Hallo,
ich glaube ich hatte einen unerlaubten Zugriff auf mein Qnap.
Ich habe heute einen User nimad (Admin rückwärts geschrieben) auf dem Qnap entdeckt.
Im Systemereignisprotokoll habe ich dann folgenden Eintrag gefunden:
2015-01-18 14:14:43 nimda 176.10.99.209 --- [User Group] User group [administrators] access rights for the share folder was changed.2015-01-18 14:10:32 nimda 176.10.99.209 --- [MyCloudNAS Remote Access] MyCloudNAS Remote Access enabled.
Das der User nimda angelegt wurde, habe ich im Protokoll nicht gefunden.
Den User nimda habe ich gelöscht und Mycloud und dyndns hab ich sofort deaktiviert.
In den Systemverbindungsprotokollen habe ich nur folgendes gefunden:
9709967 Information 19.01.2015 10:38:21 Unknown 77.247.181.162 --- --- HTTP Logout9709966 Information 19.01.2015 10:38:20 nimda 77.247.181.162 --- --- HTTP Logout9709965 Information 19.01.2015 09:14:58 nimda 78.108.63.44 --- Administration HTTP Login OK9707827 Information 18.01.2015 14:22:16 Unknown 77.95.229.23 --- --- HTTP Logout9707826 Information 18.01.2015 14:22:16 nimda 77.95.229.23 --- --- HTTP Logout9707825 Information 18.01.2015 14:06:55 nimda 176.10.99.209 --- Administration HTTP Login OK
Google gibt mir bei der suche nach den IPs folgende Ergebnisse
77.247.181.162 TOR Server
78.108.63.44 TOR Server
77.95.229.23 anonymer Proxy
176.10.99.209 TOR Exit Router
Daher denke ich, das da einer böse Absichten gehabt hat
HTTP,Samba,FTP, SHH usw Zugriffe werden doch alle in den Systemverbindungsprotokollen , oder?
Und ich denke, wenn sich der Angreifer die Mühe gemacht hätte die logs zu bereinigen,
dann hätte er doch wohl auch obige Einträge gelöscht.
Lange Rede, kurzer Sinn,
da ich denke das mein System kompromittiert wurde möchte ich es komplett bereinigen und zurücksetzen.
Reicht da der Punkt "Auf Werkseinstellungen zurücksetzen" oder was muss ich tun ?