qsnatch - Schädling speziell für QNAP NAS oder Fake?
- Ersteller lord-of-fire
- Erstellt am
Helge01
Rear Admiral
- Registriert
- Nov. 2008
- Beiträge
- 5.396
@Chris_S04
Wenn das NAS vom Internet aus nicht erreichbar ist, brauchst du dir vermutlich keine Gedanken zu machen.
Es ist nun mal ein großer Unterschied ob Ports zum NAS geöffnet sind und ein Dienst wie z.B. der Apache dort lauscht, oder ob das NAS sich hinter einer Firewall befindet ohne Zugriff von außen. Der Zugriff vom Heimnetz zum Internet wird ja kontrolliert aufgebaut und auch nur über diesen Weg zurück beantwortet. Der Apache bietet aber einen Service an und kann wenn Lücken vorhanden sind, problemlos von jedem auf der Welt durch die offenen Ports angegriffen werden.
Wenn das NAS vom Internet aus nicht erreichbar ist, brauchst du dir vermutlich keine Gedanken zu machen.
Es ist nun mal ein großer Unterschied ob Ports zum NAS geöffnet sind und ein Dienst wie z.B. der Apache dort lauscht, oder ob das NAS sich hinter einer Firewall befindet ohne Zugriff von außen. Der Zugriff vom Heimnetz zum Internet wird ja kontrolliert aufgebaut und auch nur über diesen Weg zurück beantwortet. Der Apache bietet aber einen Service an und kann wenn Lücken vorhanden sind, problemlos von jedem auf der Welt durch die offenen Ports angegriffen werden.
Hayda Ministral
Banned
- Registriert
- Nov. 2017
- Beiträge
- 7.835
lord-of-fire schrieb:
Ich bewundere die Ruhe, mit der Du die Sache angehst. Sicher hast Du ein aktuelles Backup aller wichtigen Daten, für den Fall dass Dein NAS gerade dabei ist Deine Files zu verschlüsseln.
- Registriert
- Okt. 2011
- Beiträge
- 4.240
Ja, hab ich.
Und da CPU Last und Übertragungsraten völlig im Normbereich sind, halten sich meine Befürchtungen diesbezüglich tatsächlich noch in Grenzen.
Was ich definitiv heute Abend noch tun will, ist dem NAS den Zugriff aufs Backup und aufs Internet entziehen.
Und da CPU Last und Übertragungsraten völlig im Normbereich sind, halten sich meine Befürchtungen diesbezüglich tatsächlich noch in Grenzen.
Was ich definitiv heute Abend noch tun will, ist dem NAS den Zugriff aufs Backup und aufs Internet entziehen.
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.116
Das ist ein ganz schlechter Anhaltspunkt, denn das Schadpotential einer Malware zeigt sich nicht zwangsläufig an CPU- oder Bandbreitenauslastung. Im Weiteren: Zumal die Malware ja offenbar schon eine Weile bei Dir werkelt, können in der Zeit längst sensible Daten ausgelesen und versendet worden sein.lord-of-fire schrieb:
Zuletzt bearbeitet:
(Grammatik verbessert)
Chris_S04
Commander
- Registriert
- Mai 2011
- Beiträge
- 2.398
@BFF
Das hab ich gelesen, allerdings sind die Infos schon Recht dünn, wie ich finde. Außerdem werden Infos ja abgezogen, das ist halt schwierig nachzuverfolgen.
Wie gesagt Firmware Update hat funktioniert.
@Helge01
Ja wie gesagt nur aus dem IP Bereich aus dem LAN erreichbar, kein Portforwarding oder myqnap.
Also ja Firmware Update hat funktioniert und Malware Remover deinstallieren und neu installieren hat geklappt der läuft auch wieder. Denke das sollte OK sein.
Das hab ich gelesen, allerdings sind die Infos schon Recht dünn, wie ich finde. Außerdem werden Infos ja abgezogen, das ist halt schwierig nachzuverfolgen.
Wie gesagt Firmware Update hat funktioniert.
@Helge01
Ja wie gesagt nur aus dem IP Bereich aus dem LAN erreichbar, kein Portforwarding oder myqnap.
Also ja Firmware Update hat funktioniert und Malware Remover deinstallieren und neu installieren hat geklappt der läuft auch wieder. Denke das sollte OK sein.
- Registriert
- Okt. 2011
- Beiträge
- 4.240
@Dr. McCoy
Ist mir durchaus klar. Deswegen ja auch als Vorsichtsmaßnahme das Kappen der Zugänge zu Backup und Internet.
Und dann eben der vorgezogene Umzug auf ein neues NAS.
Edit: So, Backup nochmal geprüft, Zugriff vom NAS hierauf gekappt, sodann dem NAS den Zugriff aufs Internet entzogen.
Mal schauen, (ob) was passiert.
Morgen schau ich mich mal nach nem neuen NAS um.
Ist mir durchaus klar. Deswegen ja auch als Vorsichtsmaßnahme das Kappen der Zugänge zu Backup und Internet.
Und dann eben der vorgezogene Umzug auf ein neues NAS.
Edit: So, Backup nochmal geprüft, Zugriff vom NAS hierauf gekappt, sodann dem NAS den Zugriff aufs Internet entzogen.
Mal schauen, (ob) was passiert.
Morgen schau ich mich mal nach nem neuen NAS um.
Zuletzt bearbeitet:
- Registriert
- Okt. 2011
- Beiträge
- 4.240
Hab jetzt grad mal mit minem DSL Anbieter telefoniert, wo mir der Support genau garkeine Auskunft geben konnte und die Existenz eines kompetenteren 2nd Level Supports geleugnet wurde.
Aber man gebe ja ohnehin nur Meldungen weiter, die man vom BSI erhalten habe. Das ist ja auch so weit richtig.
Daraufhin habe ich die Beratungshotline des BSI angerufen, wo man mir ebenfalls keine Auskunft geben konnte. Dort konnte man mich aber zumindest an eine eMail Adresse verweisen, unter der ich weitere Details erbitten kann, was ich grad getan habe.
Da mein NAS (von Backup und Internet getrennt) bisher völlig normal funktioniert, werde ich mal ganz gelassen die Antworten von QNAP und BSI abwarten.
Aber man gebe ja ohnehin nur Meldungen weiter, die man vom BSI erhalten habe. Das ist ja auch so weit richtig.
Daraufhin habe ich die Beratungshotline des BSI angerufen, wo man mir ebenfalls keine Auskunft geben konnte. Dort konnte man mich aber zumindest an eine eMail Adresse verweisen, unter der ich weitere Details erbitten kann, was ich grad getan habe.
Da mein NAS (von Backup und Internet getrennt) bisher völlig normal funktioniert, werde ich mal ganz gelassen die Antworten von QNAP und BSI abwarten.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Also ich hätte das Ding bis zur Klärung ja erst mal abgeschaltet (damit nichts mit denen Daten passieren kann).lord-of-fire schrieb:
Was ich auf jeden Fall machen würde, wäre das ich die Daten runterholen und das dann noch mal neu aufsetzen. Auch mit der neusten System-Version. Denn selbst wenn Du keine Infektion hast muss das ja nicht so bleiben. Insbesondere, wo ja bekannte Lücken existieren.
Etwaige Probleme im Zusammenhang mit der neusten Firmware und einer App würde ich gerade ziehen und notfalls auf die betreffende App verzichten.
- Registriert
- Okt. 2011
- Beiträge
- 4.240
Wie ich schon schrub: Ich habe ein vollständiges Backup.
Komplett abschalten kann ich nicht, weil ich vieles von den auf dem NAS gelagerten Daten ständig brauche.
Neu Aufsetzen wäre meine sekundäre Lösung. Ich neige - wie geschrieben - eher dazu, das NAS dann gleich zu ersetzen. Zumal mir die Performance des TS-412 eh eigentlich nicht (mehr) reicht.
Komplett abschalten kann ich nicht, weil ich vieles von den auf dem NAS gelagerten Daten ständig brauche.
Neu Aufsetzen wäre meine sekundäre Lösung. Ich neige - wie geschrieben - eher dazu, das NAS dann gleich zu ersetzen. Zumal mir die Performance des TS-412 eh eigentlich nicht (mehr) reicht.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Ich selbst hab ja ganz gute Erfahrungen damit gemacht, kein Fertig-NAS einzusetzen, sondern letztlich einen normalen Computer zum NAS gemacht.lord-of-fire schrieb:
Mir mir werkelt z.B. ein HPE ProLiant MicroServer Gen10. Der hat einen 2-Kern-AMD-Opteron Prozessor mit 8GB RAM (lässt sich aber auf 32GB erweitern) sowie 2x GBit LAN.
Softwaremäßig betreibe ich ihn mit einem FreeBSD mit ZFS als Dateisystem.
Wenn man es weniger archaisch haben will und mehr so das typische Home-NAS-Feeling, dann könnte man als System auch FreeNAS einsetzen.
- Registriert
- Okt. 2011
- Beiträge
- 4.240
OMV hab ich auf nem Selbstbau NAS schonmal getestet bzw hab es bei nem Freund immer noch im Einsatz. Kann mich aber nicht wirklich begeistern. FreeNAS werde ich mir ansehen.
- Registriert
- Okt. 2011
- Beiträge
- 4.240
openmediavault
M@rsupil@mi
Vice Admiral
- Registriert
- Jan. 2013
- Beiträge
- 6.362
https://de.wikipedia.org/wiki/OMV_(Begriffsklärung)andy_m4 schrieb:
Was davon wird wohl gemeint sein...
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Ja. Trotzdem sind halt nicht geläufige Abkürzung immer ein Problem. Ich verstehe auch nicht, warum man solche Sachen nicht ausschreiben kann. Man will doch gelesen und verstanden werden, sonst würde man ja im Forum nichts schreiben. Und wenn man das möchte, dann liegt es doch auch nahe (und auch in meinem Interesse) dem Lesenden das so einfach wie möglich (oder zumindest nicht unnötig schwer) zu machen.M@rsupil@mi schrieb:
- Registriert
- Okt. 2011
- Beiträge
- 4.240
Also auf der Website und im Forum zu OMV ist diese Abk (=Abkürzung) absolut geläufig. Ich war daher irrigerweise davon ausgegangen, daß man die in Fachkreisen versteht. 
BFF
¯\_(ツ)_/¯
- Registriert
- Okt. 2017
- Beiträge
- 30.363
Gib mal das "OMV" mal einem von z.B. Intel-Support.
Der wird eher an einen Oelkonzern denken als an das was Du ihm sagen willst.
Anyway.
Was auf den Seiten oder im Forum von OpenMediaFault verwendet wird ist nicht unbedingt das was der Rest der Welt darunter versteht ohne naehere Erklaerung.
Kleiner Spass am Rande. Lass das mal ausschreiben.
"Die HDD des NAS dreht mit 5400 RPM."
Schoene Woche.
BFF
Der wird eher an einen Oelkonzern denken als an das was Du ihm sagen willst.
Anyway.
Was auf den Seiten oder im Forum von OpenMediaFault verwendet wird ist nicht unbedingt das was der Rest der Welt darunter versteht ohne naehere Erklaerung.
Kleiner Spass am Rande. Lass das mal ausschreiben.
"Die HDD des NAS dreht mit 5400 RPM."
Schoene Woche.
BFF
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.454
Ja. Was für ein Zufall. Augenrolllord-of-fire schrieb:
Das sind doch jetzt alles nur Ausreden und Rechtfertigungen für die eigene Faulheit.lord-of-fire schrieb:Ich war daher irrigerweise davon ausgegangen, daß man die in Fachkreisen versteht.
Ist ja auch alles halb so wild, weil ja auf Nachfrage dann eine Antwort kam. Aber man muss jetzt im Nachhinein nicht versuchen Oberschlau zu tun, sondern man kann auch einfach mal zu dem was man gemacht hat stehen.
Spaßig ist das erst, wenn Du HDD durch SSD ersetzt. :-)BFF schrieb:Kleiner Spass am Rande. Lass das mal ausschreiben.
"Die HDD des NAS dreht mit 5400 RPM."
- Registriert
- Okt. 2011
- Beiträge
- 4.240
Voll toll, hab Rückmeldung vom BSI:
Die "Infektion" ist damit "nachgewiesen", daß auf eine Domain, die auch ganz anders lauten kann, zugegriffen worden sein soll, was man mit Informationen eines ungenannten "Partners" belegen möchte.
Die "Prävention" besteht darin, "solche Domains" in Sinkholes umzuleiten. Die passende Blacklist ließ man mir leider nicht zukommen. Oder soll ich etwa eine Whitelist (und somit aktive Zensur) führen?
Die Information vom BSI an meinen ISP (muß ich diese Abk erklären?) erfolgte VOR dem ersten Bekanntwerden der angeblichen Malware.
So langsam glaube ich (wieder) an einen Hoax. Oder es gibt nichtöffnetliche Informationen, die man nicht preisgeben möchte.
Die "Infektion" ist damit "nachgewiesen", daß auf eine Domain, die auch ganz anders lauten kann, zugegriffen worden sein soll, was man mit Informationen eines ungenannten "Partners" belegen möchte.
Die "Prävention" besteht darin, "solche Domains" in Sinkholes umzuleiten. Die passende Blacklist ließ man mir leider nicht zukommen. Oder soll ich etwa eine Whitelist (und somit aktive Zensur) führen?
Die Information vom BSI an meinen ISP (muß ich diese Abk erklären?) erfolgte VOR dem ersten Bekanntwerden der angeblichen Malware.
So langsam glaube ich (wieder) an einen Hoax. Oder es gibt nichtöffnetliche Informationen, die man nicht preisgeben möchte.
