Qnap über Apache Server gehackt?

    Hallo zusammen,



    leider ist mir folgendes Problem heute aufgefallen:



    Ich nutze einen Qnap TS-251+ mit der neuesten Firmware. Vor einiger Zeit habe ich mir das Tool "eTicket" aufgespielt, um es auszuprobieren und kennenzulernen. Das Tool nutzt den Qnap Apache Server. Im Zuge dessen auch im Router ein Portforwarding über Port 80 auf den besagten Qnap eingestellt und Dyndns aktiviert. Danach natürlich vergessen beides zu deaktivieren...



    Heute hatte ich auf einmal eine Nachricht in meinen Emails über ein erstelltes Ticket. Daraufhin habe ich mich auf meinen QNap verbunden um nachzuschauen was da los ist... ich kam allerdings nicht mehr auf die Admin Seite des "eTicket" ...hmm komisch dachte ich mir. Auf den Router verbunden um den Portforward zu entfernen und dort ist mir aufgefallen, dass über UPNP viele weitere Forwards eingestellt wurden! Terendo Tunneling und Torrent auf verschiedene Ports!!!



    Mein Qnap wurde wohl über Apache kompromittiert. UPNP wurde gleich auf dem Router deaktiviert und der Qnap heruntergefahren.



    Meine Frage:
    War es dem Angreifer möglich meine Daten von dem Qnap zu saugen oder wurde meine Leitung "nur" als Torrentserver missbraucht? Logdateien die mir einen Anhaltspunkt geben würden konnte ich auch über SSH nicht finden.



    Hat jemand eine Idee oder kann mir helfen? Vielen Dank!

    Was sie erreicht haben kann man so ohne Blick drauf nicht sagen. Durch die weiteren Portfreigaben hatten sie theoretisch die Möglichkeit. Verstehe nur nicht warum du dein NAS ausschaltest aber den Router der offensichtlich geknackt wurde (um die Ports freizuschalten) nicht. Hier würde ich zuerst ansetzen (PW ändern, 2 Factor Authentication usw.)

    Danke für deine Antwort.


    Router Passwort wurde natürlich sofort geändert. Der Router selbst wurde wohl nicht geknackt. Die Portfreigaben wurden über UPNP eingerichtet. Im Router war die Option aktiviert, dass ein anderes Endgerät in meinem Netzwerk Portfreigaben über UPNP setzen kann. Ich denke das diese Freigaben durch den korrumpierten Qnap gesetzt wurden. UPNP nutzt ja meines Wissens keine Authentifizierung und wäre somit kein Problem.


    Welche Logfiles im Qnap könnten mir Aufschluß geben, was letztendlich passiert ist?


    Danke schonmal

    Na die Systemprotokolle. Dort müsstest du ja sehen was wann eingestellt wurde, welcher User wann verbunden war (und woher), sowie evt. aktuell verbundene Benutzer (falls es ein Bot is der direkt wieder drauf springt wenn die Kiste am Netz ist)