270 GB Daten auf NAS die nicht von mir sind

    Hallo,


    langsam werde ich wahnsinnig mit meinem NAS. Anfang der Woche hatte ich Probleme beim Fernsehen, einige Programme konnten nicht empfangen werden. Ich nutze das Tripple Play von Unitymedia. Nach einigem hin und her machte mich die Hotline, darauf aufmerksam, dass ich gerade massiv Uploade und meine Probleme daher resultieren könnten. Mein Problem ist, dass ich Nichts hochgeladen habe, bzw. wollte. Nachdem ich nun einen MAC Filter in meinem Router aktiviert habe stelle ich fest, dass meine Platte weiterhin ein Eigenleben hat, sprich sie arbeitet wenn Ich eigentlich nichts tue. Bei Nachsehen unter Verwaltung-Ressourcenmonitor stelle ich fest, dass sich unter der Position "Other" 280 GB Daten auf meinem NAS befinden, die eigentlich nicht dort sein sollten und die Netzwerkaktivität weiterhin ungewöhnlich hoch ist. Meine Vermutung ist mein NAS ist gekapert worden und dient nun als File-Server irgendwelchen illegalen Zwecken.


    Wie werde ich den Eindringling sauber los und verhindere, dass mir so Etwas wieder passiert?


    Um Fragen vorweg zu greifen:
    Ich habe ein TS 109 II und verwende den Firmwarestand 3.1. Das NAS ist direkt mit dem Dlink Router 300 verbunden und weitere Geräte über Devolo Powerlan. Ich habe Passwörter auf allen Geräten. Ich nutze das NAS nur als Datenspeicher in meinem LAN. Keine Download Services, keine Webpage, etc., nur Twonky Media und SSOTS. Auf dem NAS habe ich einen IP Bereich eingerichtet, der auch nur meinen Heimnetzwerk erfasst und auf dem Router ein MAC-Filtering eingerichtet. Eigentlich dürfte da doch keiner rein kommen, oder?


    Ich kopiere gerade MEINE Daten vom NAS auf eine USB Festplatte um dann wie im Sicherheits FAQ beschrieben, die Kiste neu aufzusetzten. Mir fehlten aber die kritischen Settings, welche ich beim Neuaufsetzen beachten muss um ein erneutes Eindringen zu verhindern. Z.B. muss ich den https Service aufsetzten, wenn ich eigentlich nur aus meinem Heimnetzwerk auf das NAS zugreife?

    Hi,


    der Fehler scheint zu sein, dass dein Router den Zugriff auf dein NAS erlaubt, was du scheinbar aber weder willst, noch brauchst.


    Hat dein Router ein Passwort für die Router-Admin-Oberfläche? Wenn nicht, sofort eins setzen. Du musst ggf. den Router checken, ev dort ein Firmwareupdate machen.


    Im Router alle Portforwardings AUSschalten. Die brauchst du scheinbar gar nicht. Wenn du von außen nicht zugreifen willst, ggf. den DynDNS-Eintrag aus dem Router (und auch aus dem NAS) entfernen.


    Check unbedingt deinen Rechner - ist der sauber, oder ist vielleicht der gekapert?


    Wenn dein Router zu ist, kann von außen eigentlich keiner an dein NAS. https brauchst du für das interne Netz nicht.


    Schalte im NAS alle Funktionen unter "Systemadministration > Sicherheit > Netzwerkzugangsschutz" AN.


    Falls dein NAS wirklich gekapert worden ist und dort illegale Daten liegen, solltest du erwägen, eine Strafanzeige zu erstatten - zur Zeit wird DEINE IP für die Loads missbraucht!!!


    Nicht, dass die Polizei oder ein Abmahnanwalt bei dir auftauchen, und du nichts beweisen kannst!!!

    Falls am Router WLAN aktiviert ist, wäre das auch eine potentielle Gefahrenstelle. Sicherheitshalber mal den Schlüssel ändern und, falls noch eine WEP-Verschlüsselung verwendet wird, auf WPA2/AES (oder wenigstens WPA/TKIP) umstellen. Am besten ist natürlich WLAN aus, wenn es nicht gebraucht wird. Du könntest z.B. einfach mal den Router vom Internetzugang abkoppeln (DSL oder Kabelmodem). Sollten die Übertragungen weitergehen, kann das nur noch über WLAN gehen (oder evtl. Bluetooth, falls dein Rechner ein Notebook ist).


    Außerdem sollte im Router die Firewall & NAT (NAT ist normalerweise Standard) aktiv sein sowie alle Portforwardings (manchmal auch versteckt unter "Virtueller Server" oder DMZ (Demilitarised Zone)). UPnP im Router sollte deaktiviert sein (es sei denn, der Router selber hat einen eingebauten Mediaserver wie die FritzBox), da es Anwendungen im internen Netz erlaubt, unkontrolliert beliebige Ports im Router zu öffnen. Normalerweise wird das nicht gebraucht, viele aktivieren es aber, da sie es mit UPnP/AV (was z.B. Twonky verwendet) in Verbindung bringen.


    Prüfe desweiteren, ob im Router die Fernwartung aktiviert ist, dann auf jeden Fall abschalten. Sollte das nicht gehen, unbedingt ein langes und kryptisches Passwort setzen. Evtl. lohnt es sich, nach einem Firmware-Update für den Router Ausschau zu halten (beim Hersteller!). Es gab vor kurzem mal einen Bericht darüber, dass es in einigen Routern eine Sicherheitslücke gibt, die eine Externanmeldung ganz ohne Passwort über ein Wartungsprotokoll erlaubt, unabhängig davon, ob eine Passwort gesetzt ist oder nicht. Die Lücke ist vermutlich bereits in einem Firmware-Update geschlossen.


    Du kannst dich per SSH auf dem NAS einloggen und per "top" und "netstat" (Optionsübersicht mit "netstat --help) rausfinden, was da genau abgeht. tracerte scheint leider nicht vorhanden zu sein, sonst könntest du rausfinden, wo die Verbindungen hingehen. netstat könnte auch am PC hilfreich sein, um herauszufinden, ob irgendwelche Verbindungen von unbekannten Programmen geöffnet sind. Insbesondere hilfreich ist unter Windows "netstat -b", dass auch die Prozessnamen anzeigt.

    Hallöle,


    ich hoffe Du hast Dein NAS noch nicht geplättet...


    In Deinem Falle ist folgendes Vorgehen die bessere Variante:
    1. Router auf der WAN-Seite (als Richtung DSL-Modem) vom Netz trennen.
    2. Auf dem Router anmelden und die aktuelle Konfiguration sichern. (Beweisssicherung)
    3. Router auf Auslieferungszustand zurücksetzen und mit den Zugangsdaten neu konfigurieren.
    4. Bevor nun der Router wieder an das Internet kommt gehts wie folgt weiter...
    5. Wenn vorhanden die "gehackte" Festplatte ausbauen und gegen eine neue/gleichartige Platte ersetzen
    (ggf. kannst Du Deine persönlichen Dateien vorab löschen) die Festplatte zusammen mit der Routerkonfiguration der
    Polizeit übergeben (Empfang quittieren lassen!) und Strafanzeige wegen Computerbetrug stellen.
    6. Nun das NAS neu konfigurieren.
    ab jetzt kannst Du wie in der SicherheitsFAQ beschrieben weiter vorgehen.


    Allerdings gebe ich zu bedenken, das bei 270Gb auf Deinem NAS schon seit längerem etwas nicht sauber war,
    und Dir das anhand sehr schlechter Performance schon längst hätte auffallen müssen...


    ich drück Dir die Daumen!
    Grüße
    Jody

    Hallo, vielen herzlichen Dank für die tolle Hilfe. Ich habe das NAS erst einmal deaktivert und meine Daten gesichert. Ferner habe ich das Firmware-Update auf meinem Router gemacht und, die Portforwardings für das NAS deaktiviert und ein neues PW gesetzt. Ich muss nun eine neue Festplatte kaufen und werde über die Weihnachtstage mal einen Hausputz machen. Sprich alles platt ,laut Euren Anleitungen neu machen und Anzeige erstatten. Ich berichte dann wie es weiter verlaufen ist, vielen Dank erst einmal.

    Da die Logs jetzt wahrscheinlich schon von deinem Router weg sind:


    Auf dem NAS könnten noch welche drauf sein - NICHT löschen. Du solltest deinen Provider kontakten, damit ggf. die IP-Adressen gespeichert werden. Nicht, dass dir hier Beweismittel flöten gehen. Ich würde jetzt am Router, Rechner und NAS nichts mehr ändern.


    Ggf. solltest du sofort Kontakt mit einem Anwalt aufnehmen, um nichts falsch zu machen. Wie gesagt: im Zweifelsfall war es deine IP!