[Malware/Virus] Qnap legt Easybox 803 lahm *Shellshock*

    Hallo zusammen,


    ich habe da ein riesiges Problem. Mein Qnap TS 212 legt die Easybox lahm.


    Fehlerbeschreibung:


    Lange und oft mit Vodafone telefoniert. Sie können keinen Fehler finden. Schicken mir nun ein Austauschgerät zu.


    Aber: Der Fehler liegt wohl wirklich nicht an der Easybox sondern am NAS.


    Sobald das Nas an der Easybox hängt, stellt die EasyBox auf sturr und läst keine Telefonanrufe mehr rein sowie raus und auch das Internet ist platt.
    Wenn ich das Nas jedoch herrausziehe komme ich sofort mit dem Telefon herraus und ich kann sofort wieder ins Netz und surfen.


    Hat von Euch jemand eine Ahnung was das nun schon wieder sein kann?


    Gruß
    Andreas

    Einmal editiert, zuletzt von flower1978 ()

    und folgendes steht in der EasyBox



    Was hat das zu bedeuten? Syn Flood
    Schaltet daher die Easybox auf sturr und blockt ab? Angriff?

    Einmal editiert, zuletzt von GorillaBD () aus folgendem Grund: CodeBlock hinzugefügt, siehe Forenregeln!

    Zitat von "flower1978"

    Was hat das zu bedeuten? Syn Flood


    Das sind Angriffe auf den router. Sieht man ja an den unterschiedlichsten IP-Adressen die da losballern :x
    Das läuft schon seit ca. 3 Wochen ....... Kann ich bei mir auch beobachten. Ich habe in der EasyBox Mailbenachrichtigung dazu eingerichtet - und werde täglich mit Alert-Benachrichtigung bombardiert.
    Vor einiger Zeit kam eine Pressemeldung, dass Vodafone router unter bestimmten Umständen angreifbar sich. Ich vermute, dass pöse Buben genau hier ihre Angriffe platzieren. Wohl mit dem Hintergedanken Opfer für ihre Bot-Netze zu finden.


    Zitat

    Schaltet daher die Easybox auf sturr und blockt ab? Angriff?


    Ist irgendetwas auf dem NAS für einen Zugriff von aussen konfiguriert? Portweiterleitung, DynDNS, ....?
    Ist im router WLAN konfiguriert und evtl. aktiv?
    Ist die 192.168.2.10 die IP von deinem Rechner, oder vom NAS?


    Gruss
    Michael

    Hallo Michael,


    danke für dein Rückmeldung bzgl. meines Problems.


    Auf dem Nas ist no-ip eingerichetet


    Zudem kann (bzw. konnte) ich von außen auf das Nas zugreifen. Habe das Nas aber jetzt vom I-Net getrennt. Zudem ist der Multimedia Server eingerichtet. Sonst?


    Ja die 192.168.2.10 ist vom Nas.


    Hatte gestern das W-Lan der Box ausgeschaltet. Vorsorglich, da dieser Zugang eh nicht benötigt wird (Na ja nach einem Jahr echt sehr spät :) ).
    Heute ist die neue Box gekommen, daher steht diese noch ohne alles da. Keine Weiterleitungen sind aktiv.
    In der alten war TCP 80, 8080, 8081, 443, 20, 21 eingerichtet und auf die 192.168.2.10 weitergeleitet.


    Und nun?


    Gruß
    Andreas


    Aber kann das auch einen Totalausfall der Box mit Telefon und Internet zur Folge haben? Klingt für mich unwahrscheinlich..... bin aber auch kein Profi....

    Router sind nicht unbedingt sehr leistungsfähig bzw. bieten zum teil nur eine begrenzte Anzahl an offnen Verbindungen
    und wenn so ein Ansturm von Anfragen stattfinden, dann geht der Router in die Knie.
    So funktioniert im größeren Stil eine DoS-Attacke auf Großserver.
    Zudem hast du Ports von Diensten in das Internet geöffnet, die im schlimmsten Fall die komplette Kontrolle auf dein NAS bieten
    und das ein Lockmittel für kleine Hacker/Script-Kiddies,
    die ua. preiswert illegale Daten austauschen oder andere schädigen wollen.

    Das heißt, wenn ich alle überflüssigen Ports schließe geht es wieder?


    Was muss ich denn ändern, damit ich das Nas wieder anschließen kann.


    Oder habe ich mir doch etwas eingefangen auf dem PC das daher das NAS spinnt und die Easybox gekillt wird?


    Welche Ports sollten denn Maximal freigegeben werden?


    Kann auch das NAS eine Schadsoftware installiert haben?

    Wahrscheinlich ist noch nichts weiter passiert als das der Router durch die Anfragen überlastet wird.
    Du solltest mal in die Log-Einträge schauen, ob sich jemand von außerhalb sich einloggen konnte.


    Hast du deines der letzten Firmwares installiert ?


    Welche Dienste möchtest du aus dem internet nutzen ?

    Das NAS ist mit einem neuartigen Schadprogramm infiziert und führt Portscans ins Internet aus.
    Laut Log alles ausgehende Verbindungen.
    Ich wette es läuft auf der NAS ein 'pnscan' - Prozess. siehe hier ---> http://forum.qnapclub.de/viewtopic.php?f=35&t=32959
    Auch interesant zu diesem Thema ist dies hier ---> http://forum.qnapclub.de/viewtopic.php?f=25&t=32953

    Zitat von "muck"

    Das läuft schon seit ca. 3 Wochen ......


    Nein, ist die englische schreibweise für 09.12.2014

    ich glaube da ist mehr passiert...


    bei mir wurde die shellshockfix 1.0.2 installiert. Was ist das, wie bekomme ich es weg.
    Werde mir daher jetzt mal diesen THread durchlesen.


    http://forum.qnapclub.de/viewtopic.php?f=25&t=32953


    Habe dann (hoffentlich) alle Dienste deaktiviert, und auch noch keine Ports freigeschaltet.


    Dann das Nas ins Netz gehangen. und?


    Schei....e. Logfile der Easybox hier:


    Code
    12/09/2014  20:00:59 192.168.2.26 login success
12/09/2014  19:51:16 SMTP> Succeed in sending alert mail.
12/09/2014  19:51:15 **SYN Flood** 218.59.238.93, 12200->> 84.61.174.241, 80 (from PPPoE1 Inbound)
12/09/2014  19:50:33 SMTP> Succeed in sending alert mail.
12/09/2014  19:50:32 192.168.2.26 login fail   
12/09/2014  19:49:46 **SYN Flood (per Min)** 192.168.2.10, 37511->> 128.192.31.65, 8080 (from PPPoE1 Outbound)
12/09/2014  17:46:07 192.168.2.26 logout


    Mal schauen was ich jetzt mache...

    Einmal editiert, zuletzt von TobiasK () aus folgendem Grund: Code Block eingefügt, siehe Forenregeln!

    So ein neuer morgen, mit einer ziemlich beschissenen Nacht...


    Und am frühen Morgen bekomme ich eine AlertMail vomn Router:


    Code
    12/10/2014  08:07:17 192.168.2.26 login success
12/10/2014  08:06:58 User from 192.168.2.26 timed out
12/10/2014  07:53:25 SMTP> Succeed in sending alert mail.
12/10/2014  07:53:25 **UDP Loop** 74.82.47.29, 50388->> 84.61.174.241, 19 (from PPPoE1 Inbound)
12/10/2014  03:06:47 NTP Date/Time updated.    
12/10/2014  03:03:31 Get system time from NTP server:82.165.36.179.


    Und das obwohl der Rechner aus war und das NAS nicht mit dem I-Net verbunden war....


    Was bedeutet das?

    Einmal editiert, zuletzt von dr_mike () aus folgendem Grund: Code Block hinzugefügt, siehe Forenregeln!

    Zitat von "flower1978"

    Was bedeutet das?


    Das dein router Ziel eines Angriffs war. In dem Fall aus USA. Es kommen aber auch welche aus China und Russland.
    Solche Alert-mails bekomme ich seit 3 Wochen täglich jede Menge.
    Ob das NAS an oder aus ist, spielt da keine Rolle.
    Primär hat das erst mal keine Bedeutung, denn ein router ist ja dafür da, solche Angriffe zu blockieren.


    Gruss
    Michael

    So nun werde ich mich wohl an die Neueinrichtung begeben.


    Was ist denn genau auf dem NAS befallen?


    Ich habe zweiexterne Backup Festplatten welche das letzte Mal (ca. 1-2 Monate) vorher gemacht wurden. Diese müssten ja eigentlich soweit ok sein, denke ich.


    Um aber die nachgeschriebenen Daten noch zu sichern hier meine Überlegung.


    Um die Backupplatten nicht zu versauen, kann ich ein weiteres Backup des Nas machen? Sind die Dateien darauf dann verseucht?


    Diese Backup Platte dann durch ein Windows Antivirusprogramm laufen lassen und überprüfen.


    Da das System im Raidd läuft, ist die zweite dann auch verseucht? Wahrscheinlich ja, denke ich, oder?


    Gibt es eine Anleitung um solch ein System wieder zu bereinigen?