Hilfe!!! - TS-419 gehackt - Spamversand - Abuse

    Hallo,


    ist es möglich eine TS-419 zu hacken und darüber Spam zu versenden? Ich habe von der Telekom ein Schreiben bekommen in dem dies behauptet wird. Der Spamversand geht zu unregelmäßigen Zeiten von meiner IP aus. (feste IP) Das Schreiben habe ich letzte Woche bekommen. Darauf hin habe ich alle Freigaben in meiner Fritzbox deaktiviert. Es ist zum Zeitpunkt des Versandes nur die QNAP in Betrieb gewesen. Über uceprotect.net habe ich heute geprüft ob noch versendet wird, und gestern Abend wurde wieder gesendet.


    Was kann ich nun tun? einen Virenscanner oder so gibt es doch nicht oder?


    Danke Euch

    Hallo


    Prüfe doch mal deine LOG-Files ...
    gerade die Anmeldung über ssh ....
    an sonsten mach den Mail-Server dicht -- dann herrscht zumindest erst mal ruhe im Schiff ...


    ich würde nach der cron schauen ...
    df ist auch meist recht hilfreich ...
    Port und Accounts anschauen ...
    eventuell den Zugriff auf die Box auf lokale IP's begrenzen ...
    geschieht der Versand dann immer noch, ist ein PC befallen und nicht die Box

    Zitat von "Cerberus"

    eventuell den Zugriff auf die Box auf lokale IP's begrenzen ...


    Verhindert aber nicht, das das NAS sendet.

    Prüfe doch mal deine LOG-Files ... Wo?
    gerade die Anmeldung über ssh ....
    an sonsten mach den Mail-Server dicht -- dann herrscht zumindest erst mal ruhe im Schiff ... -> der, der mir die Statusmails sendet?


    ich würde nach der cron schauen ... Was ist das?
    df ist auch meist recht hilfreich ... Was ist das?
    Port und Accounts anschauen ... -> sind alle zu, Kennwörter wurden am Donnerstag alle neu gesetzt
    eventuell den Zugriff auf die Box auf lokale IP's begrenzen ... -> alle Ports sind zu
    geschieht der Versand dann immer noch, ist ein PC befallen und nicht die Box -> Die Box ist das einzige eingeschaltete Gerät im Haus


    @ drmike


    Die Firmware prüfe ich gleich mal


    EDIT:


    hab ich gemacht -> und er hat sofort nach der Installation etwas gefunden und in die Quarantäne gesetzt. Das ist schon mal gut. Komme ich irgendwie an die Einstellungen von dem Programm?

    2 Mal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln!

    Zitat

    Prüfe doch mal deine LOG-Files ... Wo?


    öhm -- am besten/einfachsten über die Weboberfläche


    Zitat

    gerade die Anmeldung über ssh ....


    dort stehen immer die Adressen mit drin; ist also daher recht einfach zu prüfen


    Zitat

    an sonsten mach den Mail-Server dicht -- dann herrscht zumindest erst mal ruhe im Schiff ... -> der, der mir die Statusmails sendet?


    ja -- genau der
    was nützen die eMail, wenn dein DSL-Provider dir den Anschluss kappt! (hatte ich bei einem Kunden schon)
    Diese Meldungen kannst du auch in der LOG-Anzeige finden


    Zitat

    ich würde nach der cron schauen ... Was ist das?


    per SSH auf die Box einloggen und dort den Befehlt crontab -l eingeben
    da mich aber der Verdacht beschleicht, das du so etwas noch nie gemacht hast, könnte ein Post der Ausgabe hier helfen


    Zitat

    df ist auch meist recht hilfreich ... Was ist das?


    siehe oben...


    Zitat

    Port und Accounts anschauen ... -> sind alle zu, Kennwörter wurden am Donnerstag alle neu gesetzt


    OK -- im Router dann vorerst den Web-Zugriff auf/von der Box sperren


    Zitat

    eventuell den Zugriff auf die Box auf lokale IP's begrenzen ... -> alle Ports sind zu


    es nutzt kaum etwas, wenn die Box weiterhin Interne-Zugang zum Admin hat (80, 8080, 21, 443, u.s.w)


    Zitat

    geschieht der Versand dann immer noch, ist ein PC befallen und nicht die Box -> Die Box ist das einzige eingeschaltete Gerät im Haus


    Dies war auch nur eine Vermutung - irgend eine Quelle gibt es - dein Anbieter sagt nur, das am Anschluss was "komisch" ist.
    Die Ursache kann auch ein fremder Client im Funknetz sein - das würde man an der Box nicht erkennen.
    In allen Fällen helfen nur die Logfiles weiter (Box, Router, was auch immer)


    Bei den Vorgeschlagenen Aktionen geht es nicht um Endgültigkeiten, sondern um erste Schadensbegrenzung.
    Alles kann/soll im Nachhinein wieder zum Normalzusand zurück gehen.

    Die Logfiles sind soweit sauber...
    Der Mailserver ist nun ungültig - habe ein falsches Passwort eingetragen.

    ich kann mich mit putty nicht verbinden, muss ich vorher irgendwas einstellen?


    EDIT:


    jetzt gings... :) Passwörter müssen auch richtig eingegeben werden... ;)


    hier die Ergebnisse crontab -l:


    Code
    [~] # crontab -l# m h dom m dow cmd0 3 * * 0 /etc/init.d/idmap.sh dump0 4 * * * /sbin/hwclock -s0 3 * * * /sbin/vs_refresh0 3 * * * /sbin/clean_reset_pwd0-59/15 * * * * /etc/init.d/nss2_dusg.sh30 7 * * * /sbin/clean_upload_file0 3 * * * /bin/rm -rf /mnt/HDA_ROOT/twonkymedia/twonkymedia.db/cache/*10 15 * * * /usr/bin/power_clean -c 2>/dev/null0 * * * * /etc/config/init.sh -c /bin/true#  * *  /home/httpd/rsnap/sh/rsnap.sh -c set7 -h 2>>/home/httpd/rsnap/set7/log/r                                snapshot#  * *  /home/httpd/rsnap/sh/rsnap.sh -c set7 -d 2>>/home/httpd/rsnap/set7/log/r                                snapshot#  * *  /home/httpd/rsnap/sh/rsnap.sh -c set7 -w 2>>/home/httpd/rsnap/set7/log/r                                snapshot55 23 28 * * /home/httpd/rsnap/sh/rsnap.sh -c set7 -m 2>>/home/httpd/rsnap/set7/                                log/rsnapshot30 3 * * * /sbin/notice_log_tool -v -R#  * *  /home/httpd/rsnap/sh/rsnap.sh -c set8 -h 2>>/home/httpd/rsnap/set8/log/r                                snapshot0 2 * * 2,3,4,5,6 /home/httpd/rsnap/sh/rsnap.sh -c set8 -d 2>>/home/httpd/rsnap/                                set8/log/rsnapshot#  * *  /home/httpd/rsnap/sh/rsnap.sh -c set8 -w 2>>/home/httpd/rsnap/set8/log/r                                snapshot#   * * /home/httpd/rsnap/sh/rsnap.sh -c set8 -m 2>>/home/httpd/rsnap/set8/log/r                                snapshot0 6 * * 0 /etc/init.d/reboot4 3 * * 3 /etc/init.d/backup_conf.sh30 7 * * * /usr/local/sbin/version_cleaner -t 0 > /dev/null 2>/dev/null5 6 * * * /usr/bin/qcloud_cli -c[~] #


    df


    Code
    [~] # df
Filesystem                Size      Used Available Use% Mounted on
/dev/ramdisk             32.9M     16.6M     16.3M  50% /
tmpfs                    64.0M    284.0k     63.7M   0% /tmp
/dev/sda4               371.0M    333.8M     37.2M  90% /mnt/ext
/dev/md9                509.5M    125.2M    384.3M  25% /mnt/HDA_ROOT
/dev/md0                  1.8T     84.3G      1.7T   5% /share/MD0_DATA
/dev/sdya1                1.8T    162.0G      1.7T   9% /share/external/sdya1
tmpfs                    32.0M     12.0k     32.0M   0% /.eaccelerator.tmp
[~] #

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln!

    hmm ...
    diese Ausgaben zeigen zumindest nichts "komisches" ...


    Welchen Router nutzt du -- kann man dort die Netzwerk-Aktivität erkennen?
    Eventuell mal die Netzlast der Box beobachten -- SPAM-Versand verursacht Netzwerklast

    Habe ne Fritzbox dran... Das Antomalwareprogramm hat Einträge gefunden und gelöscht, vielleicht sollte ich das jetzt erst einmal beobachten...? Das Admin Passwort habe ich erneut geändert.

    Die Zeile

    Zitat von "CMP"

    0 * * * * /etc/config/init.sh -c /bin/true


    in der crontab ist nicht normal, da in /etc/config nur Konfig-Dateien abgelegt werden.


    Am Besten in den Netzwerkeinstellungen bei Gateway die Router-Adresse entfernen,
    dann kann das NAS nicht mehr in das Internet verbinden.

    Danke für die Info. Das kann ich aber nicht dauerhaft so lassen. Das NAS braucht Internet um Statusmails zu versenden. Ich werde jetzt erst einmal abwarten, ob wieder etwas rausgeht. Wenn Ruhe ist, werde ich den Mailserver wieder "ans Netz" geben und wieder schauen. Möglicherweise hat das Anti Malware Tool ja den Störenfried gekillt. In die Quarantäne wurden ja Objekte übernommen. Irgendwie muss ich zum "Normalzustand zurückkommen. :roll:


    @ drmike


    Danke für die Info. :)

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Volltextzitat entfernt.

    Und CMP, wie läufts nun?


    Sonst ist mir das hier aber leicht zu unaufgeregt... Der "Remover" für ARM heißt schon im Dateinamen "...x19...". Für x86 gibts das wohl auch. Was macht man aber in dem Fall mit einem 431 & Co.?
    Die App ist high and higher recommended von Qnap, die gibts aber nur für einige Modellreihen (?)


    Und wie kann es dazu überhaupt kommen? Sind das noch die Nachwehen hiervon?
    https://www.fireeye.com/blog/t…r-nas-administrators.html


    Wie macht man die Box dann fürs Außen "zu"? Könnte man vielleicht möchten, wenn man sieht, daß immer wieder irgendwo Gauner durchs Wohnzimmer spazieren und nicht klar ist wie sie reinkommen.
    Vor kurzem dachte ich noch, das geht mit der white list für IPs. Es scheint aber das ist ein Blinker-Feature. Mal gehts, mal gehts nicht, dann gehts wieder paar Versionen, dann gehts wieder nicht (??)
    http://forum.qnap.com/viewtopic.php?f=11&t=83322


    An sich doch auch ein Unding oder?

    Hallo,


    nachdem ich nun alles geschlossen habe und jeden Tag die IP geprüft habe scheint nun Ruhe zu sein. Eine Woche warte ich noch ab. Dann fange ich an alles wieder in den Normalzustand zu versetzten. Immer Schritt für Schritt und zwischen den Schritten 3 - 4 Tage Zeit zur Überprüfung.


    Edit:


    Von außen zu machst du deine Box indem du alle eingehenden Port am Router schließt. Die ist aber leider nicht immer möglich. Ich vermute, dass bei mir über einen offenen Port, z.b. um die Box per HTML "von außen zu erreichen" der Einbruch über ein offensichtlich unsicheres Passwort kam. Da ich eine feste IP habe, hatten sie wohl leichtes Spiel. Wenn dann erst einmal eine Laus im Pelz ist, ist es zu spät. Dann kann alles möglich sein. Ich werde sehen, dass ich eine sicherere Methode nehme. VPN wäre das Beste, geht aber bei mir leider technisch nicht. Ich werde vermutlich den Port für meine Zugriffe von außen nur dann öffnen, wenn ich den Zugriff ohne VPN benötige.

    Triviale Passwörter... Was machst du denn da? :) Wobei einen Passwort-Manager z.B. auf dem Smartphone nutzen ist ist so lala. Die Dinger sind im Netz so vertrauenswürdig wie Win95 es heute wäre.


    Wenn man nicht etwas nimmt mit großen und kleinen Buchstaben, 1-2 Zahlen dazu, wenigstens 1 Zeichen was man sonst über den Zahlen auf einer PC-Tasta sieht und nicht mind. 12 Zeichen (eher 13) - das alles jetzt als Mindestanforderung - dann funktioniert Passwortzugangsschutz nicht. Im Sinne einer Sicherheitskomponenten.
    Sollte man immer beherzigen.


    Der zweite Link von mir ist trotzdem irgendwie Schildbürgerstreich-like...