Nas gehacked?

    Moin,
    soeben erlebe ich zufällig, dass meine TS119 grundlos neu bootet. :-/
    Das hatte ich noch nie. :x
    Einige Auffälligkeiten sidn mir aufgestoßen:
    - less war nicht mehr installiert :?:
    - ipkg list_installed liefert permission denied :-/
    - ein ll /usr/bin/ipkg zeigt mir, dass diese Datei auf /dev/null zeigt, also ein link auf /dev/null ist :?::cursing: :shock: :shock: :shock:
    Die Verbindungsprotokolle der Vergangenheit sind eher unauffällig. Konnte bislang alle Verbindungen zumindest
    "plausibel" machen. Aber:
    Online Benutzer zeigt admin via ssh verbunden mit der lokalen IP meines PC; OK, mein ssh zum Rechner
    Weiterer admin via http - OK, die graph. Oberfläche
    :?: aber noch eine ssh Verbindung mit Benutzer admin OHNE IP :shock:
    (das zeigt mein anderes Nas allerdings auch, ebenfalls gehacked? Könnt ihr mal nachschauen,
    ob das normal ist)
    Nachtrag, das scheint "normal" zu sein: http://www.qnapclub.de/forum/v…php?f=25&t=35172&p=201594
    Ist m.E. völlig daneben sowas - suggereirt einem einen unerlaubten Zugriff ...
    Im QNAP Handbuch taucht dieser Ip-Lose Zugriff auch nicht auf, da hatte ich schon geschaut
    (http://docs.qnap.com/nas/4.0/de/index.html?system_logs.htm)


    Jemand eine Idee, wie sowas passieren kann (außer, dass das NAS gehacked wurde) ?


    Habe das NAS jetzt runter gefahren.


    Gruß
    RS

    Na, scheint wohl doch eher an der komplett unstabilen Firmware zu liegen. IPKG wurde offenbar deaktiviert. "I am not amused" :cursing:

    Naja, dein Thementitel und

    Zitat von "schwerdt"

    IPKG wurde offenbar deaktiviert. "I am not amused" :cursing:

    beissen sich ganz gewaltig.
    Entweder du möchtest ein sicheres NAS haben oder OptwareIPKG. Beides geht nicht, da das Optware-Repo gnadenlos veraltet ist.

    Zitat von "schwerdt"

    ein ll /usr/bin/ipkg zeigt mir, dass diese Datei auf /dev/null zeigt

    Richtig, wenn du das Malware Removal Tool vorher installiert hattest. /usr/bin/ipkg war eine der Backdoors die Hackerscripts bei dem Ausnutzen des Shellshock Exploit installiert haben. Das MRT von QNAP hat sämtliche solcher bekannten Binaries nach /dev/null gelinkt, um schlimmeres zu verhindern.

    Na, etwas deaktivieren ohne Nachricht was warum wie passiert, ist aber auch nicht "nett". Oder hab ich da einen Hinweis übersehen? Bei der Installation gab es nur den Hinweis, dass es keinen Einfluss hat, solange keine Malware erkannt wird ... :-/ Habe wohl eine Warnung im Systemprotokoll übersehen :?: :oops:
    Ich hatte unter ipkg einige shell Erweiterungen am Laufen - von außen war mein NAS ohnehin nur über den WEB Port mit zusätzl. .htaccess-Schutz erreichbar. Nun konnte ich keine Adventsmails verschicken ;(
    http://forum.qnapclub.de/viewtopic.php?f=19&t=28921
    Allein der Neuboot :cursing: eines laufenden Systems hatte mich alarmiert. Sowas kannte ich bislang (außer von meiner Windoose) nicht. Für mich bleibt das Fazit, dass ich nicht einschätzen kann, was bei einem Firmware-Update nun behoben / verändert wird. Bislang war mein System mit wenigen kleinen Patzern konsistent und wurde außer zum Firmwareupdate nicht gebootet. Einen sichereren Eindruck macht das System derzeit jedenfalls nicht. Dateifreigaben, externe Logins mit Filestation etc. sind so für mich nicht in Sicht :x . Allein Ajaxplorer (als aktuelles Pydio) halte ich für gerade noch möglich (mit zusätzl. htaccess und ausschliessl. lesendem Zugriff). Ansonsten muss ich weiterhin Daten auf externe Server laden, da ich Qnap NICHT :!: vertraue. Schade eigentlich, Zumal mir nun auch Kommandos wie wput etc. fehlen. Nachtrag - Dank OPKG lässt sich das doch wieder installieren - uff :?
    How Ever -> fröhlichen 3.-ten Weinachtstag allen! Mit Gruß aus Gö Ralph

    Zitat von "schwerdt"

    Allein der Neuboot :cursing: eines laufenden Systems hatte mich alarmiert.

    Der wird wohl daher gekommen sein, das deine Scripte irgendwas nicht gefunden und dann die RAM-Disk zugemüllt haben. Eigene manuelle Änderungen am System kann QNAP nunmal nicht berücksichtigen. Da musst du selbst schon sicher stellen, dass alle Eventualitäten abgefangen werden. Speziell wenn es um Mountpoints geht.

    Nee, ich hatte in der crontab alles deaktiviert ... da lief nix, ausser noch einige Qnap-eigene Anwendungen, wie Twonky, mysql ...