TS-251 FW4.1.2 funkt zur Ukraine?

    Hallo Zusammen,


    grundsätzlich bin ich zufrieden mit meiner "neuen" Errungenschaft aber seit ein paar Tagen plagt mich ein besonderes Vorkommnis:


    Ich betreibe bei mir eine Sophos UTM9.2 Home-Lösung u.a. auch um zu protokollieren, was denn so den ganzen Tag "rein und raus" geht.


    Letzten Montag habe ich eine neue Festplatte eingebaut und nutze nun das SSD-Caching. Ich musste alle Einstellungen erneut vornehmen (bzw. ich habe ein Werksreset gemacht....) und die diversen Apps neu installieren müssen. Von diesem Tag an bekomme ich von meiner Firewall mehrmals eine Thread-Protection-Meldung:


    Bei genauerer Untersuchung wird auf die IP 31.131.138.33 gezeigt. Irgendein DSL-Anschluss in der Ukraine laut whatismyip.com .


    Meine Frage: Ist das Verhalten bekannt? Wie ist das einzustufen? Kann das jemand von euch nachvollziehen/gegenprüfen? und ganz besonders: welche Software telefunkt da "nach Hause"?


    Neben der "Standardsoftware" (hatte und) habe ich folgendes noch installiert:
    - Alle Hybrid-Desk Apps ( sind aber alle bis auf Kodo und QDesk deaktiviert...)
    - Optware
    - JRE
    - Python
    - GMAIL-Backup
    - QAirplay Chomecast
    - phpMyAdmin
    - NZBGet
    - Virtualisation Station
    - Surveillance Station
    - mc (mithilfe des Optware-Paketinstallers) für künftige ssh-Sessions


    Vielen Dank, wenn mir einer von Euch licht ins Dunkel bringt.


    Gruss
    Sascha

    Hi,
    kannst ja eine nach der anderen denistallieren und prüfen bei welcher Anwendung der "Ukrainefunk" abbricht.
    VG
    jo

    Hallo und willkommen im Club!


    Hier fehlt auch noch die Firmwareversion und deine Netzwerkeinstellungen am NAS und die Portweiterleitungen am Router. Ist UPnP aktiviert?
    Moeglicherweise ist auch eine Schadsoftware drauf, denn das Verhalten ist imho nicht normal.

    Hallo zusammen,


    ich habe eine TS-219P+ mit FW 4.1.1 am Laufen und ähnlich wie PanicFR eine Sophos UTM davor.
    Auch ich erhalte regelmäßig (bis vor kurzem einmal pro Woche, jetzt öfter) eine Meldung von der FW, dass Pakete als C2/Generic-A geblockt werden.
    Die Threatmeldung sagt, dass der Zielserver als ein C&C Server identifiziert ist, bei mir ist es aber die IP 77.122.125.137.


    Ich habe dabei keine Extra-Software installiert und eigentlich nur den eingebauten Twonky DLNA Server aktiviert (+ Download Station, Filestation).


    fjewl

    Hallo und willkommen im Club!


    Bitte verrate uns noch etwas ueber deine Netzwerkeinstellungen an NAS und Router.
    Siehe mein letzter Post.

    Hi,


    sorry für die Latenz beim Antworten.
    Die TS-219P+ hängt nur im internen Netz mit einer statischen IP, keine Portweiterleitungen, Natting oder Ähnliches.
    Die Firewall ist aber als Gateway eingetragen, d.h. sie kann raus.
    Router ist eben (eine virtualisierte) Sophos UTM 9 Home Edition in der aktuellsten Version.
    UPnP Konfiguration ist dementsprechend aus, da von der UTM 9 nicht unterstützt.


    An Apps eigentlich nur die Standard-Apps (gibt es da eine Config,die man sich ziehen kann?)


    fjewl

    Hallo,


    dann setze den Gateway doch einfach so, dass das Geraet nicht mehr aufs Internet zugreifen kann.
    Aber auf lange Sicht wuerde ich das Geraet komplett platt machen, um moegliche Gefahren zu entfernen. Hier dann auch die Festplatten an einem Computer loeschen.

    Hi,


    nun die Firewall blockiert ja schon den Traffic, insofern ja schon mal nicht schlecht und die FW-Regeln sind ja auch schon gesetzt.
    Die Frage ist nur, warum da überhaupt ein Prozess raus möchte, bzw. wenn das Malware ist, wie die auf eine frische TS-251 ohne Drittanbieter-Applikationen und ohne externen Zugang kommt.


    Eventuell ist das auch ein false positive von der UTM.


    fjewl


    P.S: Ich logge jetzt mal den Traffic, ist auf UDP Port 15632, vielleicht gibt es da news.
    EDIT: Es könnte dein, dass es am ffmpeg lag (Transkodierungsservice? Der hing bei der Transkodierung von ein paar mkvs... FFMPEG hatte da wohl mal eine Sicherheitslücke, aber eigentlich ist die Version, die auf der TS eingesetzt wird, nicht betroffen... Habe auf jeden fall mal den service gestoppt und neugestartet. Schauen wir mal, ob es wiederkommt)