TS-439 Pro II+ versendet SPAM Mails

    Hallo alle zusammen,


    nachdem ich das Forum durchforstet habe und nichts Passendes finden konnte, habe ich diesen Beitrag eröffnet.


    Das Setup:


    System: TS-439 Pro II+ / 4 x 2TB R5
    Router: Fritz!Box 6360 Cable UM
    DYNDNS-Anbieter: selfhost.de
    Portweiterleitung: Port 80 und Port 21


    Es sind alle unnötigen Dienste deaktiviert. Lediglich Der Webserver, MySQL, FTP, TwonkyMedia und das eigene interne Antivirus laufen.
    Es sind lediglich 2 Benutzer neben dem Admin eingerichtet (komplexe Passwörter).


    Die Systembenachrichtigungen sind ebenfalls eingerichtet. Es wird ein Mailaccount meines Providers benutzt (ist gleichzeitig ein Freund), allerdings auf meiner Domain (futurestream.de).


    Was ist passiert?


    Vorgestern rief mich mein Provider an und nach Ableich meiner IP stellte sich heraus, daß mein Server Unmengen an SPAM-Mails über den unter Systembenachrichtigung eingestellten Mailaccount versendet.


    Was habe ich seither getan?


    Ich habe den Webserver deaktiviert und mein komplettes Hilfeweb (nach Sicherung) aus dem Web-Ordner des NAS gelöscht. Der Ordner war leer. Sicherheitshalber habe ich per Telnet draufgeschaut und mit etwas Hilfe von meinem Linux-Spezi alle uns bekannten, relevanten Bereiche manuell abgesucht, wo sich diverse Schädlinge aufhalten könnten. Gefunden haben wir nichts.


    Ich habe daraufhin einen kompletten Virenscan mit dem eingebauten (aktualisierten) Virenscanner durchgeführt, der allerdings nur zu 2 Fundergebnissen in rar-Archiven kam. Die Archive wurden gelöscht. Der Netzwerk-Papierkorb ist danach ebenfalls geleert worden. Gleiches habe ich mit meinem Arbeitsrechner getan, um ganz sicher zu gehen - allerdings komplett ohne Funde oder Verdachtsmomente. Auch die Sichtung der Systemprotokolle ergab nichts Beunruhigendes...


    Endergebnis:


    Der Webserver war während der gesamten Scanzeit deaktiviert, der Ordner Web leer. Es gab auch keine weiteren SPAM-Mails. Gestern früh habe ich den Webserver wieder aktiviert, allerdings kein Web eingerichtet (Ordner leer). Es ist erstmal nichts passiert. Heute Morgen schaue ich in meinen Web-Ordner und es waren annähernd ein Dutzend Dateien darin, die ich sofort gelöscht habe. Auch hat der SPAM-Versand wieder begonnen. Ich habe den Webserver vorerst wieder deaktiviert und nun ist Ruhe.


    Trotzdem bin ich komplett ratlos. Ich lebe in der Hoffnung, daß sich hier jemand findet, der mir ein wenig mehr Rat geben kann, was ich noch tun kann. Ich bin ziemlich verwirrt, daß die SPAM-Mails mit dem Mailaccount des Systems rausgehen und nicht mit irgendwas anderem. Auch verstehe ich nicht so ganz, wieso ausgerechnet der Webserver (Apache?) Auslöser dieses Vorganges ist. Es laufen laut Prozess-Übersicht auch keine ungewöhnlichen Prozesse, was die Verwirrung nur nochmehr steigert...


    Einfach das System zu löschen ist sicherlich nicht der Weisheit letzter Schluss, denn ohne Wissen über die Ursache des Problems ist die Wahrscheinlichkeit meiner Meinung nach hoch, daß es wieder auftritt. Ich bitte um Rat!


    LG, Marco

    Hallo Marco,


    ich empfehle Dir zunächst alle Portweiterleitungen auf dem Router zu deaktivieren!
    Ferner solltest Du Dir die Konfig Deines Routers mal genau ansehen, und dort auf jeden Fall die Option der Fernkonfiguration deaktivieren, auch ein Passwortwechsel auf dem Router kann nicht schaden.
    Anschließend solltest Du eine Sicherung Deines NAS machen und wie hier beschrieben verfahren.


    Wenn alles wieder hergestellt ist, solltest Du Dir Gedanken zu Deinem Netzwerkaufbau machen und ggf. über die Einrichtung einer DMZ nachdenken, wenn DU weiterhin einen Webserver betreiben möchtest.


    Grüße
    Jody

    Hallo Jody!


    Erst einmal vielen Dank für Deine schnelle und konstruktive Antwort.


    DMZ wird von meiner Fritzbox leider nicht unterstützt. Lediglich "Exposed Host..." ist vorhanden, was die Firewall komplett deaktivieren würde. Eine andere technische Routerlösung ist vom Internet-/Telefonprovider (Unitymedia) nicht gestattet. Daher müsste ich mit dem klarkommen, was ich habe.


    Port 80 leite ich auf das NAS weiter, da der Webserver eigentlich eine Reihe von Webseiten beherbergen sollte.
    Port 21 ist weitergeleitet, da ich aus Kostengründen weniger Webspace bei meinem Webspace-Provider habe und Archive mit z.B. Bildern von Treffen dorthin verlinke. Theoretisch würde ich ja auch gerne das Galerie-QPKG nutzen, was aber wieder den Webserver voraussetzt.


    Selbstverständlich hast Du absolut recht, daß ich das Ding einmal komplett plattmachen muß, um es sauber neu einzurichten, aber was schützt mich vor dem erneuten Auftreten des Problems? Da rätsel ich gerade herum. Ich bin gerade schon fleißig dabei, alle Daten des NAS auf andere Geräte zu sichern, allerdings dauert der Vorgang natürlich elendig lange. ;)


    Was ich meine ist, daß P80 und P21 eigentlich relativ sicher sein sollten, wie bei den offiziellen Webprovidern üblich, denn so ziemlich jede Webseite läuft doch über Port 80 und so ziemlich jeder FTP auf 21... Was ich nicht verstehe ist die Tatsache, daß das NAS so offensichtlich kompromittiert werden konnte, obwohl ausschließlich diese Port darauf weitergeleitet sind und wieso das NAS kurz nach der Aktivierung des Webserver-Dienstes anfängt, mit der INTERNEN Mailaddy für Systembenachrichtigungen Spam zu versenden...


    Die Fernwartung schalte ich grundsätzlich auf allen Geräten ab.
    Ich möchte nicht, daß irgendwer auf meinen Geräten herumpfuscht. Ebenso den UPnP-Mist. ;)


    GLG, Marco

    Hallo Marco,


    es ist relativ einfach, herauszufinden, was für ein Gerät sich hinter einem Port versteckt. Wenn dann noch etwas kriminelle Energie mit Fachwissen und Programmierkenntnissen zusammen kommt.....


    Ein paar Ideen, die Deinem Sicherheitsanspruch entgegen kommen könnte hätte ich, ist jedoch leider auch mit Kosten verbunden:


    1. besorge Dir ein zusätzliches NAS welches Du als Webserver einrichten kannst. Dieses kannst Du dann (ggf. hinter einem zusätzlichen
    Router ) als exposed Host an Deine Fritzbox klemmen. Auf diesem Teil sollten dann aber nur Daten liegen die keinen Wert haben oder jederzeit
    wiederhergestellt werden können. Konfiguriere dann die Sicherheit entsprechend und deaktiviere alles was Du nicht brauchst.


    2. Leiste Dir ordentlichen Webspace und überlass den Ärger Deinem Provider! Die schlagen sich damit schon seit eh und je rum,
    und müssen auch die Backups vorhalten ;)


    3. basierend auf 1.
    Richte einen Exposed Host auf der Fritzbox ein, und nimm statt des NAS einen weiteren Router (die gibts ja schon für recht kleines Geld,
    ggf. kauf dir was beim MM teste und tausch es solange um, bist Du einen gefunden hast, der Portweiterleitung und zusätzliches Routing unterstützt!
    bei denen brauchst Du nicht mal einen Grund angeben, warum Du unzufrieden bist :mrgreen: ) Richte diesen Router so ein, dass er nur noch Port 80 weiterleitet.
    Binde nun den zweiten LAN-Port des NAS an diesen Router. (damit alles funktioniert, musst Du ggf. etwas am Routing "Stichwort Statische Routen" drehen...)
    Die erste Schnittstelle des NAS bleibt in Deinem internen Netz. Wichtig ist noch, dass beide LAN.Ports unterschiedliche Adressen (IPs) aus unterschiedlichen Netzen bekommen! (z.B.: LAN1 192.168.178.100/24 und LAN2 11.11.11.111/24) Das sorgt zum einen für gute Lesbarkeit der LOGs und hilft Dir die Zugriffsbeschränkungen auf das NAS einfacher zu konfigurieren.


    Die Berechtigungen für den Bereich Qweb sollten restriktiv auf nur lesen gesetzt werden, dann wird es sehr schwierig Code einzuschleusen!


    Grüße Jody

    Ich frage mich bei der Sache aber, wie so ein Spamkacker überhaupt! was auf das NAS bringen kann. Ein offener Port 80 kann es ja wohl alleine nicht sein.
    Wenn sich einer durch den router mogelt, oder per ssh auf das NAS zugreifen kann, dann doch nur mit gültigem Passwort.
    Oder geht das auch ohne :shock: :shock:


    Und ein hackfestes Passwort sollte man schon haben. "admin" ist nicht so prickelnd :mrgreen:


    Gruss
    Michael

    Hey Jody und Muck,


    erstmal vielen lieben Dank nochmal an Dich für Deine Mühe. So in der Art habe ich auch schon gegrübelt, aber ich hatte nicht daran gedacht, die beiden Eth-Ports des NAS getrennt zu betreiben... Super Idee - und einen halbwegs anständigen Router zum Dahinterschalten hätte ich auch noch... Rund 6 TB Webspace wären mir aber nun wirklich beim Provider zu teuer... :)


    Sobald ich mit der DaSi fertig bin, mache ich mich mal an den Umbau. Das Killen der Platten und die Neueinrichtung werden sicherlich auch einige Zeit in Anspruch nehmen. :)


    Lieber Muck. Ich verstehe Deine Gedanken durchaus, aber ich versichere Dir, daß Telnet, SSH, etc. im NAS definitiv deaktiviert sind und die entsprechenden Ports nicht geroutet werden. UPnP ist sowohl in beiden NAS, als auch im Router deaktiviert. Ebenso die Fernwartung der Fritz-Mistbox, auf die ich danke UM leider angewiesen bin, da sonst die Telefonanlage nicht mehr funktionieren würde und ich mit dem Standard-MoDem auch nicht zu DOCSIS3 kommen würde... ;)


    Aber gerade das ist es ja, was mich "verzweifeln" lässt. Der Web-Ordner ist mit "nur lesen" versehen. Ich habe schon eine Sicherheitslücke irgendwo im NAS selbst vermutet... Auszuschließen wäre es ja rein theoretisch nicht... In den Freigabe des "Routers" sind jedenfalls lediglich Port 80 und 21 weitergeleitet. Es sind derzeit keine "Exposed Hosts" eingerichtet, also müsste theoretisch die FW ansonsten geschlossen sein...


    *schmunzel* Das Admin-PW wäre mit "admin" wirklich etwas einfach gehalten, aber ich habe eine andere Zeichenfolge >8 Zeichen, 2 Sonderzeichen und 3 nicht aufeinanderfolgende Zahlen drin...


    LG, Marco

    Zitat von "muck"

    Ich frage mich bei der Sache aber, wie so ein Spamkacker überhaupt! was auf das NAS bringen kann.


    Vorsichtig ausgedrückt gibt es beim HTTP auch den "Put"-Befehl....


    Zitat von "muck"

    Ein offener Port 80 kann es ja wohl alleine nicht sein.


    Wie ich schon schrieb,

    Zitat von "jody"

    ...wenn... etwas kriminelle Energie mit Fachwissen und Programmierkenntnissen zusammen kommt.....


    Zitat von "muck"

    Wenn sich einer durch den router mogelt, oder per ssh auf das NAS zugreifen kann, dann doch nur mit gültigem Passwort.
    Oder geht das auch ohne :shock: :shock:

    Du glaubst gar nicht was alles geht mit "ohne Passwort"


    Zitat von "muck"

    Und ein hackfestes Passwort sollte man schon haben. "admin" ist nicht so prickelnd :mrgreen:


    Also da kommen doch nur die wenigsten drauf...
    Gott, Schatzi, Hasi, Meister und dergleichen, die sind wirklich sicher *LOL


    Gruß
    Jody


    PS.: Hier gibts sichere Passwörter gratis....

    Zitat von "jody"

    Du glaubst gar nicht was alles geht mit "ohne Passwort"


    Nun ja, lokal kein Problem, aber online .... auf einem Linux-System ..... :-/
    Ich hab auch zeitweise heftige Hackversuche auf meinem router (der meldet mir das immer brav)
    Auch auf dem NAS versuchen sich ab und an mal Chinesen oder Russen :cursing:
    Aber denen vergeht doch schnell die Lust bzw. denen wird der Hahn abgedreht. Schon ulkig mit welchen Passwörtern die versuchen reinzukommen :mrgreen:


    Gruss
    Michael

    Zitat von "GreyAngel"


    Ich habe daraufhin einen kompletten Virenscan mit dem eingebauten (aktualisierten) Virenscanner durchgeführt, der allerdings nur zu 2 Fundergebnissen in rar-Archiven kam.


    Infizierte Archive - toll :!:
    Sind die Dateien noch auf deinem Rechner oder einem backup vorhanden? Wenn ja, mal mit dem Scanner drauf los und herausfinden welche Malware da drin steckt.
    Was für ein Betriebssystem hast du?
    [Verschwörungstheorie an:
    - Dein Rechner ist infiziert und nutzt dein Netzwerk
    - Der Webserver ist kompromittiert
    Verschwörungstheorie aus]
    Nur so als Denkpunkt. Nicht das das nach neu aufsetzen evtl. gleich wieder losgeht.


    Gruss
    Michael

    Hast du auch schon mal die Log-Datei vom Apache Web-Server angesehen,
    evtl. sind dort verdächtige aufrufe zu finden.
    Manche versuchen den Proxy-Befehl des Apaches anzusprechen, der eigentlich bei den QNAPs deaktiviert ist.

    Zitat von "Eraser-EMC2-"

    Hast du auch schon mal die Log-Datei vom Apache Web-Server angesehen,


    Das ist meines Wissens wenig hilfreich, da das Loggen seit der FW 3.6.0 seitens QNAP deaktiviert wurde. :cursing:
    Gleichzeitig wurde damit der Restart des Apache über Cron (nachts 4.30Uhr) abgeschafft.
    Allerdings kann man das wieder aktivieren wenn man in der /etc/config/uLinux.conf unter dem Punkt [QWEB] folgenden Eintrag macht...

    Code
    [QWEB]
Enable = 1
Port = 80
.
.
.
.
CustomLog = TRUE <------


    ...und in der apache.conf das Logging nach seinen Bedürfnissen einrichtet. Ohne die Änderung in der uLinux.conf werden die Änderungen in apache.conf nach einem Neustart wieder überschrieben.

    Zitat von "GreyAngel"

    Ich habe daraufhin einen kompletten Virenscan mit dem eingebauten (aktualisierten) Virenscanner durchgeführt, der allerdings nur zu 2 Fundergebnissen in rar-Archiven kam. Die Archive wurden gelöscht.


    Hallo Michael,


    ich danke natürlich auch Dir dafür, daß Du mitgedacht hast - aber das ist eine Standard-Prozedur, bei der ich keinerlei Kompromisse eingehe.


    Selbstverständlich wurden die betreffenden Archive auch auf dem Backup- und Hauptsystem gelöscht und mein Rechner hat mittlerweile den 3. Antiviren-/Malware-Scan (mit verschiedenen Programmen) bestanden. :)


    Den Tip von dr_mike werde ich umgehend nach der Neueinrichtung der Vollständigkeit halber umzusetzen versuchen.
    Ernsthaft: Diese Logs habe ich schon vermisst. :) Jetzt weiß ich auch warum... *tränenlach* Vielen herzlichen Dank dafür (ehrlich gemeint)! :)


    GLG, Marco

    Zitat von "GreyAngel"

    Diese Logs habe ich schon vermisst.


    Ja, ich hatte mich auch gewundert, dass meine access.log urplötzlich leer blieb. Konnte eigentlich nicht dran glauben, dass die Chinesen plötzlich aufhörten IP Adressen abzugrasen. Ich nutze dieses Log dafür, meine Access Block Liste zu erstellen. Da dies ja leider nicht automatisch passiert wie zB. bei mehreren Fehl-Logins auf dem FTP Port.

    Ich möchte ja nicht ketzerisch sein...
    Bei mir ist der Router zum Internet "dicht": kein Portforwarding!
    Und ein NAS ist ein NAS ist ein NAS!
    Wer einen Webserver möchte, sollte einen Webserver benutzen!
    Für den Haus und Hofbetrieb ist das ja alles gut und schön, aber wer ohne Kettenhemd in ein Haifischbecken springt
    muss sich nicht wundern......


    Grüße
    Jody

    Hi,


    ich gebe Jody da völlig Recht. Ich gehe da noch einen Schritt weiter und behaupte, dass der QNAP-Apache, mit dem rudimentären PHP, gerade zum testen von Websites genügt.
    Wenn man denn unbedingt Seiten auf einer TS hosten muss, sollte man zum IPKG-Apache greifen, da werden zeitnah Updates zur Verfügung gestellt und man muss kein FW-Update machen, es gibt Logs und PHP in einer umfangreicheren Version.
    Bitte versteht das nicht falsch, aus Schaden wird man klug, aber die Idee meine TS als öffentlichen Websever zu betreiben, wäre mir nicht gekommen.


    Interessant ist das hier aber allemal.
    Kannst du bitte mal die Namen und den Inhalt der Dateien unter dem Apache-root posten oder an ein Post anhängen.

    Hallo Ihr Hübschen...


    Ich wollte eigentlich nur Rat zu einer Sicherheitsfrage haben und keine Diskussion über das Für und Wider von NAS-Webservern starten...


    Ihr habt selbstverständlich recht, daß der Leistungsumfang der NAS-Devices begrenzt ist. Und Ihr habt sicherlich auch recht mit der Aussage, daß irgendwas mit der Sicherheit nicht stimmt. Aber über das Für und Wider gibt es ebensoviele verschiedene Meinungen wie über "Windows oder Linux?" oder "Was war zuerst da - die Henne oder das Ei?"... Das läßt sich ja nun so nicht ohne heftige Diskussionen klären...


    Bitte nicht falsch verstehen - für die bisherige Hilfe und die die Denkanstöße bin ich wirklich sehr dankbar! Allerdings stehe ich Letzten Endes alleine vor dem Problem, da außer mir niemand hier vor Ort ist... Ich mache was ich kann, um konstruktiv mitzuwirken, denn das Problem betrifft sicher auch sehr viele andere Benutzer dieser Geräte.


    Der Leistungsumfang reichte bislang für das, was darauf laufen sollte vollkommen aus.


    Den Wunsch von frosch2 erfülle ich gerne, wenn ich wieder regluären Zugriff auf die Geräte habe. Momentan habe ich sie in ein völlig geschlossenes Mininetz gehängt, wo sie auf externe HDD's Datensicherung betreiben (1 Switch, 1 Mini-PC)... Dieser Vorgang ist bedauerlicherweise enorm zeitaufwendig. Es sind über 8000 komplette Webprojekte (Sicherungen) und etliche hunderttausend Bilder (Sicherungen), u.v.m. darauf gespeichert. Aus einer gewissen Erfahrungs-Paranoia heraus mache ich den Vorgang doppelt (auf verschiedene externe Geräte).


    Fakt ist schlichtweg, daß QNAP die Geräte (im kleinen Umfang) für exakt diesen Zweck geschaffen und konfektioniert hat. Die bloße Umleitung von Port 80 und 21 kann nicht alleine für das entstandene Problem verantwortlich sein. Ergo muß irgendwo eine andere Sicherheitslücke vorhanden sein, die es zu schließen gilt.


    Um zum Kernthema zurück zu kommen:


    Wie kann es sein, daß die Zugangsdaten für einen Mailaccount, der in der Administration unter "Systembenachrichtigungen" eingetragen ist, für SPAM mißbraucht werden und die Aktivierung bzw. Deaktivierung des Webserver-Dienstes dieses Problem ein- und ausschaltet? Wo ist das der Haken bzw. das Sicherheitsloch?


    Ganz lieben Gruß, Marco

    Zitat von "GreyAngel"


    Fakt ist schlichtweg, daß QNAP die Geräte (im kleinen Umfang) für exakt diesen Zweck geschaffen und konfektioniert hat. Die bloße Umleitung von Port 80 und 21 kann nicht alleine für das entstandene Problem verantwortlich sein


    Sehe ich auch so. Wäre hier ein Loch, wären wohl tausende von NASen betroffen.

    Zitat

    Wie kann es sein, daß die Zugangsdaten für einen Mailaccount, der in der Administration unter "Systembenachrichtigungen" eingetragen ist, für SPAM mißbraucht werden und die Aktivierung bzw. Deaktivierung des Webserver-Dienstes dieses Problem ein- und ausschaltet? Wo ist das der Haken bzw. das Sicherheitsloch?


    Das wird dir hier niemand sagen können - wahrscheinlich auch QNAP selbst nicht. Wäre da was bekannt - würde es geschlossen.
    Zudem wir (ich zumindest) hier auch das erste Mal von solch einer Infektion hören.


    Aber du bist auch auf eine Frage von mir nicht eingegangen. Welches Betriebssystem hast du?
    Dein Rechner "könnte"? das "Sicherheitsloch" sein. Rechner ist infiziert - du erstellst Webprojekte - selbige werden manipuliert - a la "such nach verfügbaren Versenderadressen - findet was im NAS - .....
    Wilde Spekulation, aber ich kenne Verseuchung ganzer Netzwerke durch einen einzigen Rechner.


    Gruss
    Michael

    Zitat von "GreyAngel"

    ...und mein Rechner hat mittlerweile den 3. Antiviren-/Malware-Scan (mit verschiedenen Programmen) bestanden. :)


    Doch doch - zum Teil bin ich schon auf die Frage eingegangen... Das OS ist Win7 Ultimate x64.


    Ich verstehe, was Du andeuten möchtest - allerdings habe ich in die Richtung auch schon gedacht und von dem Projekt, welches in der "Root" des Webservers lief schon den simplen Code genauestens durchgesehen - leider ohne Fund. Ich würde Jubelschreie von mir geben, wenn ich da den Fehler gefunden hätte. ;)


    Meine Projekte teste ich allerdings immer erst auf dem kleinen TS-219P, welcher nicht im INet verfügbar ist (keinerlei Weiterleitungen).


    LG, Marco

    Auf das Für und Wider, vom Verfügbar machen einzelner Dienste des NAS oder anderer Rechner ins Internet möchte ich hier auch nur soweit eingehen, als sich nicht jeder für experimentelle oder kleinere produktive Projekte einen professionellen Web-, File-, FTP- oder sonstigen Server leisten kann oder will.


    Mich würde in diesem Fall mal die Art und Weise der Spammails interessieren. Kurz, welchen Inhalt hatten diese Mails. Der Provider bezeichnet normalerweise alles als Spam, was von einem einzigen Account massenhaft mit gleichem oder ähnlichem Inhalt kommt. Somit wäre es in meinen Augen auch möglich, das das NAS massenweise Warnungen gesendet hat, zB. weil sich ein oder mehrere Dienst/e neu gestartet haben. Und dass das vorkommen kann ist nunmal keine Seltenheit, wie hier einige Themen mit dem Inhalt 'xxxx relaunch' zeigen.

    Zitat von "GreyAngel"


    Wen die Dinger täten was sie versprechen ..... gäbe es keine bots mit ihren hunderttausenden von gekaperten Rechnern mehr.


    Gruss
    Michael