unerlaubter Zugriff - Qnap komplett zurücksetzen

Hallo,
ich glaube ich hatte einen unerlaubten Zugriff auf mein Qnap.
Ich habe heute einen User nimad (Admin rückwärts geschrieben) auf dem Qnap entdeckt.

Im Systemereignisprotokoll habe ich dann folgenden Eintrag gefunden:

2015-01-18	14:14:43	nimda	176.10.99.209	---	[User Group] User group [administrators] access rights for the share folder was changed.2015-01-18	14:10:32	nimda	176.10.99.209	---	[MyCloudNAS Remote Access] MyCloudNAS Remote Access enabled.

Das der User nimda angelegt wurde, habe ich im Protokoll nicht gefunden.
Den User nimda habe ich gelöscht und Mycloud und dyndns hab ich sofort deaktiviert.

In den Systemverbindungsprotokollen habe ich nur folgendes gefunden:

9709967	Information	19.01.2015	10:38:21	Unknown	77.247.181.162	---	---	HTTP	Logout9709966	Information	19.01.2015	10:38:20	nimda	77.247.181.162	---	---	HTTP	Logout9709965	Information	19.01.2015	09:14:58	nimda	78.108.63.44	---	Administration	HTTP	Login OK9707827	Information	18.01.2015	14:22:16	Unknown	77.95.229.23	---	---	HTTP	Logout9707826	Information	18.01.2015	14:22:16	nimda	77.95.229.23	---	---	HTTP	Logout9707825	Information	18.01.2015	14:06:55	nimda	176.10.99.209	---	Administration	HTTP	Login OK

Google gibt mir bei der suche nach den IPs folgende Ergebnisse

77.247.181.162 TOR Server
78.108.63.44 TOR Server
77.95.229.23 anonymer Proxy
176.10.99.209 TOR Exit Router

Daher denke ich, das da einer böse Absichten gehabt hat

HTTP,Samba,FTP, SHH usw Zugriffe werden doch alle in den Systemverbindungsprotokollen , oder?

Und ich denke, wenn sich der Angreifer die Mühe gemacht hätte die logs zu bereinigen,
dann hätte er doch wohl auch obige Einträge gelöscht.

Lange Rede, kurzer Sinn,
da ich denke das mein System kompromittiert wurde möchte ich es komplett bereinigen und zurücksetzen.

Reicht da der Punkt "Auf Werkseinstellungen zurücksetzen" oder was muss ich tun ?

ok Danke,
da bin ich wohl Opfer des Shellshok Exploit geworden,
hab grad das NAS vom Netzwerk getrennt und mach Sicherungen und
verfahre dann , wie auf der QNap Seite beschrieben

Danke !

---Edit---

Hallo,
also irgendwie verstehe ich wohl was falsch,
ich hab folgendes gemacht:
1. alle Festplatten aus dem NAS
2. Nas aus und wiedereingeschaltet
3. neu initialisieren gewählt
4. erste Festplatte wieder reingesteckt
5. aktuellste Firmware 4.1.2 0126 eingespielt

jetzt sehe ich bei den Apps komischer weise die Aufforderung
- phpmyAdmin zu aktualisieren
- Twonky zu aktualisieren
- Rsnap
- und die Optware

Ich dachte bei Neu Initialisieren wäre alles weg,
somit auch meine Installationen. Er hat mir ja auch angezeigt, das er die Festplatte formatiert.

Also hab ich in der 4.1.2 unter Sicherung/Wiederherstellung
"NAS neu initialisieren" gewählt
aber nachdem er damit fertig war
und ich die 4.1.2 nochmal drüber gebügelt habe
hatte ich wieder das selbe Ergebnis, wie oben.

Hier also nochmals meine Frage:
Wie bekomme ich das NAS so neu initialisiert, als wäre es frisch aus der Ladentheke ?

Zitat von "Eraser-EMC2-"

Beim Initialiseren des NAS müssen die Festplatten im NAS sein,
damit alle Daten und Konfiguration gelöscht werden können.
Im Flash des NAS liegt nur die Firmware-Basis, die Anwendungen und Konfiguration liegen auf den Festplatten.
Ein aktuelles Backup deiner Daten hast du ?

Ja, die Festplatte war im NAS und Ja, backup habe ich

Zitat von "dr_mike"

Vorher musst du noch die autorun.sh im Flash löschen.

Wer mich jetzt da mal dransetzen und durcharbeiten
Vorerst Danke an Euch beide, ich werde berichten
Edit:

[/] # cat /proc/partitions
major minor  #blocks  name


  65      112     125056 sdx
  65      113       1008 sdx1
  65      114      55296 sdx2
  65      115      55296 sdx3
  65      116          1 sdx4
  65      117       5232 sdx5
  65      118       8176 sdx6
[/] # mount /dev/sdx6 /tmp/config
[/] # ls /tmp/config
BOOT_COUNT            customise.conf        smb.conf              system.map.key
board_level_test.cfg  lost+found/           smb.conf.cksum        uLinux.conf

es gibt keine autorun.sh in sdx6 ?
Des weiteren, muss ich die Partitionen aller Festplatten löschen, es reicht doch eigentlich die erster, oder ?
EDIT2:
Hab die Partitionen auf der ersten Festplatte gelöscht, nur die erste reingeschoben und gestartet,
dann über 169.254.100.100 die Schritte zur Neu initialisierung durchgeführt,
und dabei gesehen das er bei Service Starten mir wieder den Twonkymedia angezeigt hat
Mein Ziel war aber , alles auf Null zurückzustellen, und wenn er noch irgenwo den TWonky hat,
kann es ja auch sein das eventuellen Modifikationen vom ANgreifer auch noch vorhanden sind

ich starte das NAS nochmal,
ich hab momentan den Zustand, nach der Neuinitialisierung
ohne die Firmware nochmal drüber gebügelt zu haben

EDIT:
Wo sollte optware liegen, unter /share ?
Da ist kein optware ordner mehr, kann sein, das ich den in der Vergangenheit gelöscht hatte

ok, ja, verstanden
ich hab ja momentan nur eine Platte drin, und da hab ich eben
über windows die Partitionen gelöscht

aber das mit der Neuinstallation hab ich doch richtig gemacht, oder ?
- Platte raus, Partitionen gelöscht
- Platte rein
- und dann über Browser 169.254.100.100 weiter

Ich schreib jetzt nochmal die aktuelle Firmware drüber und schau in den APP nach,
vielleicht hat es ja doch was gebracht.

EDIT:
Ich hab jetzt nochmal folgendes gemacht:
- im Webinterface "Werkseinstellungen wiederherstellen & Alle Volumes formatieren gewählt", das hat einen Moment gedauert mit Neustart usw.
- danach wieder NAS aus, Platte raus, Partitionene löschen
- NAS ein und wenn die "intelligente Installationsanleitung" dazu auffordert Platte rein (hotplug)
- nach dem Formatieren sagt er mir zwar das Twonkymedia als Service gestartet wird, aber der ist wohl jetzt standardmäßig onboard (ich war noch auf dem 3.8er Kenntnisstand)
- dann die Firmware nochmal mit dem Qfinder drüberinstalliert

phpmyadmin , optware und rsnap sind nicht mehr unter meine Apps angezeigt worden

Ich hoffe das war es dann 8-)

Was mich nur gewundert hat ist, das nach dem Einspielen der Firmware,
Photostation und Musikstation sowie der Web Dienst und Rsync Dienst aktiviert waren.
Ist das normal ? Weil bei der Ersteinrichtung hatte ich zumindest Photo und Musikstation deaktiviert.

Aber nochmal ne Frage zum Verständniss:

[/] # cat /proc/partitions
major minor  #blocks  name


  65      112     125056 sdx
  65      113       1008 sdx1
  65      114      55296 sdx2
  65      115      55296 sdx3
  65      116          1 sdx4
  65      117       5232 sdx5
  65      118       8176 sdx6

das ist doch das Flash, oder ?

Wenn ein Angreifer dadrin was modifiziert, wie kann ich dass denn rückgängig machen?
Oder ist es mit "Werkseinstellungen wiederherstellen & Alle Volumes formatieren gewählt" oder "NAS neu intialisieren"
in der Systemkonfiguration getan ? Wird dadurch das Flash aktualisiert,
bzw. wird durch ein Firmwareupdate der allgemeine und durch die Rücksetzung der Werkseinstellungen der spezifische Teil des Flash zurückgesetzt ?