admin user (via http) auf NAS1 permanent eingeloggt. Beim 2. NAS nicht. Ein Problem?

Hallo zusammen,

Ich möchte mal in die Runde fragen ob ich ein allgemeines oder evtl. sogar Sicherheitsproblem habe.

Auf dem produktiven NAS1 (TS-453A) ist, auch nach einem reboot gestern, permanent ein admin user (http) eingeloggt:

(hier seit knapp 17 Stunden - da hatte ich mal eine reboot durchgeführt)

nas1.PNG

nas1_1.PNG

Auf dem 2. NAS (TS-431) ist das nicht der Fall

nas2.PNG

Malwareremover mal durchlaufen lassen. Der sagt "alle ok".

Gibt es für diesen permanenten connect dieses admin users irgendeine Erklärung? Bzw. kann ich nachprüfen woher der Connect kommt? Evtl. habe ich ja etwas im Netz was ich verkonfiguriert habe. Apache logs finde ich leider keine.

Beide laufen mit der 4.3.3 im Profil

Danke schon einmal und Gruß

Ich habe mal ein wenig im Interweb gesucht was ich bzgl. der http Verbindungen so an Informationen bekommen kann. Viel schlauer bin ich nicht, jedoch sind die Unterschiede auch dort zu sehen:

Hier das 'normale' NAS (431)

[~] # netstat -an | grep :80 | sort
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:50345         127.0.0.1:8080          TIME_WAIT
udp        0      0 255.255.255.255:8097    0.0.0.0:*
udp     8384      0 255.255.255.255:8097    0.0.0.0:*
[~] #

und hier das 453A wo ich den komischenPort 80 admin (Zeile 7) vermute (453A)

[~] # netstat -an | grep :80 | sort
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8080            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:8081            0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:46386         127.0.0.1:8080          TIME_WAIT
tcp        0      0 127.0.0.1:46436         127.0.0.1:8080          TIME_WAIT
tcp        0      0 192.168.178.26:53749    52.222.168.176:80       TIME_WAIT
udp        0      0 255.255.255.255:8097    0.0.0.0:*
udp     2304      0 255.255.255.255:8097    0.0.0.0:*
[~] #

52.222.168.xxx ist cloudfront - die IP ändert sich übrigens auch. Der Port liest sich jetzt nicht so fischig wie gedacht. Wobei ich da einfach zu wenig Ahnung hab.

Irgendjemand eine Idee?!

Hi Jagi,

danke. Ich denke aber das ist es IMO nicht. Die Zeiten sind ein wenig verwirrend, ja

0:16:48 => sind 16 Stunden und 18 Minuten ist der User eingeloggt. (da ändert sich)

15:37:31: War die Loginzeit am Tag zuvor. (die bleibt konstant)

Als ich die Screenshots erstellt habe war das dann 16 Stunden nach dem Reboot., Hoffe ich mache mich verständlich *gg*

So sieht es aktuell aus:

uptime_1.PNG

uptime_2.PNG

ok, guter Tipp zur Fehlersuche. Werde ich testen.

Wenn es wirklich malware ist/wäre, würde mich der Infektionsweg brennend interessieren. Keine externe Sichtbarkeit / kein externer Zugriff auf das NAS. LAN only ... alles extern geht über einen proxy. Und Last ist irgendwie auch nicht drauf auf . Und die externen dns queries (aus dem Proxy log) sind auch spärlich (ok, 1 x minute auf download.qnap.com, sonst alle Tage update.qnap.com und pool.ntp.org ) aber ich schaue trotzdem mal. Ich habe auch mal ein Ticket bei QNAP geöffnet. Hofe nicht, dass da als erstes "mach mal 'n Update auf 4.3.4" kommt *gg*

well, auch ohne Netzconnect ist "er" da. Laptop direkt am Lan0. Tja, wat nu ...?

capture_1.PNG

capture_2.PNG

edit: habe auch mal das admin pwd geändert - bringt auch nix. Ok, hatte ich in dieser Situation auch nicht erwartet.

klar. Meinst Du ohne Netz? Das ginge etst morgen.

Für aktuellen Zustand - so zum arbeiten - siehe Anlage und ggf. auch Ende 1. Beitrag von mir für die http ports.

Anbei noch komplett von gerade eben.

Guten Morgen,

anbei zwei netstat outs ohne Netzverbindung - nur direkt zum Laptop

1. netstat-nonet.txt nur mit ssh connect

2. netstat-nonet_2.txt mit ssh und parallel Zugriff auf die Admin Oberfläche via https

Und der obligatorische Screenshot - korrespondiert mit dem 2. netstat:

Capture3.PNG

edit: was mir auffällt: dieser Cloudflare connect aus meinem 1. Beitrag (192.168.178.26:53749 => 52.222.168.176:80 TIME_WAIT) ist in den Logs nicht da. Der admin user trotzdem. Das war es dann wohl nicht ...

Antwort auf das geöffnete Ticket von vor ein paar Tage: so a la 'sorry, viel zu tun. pleae wait ...' Klar, bei dem ganzen 4.3.4 Durcheinander. Dann warte ich mal.

Gestern kam dann doch eine (finale) Reaktion vom support - nachdem am Freitag noch eine 'dump' angefodert wurde:

"Nix auffälliges in den logs gefunden. Alles normal. Der 2. admin ist hier auch auf den Systemen vorhanden"

Irgendwie ernüchternd.

Mache ich jetzt einen Case für die 431 auf und frage wo der 2. admin hin ist ?

Nun denn ... wenn das auch bei 4.3.4 (Intel) so ist ... . Ich lasse das jetzt erst einmal ruhen bis 4.3.5 oder 4.4 da ist

Moin, ich glaube dieser lokale admin kommt von Qsync Central. Ich habe heute ein reboot vor dem FW update auf 4.3.4. gemacht und recht frühzeitig im bootprozess das UI beobachtet. Und in der ersten Minute nachem die UI zugreifbar ist, ist dieser 2. admin user nicht vorhanden. Erst als sukzessive die (system)Dienste gestartet wurden ist der 2. admin aufgetaucht. Das passierte nachdem Q'Sync Central gestartet wurde. Zumindest kam mir das so vor weil just nach der Einblendung unten rechts der 2. admin auftauchte.

Also von daher sage ich mal ... alles halb so wild. in 4.3.4 ist er, wie hier schon geschrieben, auch vorhanden.

Evtl spiele ich mal mit den Diensten rum und beobachte ...

Hier noch ohne den 2. Admin

startup.PNG

Hier nachdem die Dienste durchgestartet sind - der 2. admin taucht ca. 1 Minuten nachdem ich mich eingeloggt habe auf:

Q_Sync_central_2.PNG

Q'center ist der Übeltäter. Nachdem der Service gestoppt ist, ist der admin weg. Nach Reaktivierung ist er wieder da.