Download Station - Wie mir eine App ganz dolle Bauchweh bereitete...

[PROLOG]

"Sie können Die Wahrheit doch gar nicht vertragen!" lautet ein Zitat aus einem meiner Lieblingsfilme.

Bezogen auf auf das Logging von blockierten Verbindungen einer Firewall am Internet weiß ich längst, dass das zutrifft... das will man nicht alles sehen, das macht Angst.

Noch mehr Angst macht mir gerade, dass das Zitat aus dem Film aus einer Szene ist, in dem es ebenfalls um das Schützen von Grenzen geht. Gruselige Parallele.

[GRENZVERTEIDIGUNG - EINE GUTE SCHLECHTE NACHT GESCHICHTE]
Vor ein paar Tagen habe ich mir mal die Download Station aus dem Appcenter installiert. Ich wollte damit kurz mal was ausprobieren, habe aber sehr schnell festgestellt, dass die App für diesen Zweck nichts taugt.

Deinstalliert habe ich sie erstmal aber noch nicht, vielleicht fällt mir ja doch noch was ein... Naja ist es nicht, aber ich habe auch nicht weiter darüber nachgedacht.

Heute Vormittag habe ich testweise mal ein oder zwei Backup-Jobs in HBS3 angelegt, ich wollte nur mal schnell etwas zu einem Thema im Forum prüfen. Nebenbei war die GUI meiner OPNsense (Firewall) im Browser geöffnet, hier habe ich etwas wegen einem Thema in einem anderen Forum nachgeschaut (keine Ahnung warum ich immer so viele Sachen nebenbei und auf einmal mache, aber das rechtfertigt meine Verwirrung, die ich manchmal an den Tag lege ). Hier werden mir auf dem Dashboard die letzten Einträge meines Firewall-Logs angezeigt.

Plötzlich, brandaktuell, erscheint ein neuer Eintrag: Eine ausgehende Verbindung meines QNAP NAS wird blockiert.

Wo will das nur hin, und warum wird das geblockt?

Ein Blick ins Livelog liess mein Herz in die Hose rutschen: Ausgehende Verbindung vom NAS durch das Firehol Level 2 Regelwerk blockiert!

Firehol Level 2 ist eine Blockliste von IPs, die niemals zu mir sprechen dürfen und zu der auch niemals ein Gerät von mir sprechen darf. Kurz: Das sind alles bösartige IPs die für Angriffe oder auch Malware/ Phishing berüchtigt sind!

Ohje, was ist da nur los? Du kannst Dir doch nichts eingefangen haben?!

Erste Maßnahme: Prüfen, ob ich was zu der blockierten Ziel-IP herausfinde.

Huch... das ist nicht der erste Vorfall, da stehen ja noch mehr solcher Ereignisse?!

Die erste IP liefert mir nichts Brauchbares, hinter der zweiten IP verbirgt sich "Tencent", ein Cloudprovider aus Fernost.

Moment! Das ist doch....

Genau! Ein mögliches Cloud-Ziel in HBS3. Also ist die Sache klar... naja fast. Warum auch immer hat das NAS versucht eine Verbindung dorthin aufzubauen, als ich soeben mit HBS3 gespielt habe. Dass es etwas komisch erscheint, dass ein Cloud-Anbieter der in HBS3 aufgeführt wird, in Firehol Level 2 gelistet ist, habe ich nicht weiter verfolgt, schließlich kann so ein Anbieter nicht zwingend etwas für das Blacklisting und außerdem muss ich auf Arbeit auch noch was schaffen.

Es ist nun später am Abend und ich widme mich nochmal meiner Firewall. Es ist zwar erst einige Minuten her, aber ich weiß gar nicht was ich dort eigentlich wollte.

Was auch immer es war, es wurde von einem Eintrag über eine blockierte Verbindung des NAS überschattet. Schon wieder rutschte mir das Herz in die Hose. HBS habe ich gar nicht angefasst, das kann also doch nicht der "Übeltäter" sein.

Nochmal das Livelog der Firewall geöffnet, hier werden per Default 25 Einträge angezeigt. Alles voll davon!

Auf 500 Einträge hochgestellt... alles voll mit dem Dreck (gefiltert auf beide IP des NAS)!

Komm, gib ihm 5000 Einträge! Das zu laden dauert etwas, in der Zwischenzeit gehe ich lieber mal p*****, bevor ich gleich Panik bekomme und es schief geht.

Die ganze ellenlange Seite voll mit dem Schmutz!

Dämlicher Penner! Machst hier den großen Max mit Sicherheit und so und dann verschlampst Du das Ding so fahrlässig! WAS IST HIER LOS?

pasted-from-clipboard.png

Nochmal die blockierten Ziel-IPs gecheckt: Alles aus Fernost. Da kommt zwar tolle Technik her, aber auch tolle Hacker. Der Kontrast zwischen "Mag ich" und "Geh mir weg mit dem Dreck" kann kaum größer sein.

Die eine IP aus Frankreich dazwischen beruhigt mich kein Bisschen. Kennt ihr das Gefühl, wenn es in der Bauchgegend plötzlich heiss, oder kalt, oder irgendwie beides auf einmal wird? Wenn die Stirn auf einmal feucht ist, obwohl sie sich eiskalt anfühlt?

Nächster Step: Isolation.

Sicher? Prüfe doch erstmal noch am NAS, ob es was Auffälliges gibt... raus geht ja nichts... jedenfalls nicht solange die Ziel-IP auf einer der Blocklisten steht... Aber seit wann das ist, prüfst Du vorher noch!

Nach kurzer Recherche fand ich heraus, dass es vorgestern um 09:37 begonnen hat.

Scheiße, da habe ich überhaupt nichts gemacht! (Boah wie ich das nicht hören kann!!! Naja Verzweiflung halt, ab sofort habe ich Verständnis dafür.)

Also... nichtsverzeihendes Log des QNAP... was war da wirklich los???

pasted-from-clipboard.png

Guck an. Tiermutter hat gespielt!

Tatsächlich hat das Spiel aber nur sehr kurz angehalten und unmittelbar nach der Installation begonnen: Ich habe zwei kleine XML-Dateien vom QNAP Download-Server heruntergeladen, um spätestens 08:15 muss das Spiel vorbei gewesen sein... danach scheint die Download Station "ein Eigenleben" entwickelt zu haben. Warum es ausgerechnet "hochrangig" blockierte IPs sein müssen, mit der die App spricht weiß ich ebenso wenig, wie ob die App auch noch zu anderen, "guten", IPs spricht. Das habe ich nicht nachverfolgt, denn ich habe die App unverzüglich deinstalliert.

Nicht etwa, weil ich noch Angst habe, ein wenig Verwunderung bleibt aber durchaus bestehen, sondern weil ich meine Firewall einfach nicht mit diesem "Dreck" belästigen will.

[EPILOG]
Unglaublich, was diese App da macht und mich in Angst und Schrecken versetzt. Ich muss und will es auch gar nicht weiter kommentieren, es ist recht spät für mich und ich müsste schon im Bett liegen.

Obwohl... ich habe echt keinen Bock auf Alpträume... Hopfen soll gut für´s Schlafen sein, bei meiner Statur dürften 3-4 Dosen für den Anfang ausreichen. Cheers!