[Malware/Virus] TS-219P ständig am Senden ca. 80-90kB/s

    Hat jemand auch schon solche Erfahrungen gemacht. Was könnte das sein? Eingang liegt unter 1kB/s Bereich.
    Ich habe keine offenen Verbindungen. Firmware ist die Neuste drauf. Gerade gestern aktualisiert wegen dem komischen Verhalten.
    Allerdings habe ich auf dem Router gesehen, dass ich sehr viele Anfragen von ausserhalb habe und auch DoS Attacken!?
    Ich bin bei Quickline - haben die in der letzten Zeit ein Problem mit der Sicherheit?
    Ich habe nun UPnP und alle Weiterleitungsregeln einmal gelöscht. Das Heimnetz reagiert nun wieder relativ vernünftig, aber der ständige Verkehr von ca. 85 kB/s (ca. 600kbps) auf dem NAS bleibt.


    Hänge dann mal das Internet ab und muss dann sonst wohl mal sniffen. Ich hoffe ich finde noch irgendwo einen Hub...


    Gruss rolae71

    Zitat von "rolae71"

    Allerdings habe ich auf dem Router gesehen, dass ich sehr viele Anfragen von ausserhalb habe und auch DoS Attacken!


    Da ist sowieso irgendwas los im Netz. Vor 14 Tagen begannen ständig so 5 - 10 Angriffe/Tag auf meinen router. Die meisten kommen aus Amiland.
    Mit dem NAS har das (bei mir) nichts zu tun - das ist abgeschaltet.


    Gruss
    Michael

    Ich kriege das NAS einfach nicht ruhig.
    Alle Stations und Media Server deaktiviert, keine Besserung.
    Bei mir haben die DoS Attacken einen Zusammenhang mit dem NAS. Mein Internet geht doch nicht so gut wenn das NAS am Netzwerk hängt und die DoS Attacken beginnen dann.
    Habe ich einen Virus eingefangen? Irgend etwas habe ich wohl eingefangen. Ich hatte nie zusätzlichen Apps installiert
    Ich versuche nun den Virenscanner auf dem NAS zu aktivieren, der leider noch nicht aktiv war.


    Ich bin ziemlich ratlos...

    Hallo,
    ich habe seit heute morgen das gleiche Problem und suche schon den ganzen Tag vergeblich.
    Die Nacht zuvor hat meine QNAP TS-219P+ einen ShellshockFix 1.0.2 installiert - ganz ohne mein Zutun und die Box hat neu gebootet.
    Seitdem legt die Box meinen Internetzugang lahm. Wie ich jetzt festgestellt habe, sendet sie permanent mit ca. 100 KB/s (laut Netzwerkmonitor auf der QNAP).
    Ich habe hatte zuvor Qnap 4.1.0 auf der Box - habe dann auf 4.1.1. upgedated. Nach kurzer Zeit ging es wieder los mit der dem Dauersenden.
    Ich habe auch alle Server deaktiviert, auch die Downloadstation. Das hat aber nichts gebracht.
    Ich vermute auch einen Virus.


    Gibt es einen Virenscanner für die Qnap Firmware?
    Ich vermute dass der installierte Virenscanner nicht die Firmware scant...


    Gruß rabe65

    Schade, es ist immer noch nicht gut.
    Ich stelle das NAS über Nacht ein paar Stunden ab und siehe da am morgen...war das NAS wieder am senden und mein Internet ganz lahm..


    Was zum Teufel ist das?
    Jetzt habe ich das NAS vom Netzwerk getrennt und das Antivirus läuft


    Gruss rolae71

    Meine Lust hält sich noch in Grenzen das Ganze neu aufzusetzen.
    Gibt es keine einfachere Lösung?


    Das mit dem automatischen aufspielen vom QFix konnte ich nicht beobachten aber ich glaube ich war schon auf 4.1.1 mit einem älteren Build.


    Könnte ich zwischenzeitlich (bis jemand eine einfache Lösung gefunden hat) den Verkehr vom NAS auf dem Router nach aussen blockieren? Ich brauche das nicht wirklich extern aber natürlich intern.
    Leider finde ich meinen Hub nicht mehr oder wurde von mir entsorgt um einmal den Verkehr zu sniffen.


    Gruss rolae71

    Bei mir war es eben nicht der Qfix, sondern im Log stand "ShellshockFix 1.0.2 installiert" - eine solche Datei gibt es aber von QNAP gar nicht.
    Ich vermute, das ist eine relativ neuer Virus - mein Virenscan hat keine Ergebnisse gefunden, was dann auch nicht überrascht.
    Gleichzeitig meldet aber die NAS beim Neustart, dass das RAID-Verzeichnis nicht "clean" ist. Die Datenträgerüberprüfung bricht auch
    recht schnell mit einer Fehlermeldung ab, dass die Überprüfung durch durchgeführt werden kann.
    Daher gehe ich davon aus, dass sich die Schadsoftware auf der Festplatte, die die QNAP Firmware beinhaltet, eingenistet hat.
    Somit bleibt nur Backup - Virenscan des Backup - NAS-Festplatten komplett löschen - NAS neu Aufsetzen.
    Alles andere würde eine genauere Kenntnis der Schadsoftware erfordern...

    Mir ist das selbe passiert. Am Samstag Morgen startete mein NAS einfach neu und im Log steht auch "ShellshockFix 1.0.2 installiert". Das NAS ist aber nicht nach aussen freigegeben, also kein Zugriff übers Internet möglich. Ist das wirklich ein Virus? Da überlege ich mir gleich zwei Mal, ein neues grösseres NAS zu holen, da mein jetziges sowieso mehr als voll ist. Nur möchte ich mir vorher sicher sein. Wie kommt diese Datei auf mein NAS?


    Die Qfix habe ich jedoch auch im Auge. Heisst zwar anders, würde aber von der Versionsnummer passen: 1.0.2:
    http://www.qnap.com/i/de/produ…wn/product_down.php?II=77 (Jedoch mit der aktuellsten Firmware, braucht man diese nicht zu installieren, richtig?)


    Es gibt übrigens schon mehrere Themen zum selben Problem:
    http://forum.qnapclub.de/viewtopic.php?f=25&t=32953
    http://forum.qnapclub.de/viewtopic.php?f=25&t=32967
    http://forum.qnapclub.de/viewtopic.php?f=35&t=32959


    Ich denke das wäre doch mehr als Zufall, dass gleich soviele am selben Tag davon betroffen sind. Ich muss gestehen, dass mein NAS noch auf 3.8 lief. Ich Update nur wenn ich Probleme habe oder Funktionen vermisse. Das NAS läuft auch nur übers Netzwerk und ist nich über Internet erreichbar. Deshalb verstehe ich auch nicht, falls es ein Virus sein sollte, wie dass gehen sollte. Das NAS hat sich die Datei ja selbst "besorgt" und installiert.
    Auf welcher Firmware-Version seit ihr? Ich auf 4.1.1 build 1101.

    3 Mal editiert, zuletzt von player83 ()

    Zitat von "player83"

    Das NAS ist aber nicht nach aussen freigegeben,


    Bist Du Dir da ganz sicher??
    UPNP auf NAS und Router deaktiviert?

    Photo- und Videostation. Dann noch Twonky 7 und Google Drive. Und testweise alles deaktiviert.


    Upnp war auf dem Router bis gestern aktiv. Habe den Router noch nicht lange und habe den Punkt übersehen. Auf dem Nas ist es jedoch inaktiv. Aber Twonky war aktiv... ist ja DLNA.

    Ausschlaggebend ist, ob zum Zeitpunkt der Attacke vom Internet her auch nur ein einziges Webinterface mit php/cgi Script zugängig war.

    Phu keine Ahnung. So genau kenne ich mich nicht aus. Was könnte das z.B. sein?