantäne verschoben. Kann ich da von einem Fehlalarm ausgehen oder muss ich mir Sorgen machen?

Als Beweis habe ich einen Screenshot angefügt.

geimist
27.08.2015, 00:10
Gerade mal probiert.
Wird bei mir auch bemängelt …

Ich habe die Datei mal zu Virustotal hochgeladen - nur ClamAV schimpft da (https://www.virustotal.com/de/file/762a881e4d85569208f3a07b18ae6704e9e1b1da3b37138ec8 96db38f770992a/analysis/1440630432/). Ich gehe also von einem Fehlalarm aus.

Wenn du die Datei in der Quarantäne lässt, funktioniert vielleicht das packen in der Filestation nicht mehr richtig.

Jongleur
27.08.2015, 06:21
Gleiche bei mir, gemeldet durch den "Sicherheitsberater". Was ist da nur los. Entweder sind unsere beiden Server befallen, oder es ist ein Fehler von Synology. Hmm...

axuaxu
27.08.2015, 07:43
Synosupport anschrieben?

Jongleur
27.08.2015, 07:48
Schon passiert.

luckytiger
27.08.2015, 09:24
Hallo,

das gleiche Problem habe ich seit heute Morgen auch. Ich vermute auch das beim ClamAV da in den Definitionen ein Fehler ist.
Hat also nicht direkt was mit Synology zu tun, zumal das Zip Binary ja nicht erst seit gestern da existiert.

@Jongleur: Wäre nett wenn du mit uns teilst, was der Synology Support davon hält.

VG

MattCB
27.08.2015, 09:24
Ich hab's wieder aus der Quarantäne rausgeholt. Support ist auch schon informiert. Ich gehe aber mal von einem Fehlalarm aus.

Jongleur
27.08.2015, 09:27
Habe die Support-Leute aus Taipeh seit einer Stunde auf meiner Syno, keine Ahnung was die da treiben. :D
Bin gespannt. Komischerweise liegt die ZIP natürlich schon lange da, der Scan wird bei mir aber täglich durchgeführt, es wurde in den letzten tagen aber weder ein update von Synology (hätte die ZIP-Datei ändern können), noch ein Definitions-Update vom Anti-Virus-Programm installiert. Somit hätte das Ding bereits gestern gefunden worden sein müssen oder sehe ich das falsch?
Wie kommt das also? Könnte also auch ein groß angelegter Angriff sein.
Ein Systemweiter Scan hat weitere Bedrohungen in meiner OwnCloud-Installation gefunden. Auch dieses wurde zuletzt am Sonntag gescannt. Seltsam seltsam...

geimist
27.08.2015, 09:30
Also bei mir wird die Virendefinitionsdatei vor jedem Scan automatisch aktualisiert. Schau doch mal auf das Datum.
Wäre hier wirklich ein Virus dahinter, hätte wohl nicht gerade nur ClamAV (bei virustotal) gemeckert …

Jongleur
27.08.2015, 09:34
Genau da steht auch im Eintrag hinter 'Update startet' gleich danach 'Already up to date'. Von daher wurde nichts upgedated. ;) Sollte bei dir ähnlich aussehen...

jahlives
27.08.2015, 09:40
clamav ist nicht gerade bekannt dafür immer zuverlässig treffsicher zu sein. False Positives gibt es dabei immer wieder. Allerdings glaube ich in dem Fall eher, dass es berechtigt ist. Denn die libzip und php5 haben ein interger overflow Problem in bestimmten Versionen (https://security-tracker.debian.org/tracker/CVE-2015-2331) ich vermute darauf springt der Scanner an


Integer overflow in the _zip_cdir_new function in zip_dirent.c in libzip 0.11.2 and earlier, as used in the ZIP extension in PHP before 5.4.39, 5.5.x before 5.5.23, and 5.6.x before 5.6.7 and other products, allows remote attackers to cause a denial of service (application crash) or possibly execute arbitrary code via a ZIP archive that contains many entries, leading to a heap-based buffer overflow.

Jongleur
27.08.2015, 09:44
Warum aber wurde das dann erst jetzt angemeckert vom clamav? Antivirus-Updates gab es in den letzten Tagen keine.

geimist
27.08.2015, 09:48
Mit Update meinst du schon die Definition und nicht das Antivirus Essential?

Jongleur
27.08.2015, 09:51
So sieht das bei mir aus:
25612

jahlives
27.08.2015, 09:51
such nach der Datei freshclam.conf und guck wie häufig das Update eingestellt ist

geimist
27.08.2015, 09:54
… oder man sieht in der Übersicht von Antivirus Essential wann das letzte Update war.

geimist
27.08.2015, 10:27
Ich habe gerade mal meine persönlichen Firmwarebackup's vom 1.8.15 und 1.3.15 angesehen. Ich wollte die früheren Versionen der Datei mal mit der aktuellen Virendefinition scannen.
In den Archiven gab es jeweils die zip Datei unter /usr/bin gar nicht …

jahlives
27.08.2015, 10:29
mein Vorschlag dazu wäre jetzt: Download der installierten Firmware Version, entpacken und gucken ob es diese Datei gibt. Falls ja dann die md5-Summen beider Files bilden und vergleichen

geimist
27.08.2015, 10:39
Ich habe jetzt die PAT Version 5592 geladen und entpackt. Aber unter /usr/bin ist auch hier keine zip.
Bei den nachfolgenden Updates 1-3 ist die Struktur ja nicht so eindeutig beim entpacken.

jahlives
27.08.2015, 10:48
es sollte ja auch /usr/syno/bin sein

Benares
27.08.2015, 10:50
Oben ist ja auch von /usr/syno/bin die Rede und da liegt bei mir ein zip-Executable. Unter /usr/bin gibt's das nicht.

geimist
27.08.2015, 10:51
Mein Fehler!
Sorry


EDIT:
MD5 ist seit (mindestens) Juli mit der aktuellen PAT identisch.

crash1601
27.08.2015, 11:18
Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^

Jongleur
27.08.2015, 11:44
Der MD5 meiner möglicherweise infizierten Datei lautet: f2a91d540bfc2779b44a90ad7d890f8b

jahlives
27.08.2015, 12:04
die Datei ist kaum infiziert ;) Sondern enthält wohl eine u.U. ausnutzbare Schwachstelle

Jongleur
27.08.2015, 12:11
Hab mich mal was reingelesen. Du hast wohl recht. Dann kann ich meine neuen grauen Strähnen ja jetzt getrost färben. *grr*
Bin da ein gebranntes Kind, vor Jahren wurde mal meine alte QNap-Station gekapert, seit dem bin ich da sehr vorsichtig. Da es QNap aber mit der Sicherheit über einen langen Zeitraum gar nicht so genau genommen hat, hatte ich damals gewechselt. Hast du hier im Forum schon Fälle gesehen wo eine Syno nachweisbar infiziert oder gehackt wurde?

Jongleur
27.08.2015, 13:39
Na, verlaufen? :D

Tommes
27.08.2015, 13:41
Hast du hier im Forum schon Fälle gesehen wo eine Syno nachweisbar infiziert oder gehackt wurde?

http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker

Jongleur
28.08.2015, 06:42
Ach ja, damals hatte ich auch gebibbert. :D
Hier die Antwort vom Support, alles gut:


Hi Mr. Jongleur,

The /usr/syno/bin/zip is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.

We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin/zip from the quarantine area in Antivirus Essential and put it into white list.

Both Antivirus Essential and Security Advisor will not show further warnings in this way.

Hope this helps and we are sorry for any inconvenience caused.

Best regards,
Grant Cheng

jahlives
28.08.2015, 06:49
Imho ist das kein false-positive, sondern berechtigt. Denn das Problem ist die Lücke in libzip. Statt einen false positive zu melden sollten sie lieber die Lücke patchen.

Jongleur
28.08.2015, 06:53
Gerade nochmal getestet. Es gibt schon jetzt neue Virendefinitionen mit denen der Alarm nicht mehr losgeht. :) Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen. :D

flosbach
28.08.2015, 09:28
Bei mir kommt seit heute morgen auch eine Warnung. Allerdings ist nichts in Quarantäne verschoben, sondern wurde nur "verändert"
DSM Systemdatei wurde unbeabsichtigt verändert /usr/syno/bin/zip
25627

Jongleur
28.08.2015, 09:30
Wenn du jetzt das Antivirus-Programm öffnest, siehst du dass die Datei in Quarantäne verschoben wurde. Einfach wiederherstellen und notfalls auf die Whitelist setzen. Das wird dir beim Wiederherstellen automatisch angeboten.

flosbach
28.08.2015, 09:33
Ja, klar.. danke, da stand ich etwas auf dem Schlauch. ;)

Matthieu
28.08.2015, 12:08
Somit war es wohl doch ein false Positive oder sie haben den Antivirus-Hersteller bestochen. :D
IMHO hostet Synology die Virendefinitionen selbst. Prinzipiell stammt die Datei zwar vom ClamAV-Team, Synology kann sie aber nach Belieben manipulieren bevor sie zu den Usern raus geht, weil sie selbst die Infrastruktur dazu betreiben. Also muss man höchstens einen Entwickler bestechen die entsprechende Definition zu suchen und jedes mal zu löschen ...

MfG Matthieu

Fischgebruell
28.08.2015, 16:42
Ich habe gerade mal einen weiteren Fullscan angefangen und AntiVirus findet nun eine ganze Reihe Dateien im TimeBackup die angeblich gefährlich wären^^

Ist bei mir auch so. Vor allem Programme die direkt beim Hersteller heruntergeladen wurden wie z.B. Toshiba Programme/Treiber, WinRar, Adobe Reader 10, verschiedene Kaspersky Trial Testversionen, etc.....
Norton meckert bei den Programmen nicht.

Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?

b1tchnow
30.08.2015, 10:35
Da bleibt nur die Frage: Wie vertrauenswürdig / funktionstüchtig ist Synology Antivirus Essential?

Einen False Positive alle paar Jahre sollte man seinem Antivirenprogramm schon erlauben. Mir machen die False Negatives eigentlich viel mehr Sorgen, die wirst aber im Log nicht finden. ;-)

MMD*
30.08.2015, 11:49
Thank you for the inquiry.
The /usr/syno/bin is quarantined by Antivirus Essential and caused a warning in Security Advisor ("file is modified"), but this is a false alarm.
We will report the false-positive file to ClamAV (the antivirus engine), and the future virus definitions will not report such infection. For the time being, you may restore the /usr/syno/bin from the quarantine area in Antivirus Essential and put it into white list.

http://www.synology-forum.nl/antivirus-essential/vreemd-resultaat-met-antivirus-essential/msg166461/#msg166461

jahlives
30.08.2015, 11:57
Wieso redet hier Synology von "infection"? Die Warnung kommt doch wegen der anfälligen libzip, welche auf einen Overflow anfällig ist. So zumindest lese ich das CVE.

b1tchnow
31.08.2015, 08:12
So zumindest lese ich das CVE.

Wo?

Fischgebruell
31.08.2015, 08:46
Einen False Positive alle paar Jahre sollte man seinem Antivirenprogramm schon erlauben. Mir machen die False Negatives eigentlich viel mehr Sorgen, die wirst aber im Log nicht finden. ;-)

Naja, als "einen" false positive kann ich es nicht bezeichnen. Das sind sehr viele Programme die direkt vom Hersteller kommen. Wenn jedes Originalprogramm als Virus erkannt wird, dann brauche ich den Virenscanner nicht.

Wenn schon für false positiv das Programm nicht gut ist........wie es ist dann bei false negativ? Bestimmt nicht besser, oder? Da mache ich mir, wie du schon schreibst, auch sorgen.

b1tchnow
31.08.2015, 08:59
Ich kann hier nicht mehr folgen?

Die Antivirenengine ClamAV, die im Linuxbereich den State-of-the-Art darstellt und auf deren Entwickung Synology nur bedingt Einfluss hat, hat eine Binary, die selbst wahrscheinlich nicht mal von Synology kommt, sondern nur mit ausgeliefert wird, fälschlicherweise als Schadsoftware erkannt. Ein Update der Virendefinition hat das Problem direkt wieder gelöst. So etwas ist mir auf allen möglichen Plattformen schon mehrfach passiert.

Habe ich etwas verpasst, oder warum wird hier von "allen möglichen Programmen" geredet?

Ihr habt mich verloren!

P. S. Die Bemerkung mit den "False Negatives" war eigentlich ein Scherz. Du wirst keinen Virenscanner finden, der eine 100% Trefferquote hat und keine Fehler macht. Wenn Dir das den Schlaf raubt, dann darfst Du keinen Server betreiben.

jahlives
31.08.2015, 09:25
wieso wird hier immer ein "false positive" angenommen? Hat irgendjemand eine Bestätigung seitens Synology gesehen, dass sie die zugrunde liegende Lücke, welche ClamAV angemotzt hat, gefixt haben?
Kann mir jemand bitte die Versionen von PHP und von libzip bei sich nennen?

b1tchnow
31.08.2015, 10:04
Es ist imho nicht die Aufgabe einer Antivirensoftware eine potentielle Sicherheitslücke in einer Software anzumäkeln.

Schon gar nicht sollten Binaries als schädlich bewertet werden, wenn eine dahinter liegende lib-Datei eine Sicherheitslücke hat. Für mich ist und bleibt das ein False Positive.

Denn direkten Zusammenhang mit dem von Dir genannten CVE und diesem Problem hier sehe ich auch noch nicht. Zumal eine aktuelle DSM-Version (5.2) PHP 5.5 verwendet, welche das Problem aus dem CVE doch schon gefixt hat?

jahlives
31.08.2015, 10:19
Zumal eine aktuelle DSM-Version (5.2) PHP 5.5 verwendet, welche das Problem aus dem CVE doch schon gefixt hat?

lies doch bitte das CVE, habs ja verlinkt und daraus zitiert :-)
Aber nochmals:
erst ab 5.5.23 ist der 5.5-er Zweig von PHP gefixt. Bei PHP 5.6 erst ab 5.6.7

Zudem besteht das Problem ja weiterhin, solange die libzip nicht auch aktualisiert wird! Weisst du denn was alles im System die libzip anspricht?
Ob ein Virescanner dabei anschlagen soll, da kann man geteilter Meinung sein. Ich persönlich finde schon, gerade bei einer Severity von HIGH.

b1tchnow
31.08.2015, 10:36
Ob ein Virescanner dabei anschlagen soll, da kann man geteilter Meinung sein. Ich persönlich finde schon, gerade bei einer Severity von HIGH.

Nein, da gibt es keine geteilte Meinung. Ein Virenscanner soll die Ausführung von Schadsoftware verhindern und nicht die Ausführung von Software, die eine Sicherheitslücke enthält. Das sind meiner Meinung nach zwei völlig verschiedene Dinge und Deine Herangehensweise würde die Ausführung eines Systems mit einem Virenscanner höchstwahrscheinlich unmöglich machen, da Du zu fast jedem Zeitpunkt potentielle Sicherheitslücken auf einem System hast, die der Virenscanner dann pflichtgemäß aussortieren müsste.

Im aktuellen Fall könntest Du das System dann wahrscheinlich nicht mal mehr patchen, das das Systemupdate höchstwahrscheinlich gezippt daher kommt, Du aber das Update nicht entpacken kannst, da das Binary gerade in Quarantäne wäre.

Und warum sollte ich das Binary verschieben, weil die Library eine Sicherheitslücke hat?

Deine Expertise in allen Ehren, aber für mich wird aus Deiner Herangehensweise an die Thematik kein Schuh, sorry.

Du kannst mir aber gleich mal was beibringen. Gehe ich richtig in der Annahme, dass ich zum herausfinden der ganzen Versionsnummern Shellzugriff brauche? Oder sehe ich das irgendwo über die Oberfläche?

Nachtrag: Nur um das klarzustellen, ich stimme Dir vollkommen zu, das ist ein gravierendes Problem. Die Problemlösung ist aber nicht Aufgabe eines Virenscanners, sondern des Herstellers. Und den Zusammenhang zwischen dem CVE und der Meldung des Virenscanners hier sehe ich noch nicht?


Denn die libzip und php5 haben ein interger overflow Problem in bestimmten Versionen (https://security-tracker.debian.org/tracker/CVE-2015-2331) ich vermute darauf springt der Scanner an

Dieser Vermutung widerspreche ich!

jahlives
31.08.2015, 11:08
und wie soll ein Virenscanner die "Schadsoftware" erkennen, wenn sie wie in dem Fall nicht böse ist sondern einfach nur ein grosses Archiv? Da bräuchte der Virenscanner ein sehr tiefes Verständnis von der zugrunde liegenden Lücke. Oder wäre es deine Option einfach alle grossen Archive zu killen? Mit Signaturen hat man bei einer solchen Geschichte kein Chance, auch die Heuristik dürfte hier an Grenzen stossen.
Zudem sind ja die Möglichkeiten bei einem Heap Overflow sehr vielseitig. Vom Crash der Applikation, was nicht sehr tragisch wäre, bis zum Verändern von systemrelevanten Speicherbereichen ist fast alles möglich. Die Stagefright Lücke auf android war auch "nur" ein overflow oder auch die katastrophale Lücke Heartbleed

Am besten mit Shellzugriff

bfpears
31.08.2015, 11:09
@jahlives ich habe mal versucht nachzusehen welche Versionen laufen
so tief tauche ich aber selten in Linux ein, des wegen bewerte ich die Infos nicht

<?php echo phpinfo(); ?> sagt:

PHP Version 5.5.26
und weiter unten:

zip
Zip enabled
Extension Version $Id: c268059b54296d6ea21e8b1178f40a28a88f0024 $
Zip version 1.11.0
Libzip version 0.10.1


----
zu ZIP
Zum Vergleich: Mein LinuxMint sagt:
zip (Version 3.0-8) liegt im Ordner "bin"
libzip2 (0.10.1-1.2) liegt im Ordner "lib"

In der DS konnte ich im "/lib" Ordner keine libzip finden

gibt es sonst noch einen lib Ordner?
weiß jemand wie ich ohne ipkg die Versions Nummer rausfinde?

jahlives
31.08.2015, 11:13
5.5.26 ist gut und sollte gepatched sein, gemäss den PHP Entwicklern
Die libzip schaut aber noch alt aus gemäss CVE wäre erst 0.11.2 gefixt

mexx81
31.08.2015, 11:23
Ich habe übrigens den Sachverhalt Synology gemeldet und eine enttäuschende Antwort erhalten. Ich solle das System neu installieren. Ich weiß weder ob es sich um eine Bedrohung handelt oder um ein false positiv. Da scheinbar viele den Fehler haben, finde ich den Schritt der Neuinstallation auch übertrieben. Das sollte doch auch anders zu beheben sein.

bfpears
31.08.2015, 11:26
Quelle: https://security-tracker.debian.org/tracker/CVE-2015-2331
ich lese das so das auch 0.10.1-1.1 gefixed ist (Debian stable)
und die 0.11 für Debian (stretch, sid, jessie) (also unstable, testing)
in der PHP Info Ausgabe fehlen leider die "Nachkommastellen"

Nachtrag: Versions Infos von der "zip" gefunden

zip --help
Copyright (c) 1990-2008 Info-ZIP - Type 'zip "-L"' for software license.
Zip 3.0 (July 5th 2008).

b1tchnow
31.08.2015, 11:34
@jahlives: Ich glaube, wir reden aneinander vorbei und es bringt das Thema hier ja auch nicht weiter.

Ich sehe das Prollem für mich hiermit und nach Prüfung der Versionen erst mal als erledigt an.

jahlives
31.08.2015, 11:48
@bfpears
Debian hat dann wohl die Fixes rückportiert. Das gilt dann aber nur für Debian und nicht für andere Maintainer. Debian portiert viele Fixes für ältere Versionen.
Als Referenz in diesem Fall würde ich https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-2331 angucken

MMD*
31.08.2015, 15:21
zip files stehen online:
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/

mexx81
31.08.2015, 15:59
Ich muss jetzt mal ganz doof fragen: Was soll ich damit jetzt machen?

MMD*
31.08.2015, 16:14
Fur den fall die zip geloscht wurde nehm ich an...

b1tchnow
31.08.2015, 16:38
Ich muss jetzt mal ganz doof fragen: Was soll ich damit jetzt machen?

Das kommt darauf an, wie Du mit der Meldung und dem (wie ich immer noch behaupte versehentlichen!) Verschieben der zip-Binary in die Quarantäne durch das Antivirusprogramm von Synology umgegangen bist. Wenn Du die in Quarantäne verschobene Datei gelöscht hast, dann hast Du ein Problem, da Du nicht mehr ohne weiteres Dateien mit zip entpacken kannst.
Für diese Leute hat Synology die zip-Binary jetzt separat bereitgestellt, damit diese sie wieder an ihrem ursprünglichen Platz ablegen können.
Alternativ kannst Du die Datei aus der Quarantäne wieder herstellen. Davor solltest Du eine Aktualisierung des Virenkatalogs des Antivirenprogramms der Synology durchführen, sonst wird die Datei mglw. direkt wieder verschoben.

stefan033
31.08.2015, 19:19
Hallo liebes Forum,

bin leider auch von diesem Problem betroffen und die Datei ist-wurde gelöscht.
Was wäre jetzt die einfachste Möglichkeit um wieder alles in Ordnung zu bringen.
Lt. Synology Support muss ich neu aufsetzten was ja nicht so schlimm wäre nur funktioniert leider die Konfiguration Sicherung nicht - vielleicht durch die fehlende dabei??
Bin in der Hoffnung es könnte mir jemand von euch weiterhelfen.

Lg Stefan

MMD*
31.08.2015, 20:24
Viren update machen.
Die datei namens zip herunterladen fur dein model, sehe oben den link.
Die datei rechte 0755, dan neustart und fertig.

stefan033
31.08.2015, 20:33
Vielen dank für deine Antwort,
kann die Datei nicht downloaden, es wir ein Nutzername und ein Passwort verlangt.
Die Datei rechte 0755 was meinst du damit?
Habe von Linux keinen plan, bräuchte es bitte genauer.
Oder gibt es irgendwo eine Beschreibung für so etwas.

Lg

geimist
31.08.2015, 20:36
Also ich kann die laden - welche DS hast du?

stefan033
31.08.2015, 21:15
DS1812+
DSM 5.2-5592 Update 3

geimist
31.08.2015, 21:17
Dann ist es die, in diesem Verzeichnis (gerade probiert - geht): ftp://ftp.synology.com/on-line/DSM5.2/ZIP/cedarview/

stefan033
31.08.2015, 21:19
Benutzername und Passwort wird verlangt....

MMD*
31.08.2015, 21:21
Bei mir nicht:

ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/

stefan033
31.08.2015, 21:23
Es geht leider nicht..warum auch immer

geimist
31.08.2015, 21:26
Hier die zip für cedarview: 25658

Nicht entpacken, sondern nur ".zip" im Namen entfernen (ließ sich sonst nicht hochladen).
Lege die Datei in /volume1/downloads auf der DS

Gehe zum Aufgabenplaner (Systemsteuerung) und erstelle eine neue Aufgabe => Benutzerdefiniertes Skript
Trage hier ein

chmod 0755 /volume1/downloads/zip
mv /volume1/downloads/zip /usr/syno/bin

Ausführen als root

speichern und einmal ausführen
Die Zip-Datei sollte anschließend nicht mehr in den Downloads sein.

Task löschen (oder deaktivieren).

MMD*
31.08.2015, 21:29
Bitte, für cedarview.
Anhang umbenennen nach zip

stefan033
31.08.2015, 21:37
Vielen dank Stephan,

den ordner downloads habe ich nicht, kann ich da auch einen anderen nehmen.
volume1 kann ich ja nicht auswählen oder.

geimist
31.08.2015, 21:38
ja
Pfad einfach anpassen

stefan033
31.08.2015, 21:39
Was ist cedarview?

geimist
31.08.2015, 21:39
Deine CPU-Platform.
Daher die Frage nach deiner DS. Wir wollten dir ja die richtige zip herunterladen, die zu deiner DS1812+ passt.

Edit:
Noch eine kurze Beschreibung zu den 2 Zeilen Code:
1.Zeile vergibt der Datei die notwenigen Rechte
2. Zeile verschiebt die zip von dem Ordner, in der du sie hochgeladen hast, zum Zielordner

stefan033
31.08.2015, 21:42
das mit volume1 muss schon sein, habe derzeit zwei platten drinnen auf Synology hybrid raid.

geimist
31.08.2015, 21:44
Der Pfad mit Volume1 ergibt sich aus dem Ordner, wo du die zip erst einmal hochlädst - kann auch volumexyz sein.

stefan033
31.08.2015, 21:49
habe kein volume stehen nur die Ordnernamen deswegen frage ich.
Habe bei deinem Code zwischen den / und text Leerzeichen stehen, passt das?

geimist
31.08.2015, 21:52
Lade die Datei in irgend einen Ordner deiner DS
Klicke rechst auf die Datei und gehe auf Eigenschaften ==> hier sieht du den kompletten Pfad der Datei - inkl. /volume... am Anfang

Habe bei deinem Code zwischen den / und text Leerzeichen stehen, passt das?
Kommt drauf an. Wo genau?

stefan033
31.08.2015, 21:52
vielleicht noch zur info ich arbeite auf einem Mac

geimist
31.08.2015, 21:53
Egal

stefan033
31.08.2015, 21:54
Jetzt ist es mir klar...stimmt.
Wenn ich deinen Code kopiere dann habe ich Leerzeichen

stefan033
31.08.2015, 21:59
nach chmod 0755 sind zwei
nach mv
nach zip
sind Leerzeichen

geimist
31.08.2015, 22:03
nach chmod 0755 reicht eigentlich eins - aber nicht schlimm
Bedeutung:
Programm Parameter Pfad_zu_Datei

Zweite Zeile:
Programm_[mv=verschieben] Quelldatei Zielordner

Leerzeichen trennen die Parameter. Sollte im Pfad einer Datei ein Leerzeichen sein, so musst du den Pfad in Anführungszeichen setzen, z.B. "/volume1/downlods/ein Ordner/datei"

stefan033
31.08.2015, 22:09
Alles klar kenn mich aus.
Werde es aber erst morgen testen.
Vielen vielen dank für deine / eure Hilfe
gebe morgen bescheid ob es passt.

geimist
31.08.2015, 22:11
Alles klar kenn mich aus.

Warum hast du das nicht gleich gesagt :D

stefan033
31.08.2015, 22:12
danke für deine Geduld :D

stefan033
31.08.2015, 22:20
Eine frage noch...die Datei ist sicher die richtige für meine DS

geimist
31.08.2015, 22:22
Ja.
Du kannst natürlich nocheinmal mit einem anderen Rechner versuchen sie von Synology herunterzuladen - wichtig: cedarview

stefan033
31.08.2015, 22:26
nein das nicht...wenn du Dir sicher bist reicht mir das.
Danke

b1tchnow
01.09.2015, 07:58
Es geht leider nicht..warum auch immer

Es liegt an den unterschiedlichen URL, die ihr verwendet.

Hier ist Username und Passwort vor der Domain enthalten:
ftp://on-line:online_user@ftp.synology.com/on-line/DSM5.2/ZIP/
Hier nicht:
ftp://ftp.synology.com/on-line/DSM5.2/ZIP/cedarview/

Vor dem @-Zeichen steht die Kombination aus Usernamen und Passwort. Man kann auch nur einen Benutzernamen angeben.

In einer URL kann man Usernamen und Passwort direkt angeben in der Form:


Protokoll://Username:Passwort@Domain.TLD/Pfad

Offensichtlicher Nachteil des ganzen: Das Passwort ist im Klartext sichtbar, also nicht für sensible Daten benutzen. ;)

mexx81
01.09.2015, 08:37
Ich habe Schwierigkeiten meine ZIP zu bestimmen. Ich habe die DSM1813+ mit einen INTEL Atom D2700. Welche ZIP muss ich nehmen?

dil88
01.09.2015, 08:40
Der Intel Atom D2700 der 1813+ gehört zur Cedarview-Gruppe - also ftp://ftp.synology.com/on-line/DSM5.2/ZIP/cedarview/

mexx81
01.09.2015, 08:46
Habe diesen Link gefunden: http://forum.synology.com/wiki/index.php/What_kind_of_CPU_does_my_NAS_have

Dani Düsentrieb
01.09.2015, 10:46
Hallo Zusammen,

mein Sicherheitsberater hat heute morgen auch die Meldung gebracht und nachdem ich diesen Thread hier gelesen hatte hab ich dem Virenscanner gesagt er solle die Datei wiederherstellen und einen Whitelist Eintrag machen. Wiederherstellen ist fehlgeschlagen aber Whitelisteintrag hat er gemacht. Komische Sache dies. Werde mir jetzt auch die ZIP Downloaden.

rabu
01.09.2015, 10:50
Hier die zip für cedarview: 25658

Nicht entpacken, sondern nur ".zip" im Namen entfernen (ließ sich sonst nicht hochladen).
Lege die Datei in /volume1/downloads auf der DS

Gehe zum Aufgabenplaner (Systemsteuerung) und erstelle eine neue Aufgabe => Benutzerdefiniertes Skript
Trage hier ein

chmod 0755 /volume1/downloads/zip
mv /volume1/downloads/zip /usr/syno/bin

Ausführen als root

speichern und einmal ausführen
Die Zip-Datei sollte anschließend nicht mehr in den Downloads sein.

Task löschen (oder deaktivieren).

Hallo, ich bin jetzt den kompletten Thread durchgegangen und habe mich an die Anweisungen gehalten, leider funktioniert es bei mir nicht und ich bekomme immer noch im Sicherheitsberater die Fehlermeldung, dass die zip Datei geändert worden sei.
Hat vielleicht noch jemand eine Lösung, die ich ausprobieren kann?
Ich habe das Problem auf meiner DS115 mit Armada375 Chip.

geimist
01.09.2015, 11:38
Der Workflow dient nur zum wiederherstellen der zip, falls diese unwiederbringlich durch ClamAV gelöscht wurde. Die Zip-Datei ist nachher die gleiche, und solange die Virensignatur nicht angepasst wurde, wird auch diese zip als "modifiziert" kritisiert.

Für deine DS115 darfst du natürlich nicht die Cedarviewversion nehmen, sondern die hier: ftp://ftp.synology.com/on-line/DSM5.2/ZIP/Armada375/

rabu
01.09.2015, 11:47
Ja, darauf habe ich natürlich geachtet. Wurde ja auch sehr deutlich beschrieben. Ich habe auch die Zip Datei für den Armada375 genommen, es hat trotzdem nicht funktioniert.
Zip Datei aufs volume1 kopiert und umbenannt, Batchdatei erstellt und ausgeführt. zip Datei wurde auch verschoben. Danach einen Neustart gemacht und trotzdem bekomme ich die Fehlermeldung.

geimist
01.09.2015, 11:53
Du musst die Datei noch in die Whitelist eintragen - ist ja logisch, dass er noch schimpft

rabu
01.09.2015, 11:54
aha, ok!? wo mache ich das?

geimist
01.09.2015, 12:10
Antivirus Essentials ==> Einstellungen ==> Weiße Liste ==> Erstellen ==> /usr/syno/bin/zip

rabu
01.09.2015, 12:13
Wenn ich das mal behaupten darf, das bringt ja nicht wirklich viel, wenn ich ihm einfach sage, dass er die Datei nicht scannen soll.
Dann ist das Problem nicht gelöst sondern nur die Fehleranzeige verschwunden.
Dann kann ich ich auch genauso gut zu mir selbst sagen, "Achtung, diesen Fehler bitte ignorieren"

geimist
01.09.2015, 12:19
Darum geht es (fast) in dem gesamten Thread …
Es ist kein Virus, sondern eine Lücke in der Zip.

b1tchnow
01.09.2015, 12:43
Darum geht es (fast) in dem gesamten Thread …
Es ist kein Virus, sondern eine Lücke in der Zip.

Sinnvoller wäre aber ein Update der Virendefinitionen, die schon am Sonntag wieder auf dem aktuellen Stand waren und nach einem Update keinen Fehlalarm mehr gebracht haben.

CINEHOME
02.09.2015, 08:36
Antivirus Essentials ==> Einstellungen ==> Weiße Liste ==> Erstellen ==> /usr/syno/bin/zip

den angegebenen Pfad /usr/syno/zip kann ich hier nicht auswählen. Gibt es eine weitere Möglichkeit, diesen zur Whitelist hinzuzufügen?

Vielen Dank!

jahlives
02.09.2015, 09:32
es sollte auch /usr/syno/bin/zip sein oder hast du dich nur vertippt?

geimist
02.09.2015, 09:37
Es geht nicht, weil man den Pfad nur via Explorer auswählen kann … hatte ich nicht überprüft, sorry.

Aber wie schon b1tchnow schrieb: Einfach Virensignatur aktualisieren und schon ist der Spuk vorbei.

CINEHOME
02.09.2015, 10:15
es sollte auch /usr/syno/bin/zip sein oder hast du dich nur vertippt?

Ups, sorry! hatte mich tatsächlich vertippt. Danke!

CINEHOME
02.09.2015, 10:19
Es geht nicht, weil man den Pfad nur via Explorer auswählen kann … hatte ich nicht überprüft, sorry.

Aber wie schon b1tchnow schrieb: Einfach Virensignatur aktualisieren und schon ist der Spuk vorbei.

Ich möcht mich hier noch gerne für deine feine Anleitung zum manuellen wiederherstellen der zip bedanken!

Eine Frag hab ich aber noch ...

Ich hatte die zip-Datei in Quarantäne gelöscht und dann, Deiner Anleitung folgend, wieder hergestellt.
Alles scheint funktioniert zu haben, da ich auch problemlos Zip-Dateien entpacken kann. Auch meine Virendefinitionen habe ich aktualisiert, aber trotzdem wird mir bei meinem Systemstatus "Gefahr" angezeigt.

Die Meldung geht irgendwie nicht weg.

Hast Du hier evtl. noch einen Rat für mich?

Vielen Dank!

geimist
02.09.2015, 10:21
Was heißt "irgendwie" Gefahr?
In Antivirus Essential oder über den Sicherheitsberater?

CINEHOME
02.09.2015, 10:29
Antivirus Essential ist ruhig und hat keine Meldungen mehr, aber im Sicherheitsberate wird "Achtung, Es wurden Sicherheitsbedrohungen gefunden, die Ihre Aufmerksamkeit erfordern."
"Schadprogramm, 1 Berdrohung(en) wurde(n) auf Ihrer Diskstation gefunden."

unter Ergebnisse wird dann angezeigt: "DSM-Systemdateien wurden unabsichtlich geändert"

und die von mir angesprochene "Gefahr"-Meldung (rot) wir direkt auf dem DSM-Desktop über Widget "Systemzustand" angezeigt. Hier steht sonst immer "Gut" (grün).

geimist
02.09.2015, 10:32
Dann markiere doch mal im Sicherheitsberater ==> Ergebnisse die Warnung und klicke auf Ansicht.

CINEHOME
02.09.2015, 10:37
Da steht das selbe drin wie zu Anfang:

"Die folgende(n) Datei(en) wurde(n) geändert: usr/syno/bin/zip"

Was ja auch stimmt, da ich sie der Anleitung folgend ausgetauscht habe.
Allerdings würde ich nun gerne wieder dafür sorgen, dass mein Systemzustand als "Gut" angezeigt wird, damit ich zukünftige Veränderungen durch entsprechende Statusmeldungen auch wahrnehmen kann.

geimist
02.09.2015, 10:40
Dann markierst du den Eintrag und klickst auf "überspringen".
Die entsprechende Kategorie wird dann aber in Zukunft nicht mehr gescannt! Du musst selber wissen, ob ein grüner Haken dir das wert ist.

CINEHOME
02.09.2015, 10:45
Okay, das kann ich nachvollziehen und gebe Dir recht.

Vielen Dank für die schnellen Antworten!

Einen angenehmen Tag wünsche ich!

Grüße

maut
04.09.2015, 08:34
Moin allerseits,

habe seit heute Früh auch diese vermaledeite Fehlermeldung.
Da ich aktuell im Geschäft bin und nur via iPhone über VPN auf die DS zugreifen kann muß ich das heute Abend fixen.

Was ich nicht verstehe ist die Tatsache, das die Datei noch immer (trotz aktueller Virusdefinition) in die Quarataine verschoben wird.
Da sollte Synology doch mal Hand anlegen und diesen Umstand beheben.

Bin heute früh fast vom Stuhl gekippt, als die Gefahrenwarnung sichtbar wurde.
Und dann noch dieses "Eine Systemdatei wurde unbeabsichtigt verändert".
Danach war ich dann wach ;-)))

Nach dem ersten Schock dann gegooglet und zum Glück über diesen Threat hier gestolpert.
Danke nochmal an alle hier im Forum.
Genau aus solchen Gründen wurde es bei mir wieder ne Synology und keine Qnap.
Hier im Forum findet man wenigstens rasch Antworten und Fixes bei Problemen mit dem NAS.

Gruß
Patrick

dil88
04.09.2015, 08:50
Hast Du das an Synology (https://myds.synology.com/support/support_form.php?lang=deu) gemeldet? Die lesen hier nicht mit und handeln durchaus nach dem Motto "mehr Feedback, mehr Relevanz".

maut
04.09.2015, 09:08
Hast Du das an Synology (https://myds.synology.com/support/support_form.php?lang=deu) gemeldet? Die lesen hier nicht mit und handeln durchaus nach dem Motto "mehr Feedback, mehr Relevanz".

Noch nicht.
Mach ich aber heute Abend.
Bin ja grad im Geschäft und würde das gerne von zu Hause aus machen.

Mymacly
05.09.2015, 17:37
Vielen Dank für die hilfreichen Antworten, war nach dieser Meldung auch geschockt..... Was mache ich mit den Time Machine Dateien die es mir auch in die Quarantäne verschoben hat, muss ich diese auch wieder herstellen? Vielen Dank

geimist
05.09.2015, 22:45
Das hat zwar nichts mit diesem Thread zu tun, aber welcher Bericht erscheint denn da bei Antivirus, bzg. der TimeMachine-BackUps? Evtl. Whitelisteintrag erstellen …

Mymacly
06.09.2015, 08:26
Entschultigung, da oben beschrieben wurde das die Datei /usr/syno/bin aus der Quarantäne Wiederhergestellt werden kann und es mir zusätzlich etwa 90 Dateien aus der Time Machine mit der gleichen Gefahr Php.Exploit.CVE_2015_2331-3 in die Quarantäne gestellt hat dachte ich wäre hier richtig und wollte wissen ob das bei den anderen auch so ist und was sie gemacht haben.

geimist
06.09.2015, 10:17
Wenn es wirklich die TimeMachine-BackUps mit dem "Virus" sind, dann solltest du eher mal von der Seite des Macs die Sache angehen. Ich würde auf jeden Fall die Dateien aus der Quarantäne holen, sonst ist BackUp-Image beschädigt.
Auch hier: aktualisiere die Virensignatur!

stefan033
06.09.2015, 13:50
Hallo,

habe mich jetzt endlich drüber getraut und die Datei hineingespielt, soweit ist alles ok, Antivirus sagt - alles ok, Sicherheitsberater meckert leider noch immer das die Datei verändert wurde.

Lg Stefan

amarthius
07.09.2015, 12:00
Patch 4 (http://www.synology-forum.de/showthread.html?68710-Version-5-2-5592-Update-4) für den DSM 5.2 bessert den Fehler aus.

Restored the mandatory file (/usr/syno/bin/zip) that has been removed due to Antivirus Essential's false-positive detection.
Upgraded PHP to 5.5.28 to address two security vulnerabilities (CVE-2015-5589 and CVE-2015-5590).