TS-259: Shares weg

    Poste mal den Inhalt von /share/MD0_DATA

    Will mir grad nicht eingehen, warum QTS sämtliche vom User eingerichteten Shares eliminieren soll.

    So wie es aussieht hast du hier das gleiche Problem wie ich. Nach ordnungsgemäßen herunterfahren ist bei mir ebenfalls alles weg und das NAS würde gerne von 0 anfangen alle Platten zu formatieren und alles neu einrichten. Wenn ich aber auf die RAID Verwaltung gehe, dann sehe ich dort das die HD‘s mit meinem Daten beschrieben sind aber doe Ordnerstruktur fehlt komplett. Was auch immer das verursacht hat!?? Klar könnte ich von externer USB - Backup wieder aufspielen ( dauert ja nur wieder ne Woche bis alles wieder so ist wie ich die eingestellt hatte), was mache ich wenn dies aber nach einem Neustart wieder alles verschwindet ??

    Mal ganz doof in den Raum gestellt... wenn man hingeht und die Platten herausnimmt und sie anschließend wieder einsetzt, sollte dann das NAS die Platten nicht als bereits verwendet erkennen und einen "restore" machen, sprich die alte Struktur wiederherstellen?

    Andere Frage an die mit den verschwundenen Shares:

    Irgendetwas anderes gemacht, Firmware Update, ...?


    Von ganz alleine glaube ich auch nicht das so etwas verschwindet.

    Ich habe kein 259, nur 859 und 459, das sollte vergleichbar sein.


    Gerade das TS459 hatte ich vor einigen Tagen runtergefahren um es an die USV zu hängen, nach dem Boot war alles vorhanden, FW war die aktuelle 4.2.6 Build 20180531.


    Gruss

    rednag:

    Hier der Inhalt von /share/MD0_DATA:

    es sind nur die default Shares vorhanden..


    Bürste:

    Habe schon mal die 2. Platte raus genommen und nach Einsetzen hat das System ein "restore"gemacht. Die Shares waren trotzdem noch verschwunden...


    @FS:

    Habe nichts Besonderes gemacht, z. B. kein Firmwareupdate, etc..

    Nachdem die Shares weg waren habe im Systemprotokoll einen Eintrag gefunden:

    [Share folders] Default folders were restored.


    Warum die default folders "restored" wurden kann ich nicht sagen.


    Habe letzte Woche ein Ticket bei QNAP dazu aufgemacht. Am Montag hat sich jemand gemeldet, dass man eine Teamviewer-Sitzung anbietet. Habe aber bis jetzt keine weitere Rückmeldung.

    Falls sich was tut, sage ich Bescheid...

    ACHTUNG!!!!


    Jetzt habe ich was gefunden:

    im Verzeichnis /share/MD0_DATA/Read this liegt eine Textnachricht:


    Da hat wohl jemand einen Trojaner eingeschleust, der mein NAS infiziert hat!

    Habt ihr damit Erfahrung?

    Das NAS hängt ganz normal im LAN und das ist natürlich mit dem Internet verbunden (über eine Fritzbox 7490).

    FW-Update habe ich nicht gemacht, aber hätte das was geholfen?

    Die haben es scheinbar geschafft über die Fritzbox auf das NAS zuzugreifen obwohl das NAS per Passwort geschützt war.

    Zitat von wfl999

    Die haben es scheinbar geschafft über die Fritzbox auf das NAS zuzugreifen


    Das glaub ich weniger.

    Wer hat/hatte den Zugang zum NAS ?


    Zitat von wfl999

    FW-Update habe ich nicht gemacht, aber hätte das was geholfen?


    Nicht jetzt, vorher um z.B. Sicherheitslücken zu beseitigen.

    Aber bei so einer Antwort, hält sich mein Mitleid in Grenzen :)


    Backup vorhanden ? Wenn ja, NAS platt machen und neu aufsetzen.

    Oha! nun hoffe ich das du ein Backup hast. Und man sollte eigentlich immer die neueste SW aufspielen, alleine schon um Sicherheitslücken zu schliessen.

    Die zentrale Frage ist aber wie Ransomware auf die NAS gelangt ist.

    Ports in der Fritz!Box weitergeleitet? Unsaubere Pakete aus irgendwelchen dubiosen Quellen installiert?

    Wie das passiert ist, ist sicher im Nachhinein schwer zu klären.

    Ein Backup habe ich aber trotzdem sind einige Daten weg...

    Gibt es eine Möglichkeit/Idee wie man die Shares "rekonstruieren" kann?

    Die Typen die mich erpressen wollen, müssen das ja auch irgendwie machen.

    Mach Dir da keine allzugroßen Hoffnungen.

    Ich bezweifel (selbst bei Bezahlung) den Key zu bekommen. Die Frage ist ja auch welche Verzeichnis verschlüsselt wurden, und warum die Default nicht? Wie wurden die Daten verschlüsselt? Welche Endungen haben die?

    Wahrscheinlich wurden schon alle Verzeichnisse verschlüsselt, aber die "Default" wurden auf Knopfdruck wieder hergestellt, sind also nicht die ursprünglichen Verzeichnisse.

    Interessant wäre trotzdem zu Wissen wie das passiert ist, von Windoof kennt man das ja, aber von Linux war es mir nicht so präsent.


    Gruss

    Ich würde jetzt mal die Fragen sammeln:


    • Wer hatte Zugriff?
    • War die NAS im WAN?
    • Welche Ports waren geöffnet?
    • Sicherheitsschutz aktiviert?
    • Welche Apps waren installiert?
    • Wie sieht das übrige Setup aus?
    • Welche Rechner/User greifen darauf zu / hatten Zugang.
    • Sind die übrigen Geräte im LAN sauber?


    Vielleicht fallen euch noch weitere elementare Fragen dazu ein.

    Habe die letzten Wochen/Monate mehrmals ein Schreiben der Telekom erhalten, dass es in meinem LAN einen infizierten Rechner gibt.

    Verschiedene Scans mit Virenscanner (z. B. Bitdefender) haben nichts ergeben.

    Wie geht man am besten vor, um das LAN zu prüfen ob es sauber ist?

    Welche Software (Windows) sollte man dazu benutzen?

    Nimm die Kaspersky Rescue Disk. Damit bootest du die PCs und überprüfst diese.


    Zitat von wfl999

    Habe die letzten Wochen/Monate mehrmals ein Schreiben der Telekom erhalten, dass es in meinem LAN einen infizierten Rechner gibt.


    Damit rückst du erst jetzt raus ? Sonst noch was "unwichtiges" vergessen ?


    Edit:

    Also wenn sich das Abuse-Team der Telekom schon meldet, dann ist da aber einiges im Argen bei Dir.

    Ich würde alles platt machen und neu installieren.

    Zitat von Bürste

    Oha! nun hoffe ich das du ein Backup hast. Und man sollte eigentlich immer die neueste SW aufspielen, alleine schon um Sicherheitslücken zu schliessen.

    Oha!


    Das jeweils neueste QTS aufzuspielen ist ja nun mal so eine Sache, wenn man will, dass das NAS fehlerfrei läuft. Da war ja was mit mehreren zurückgezogenen QTSsen. Von wegen Sicherheitslücken - Daten können verschiedene Tode sterben.


    Daran sieht man, wie wichtig es ist, neben einem Backup auch einen Hersteller zu haben, der ein fehlerfreies Betriebssystem anbieten kann... und daran hapert es sehr wohl im Falle QNAP.


    Also von wegen QTS-Updates...


    EDIT: wfl999 da gibt es noch die Rescue-Tools von Emsisoft. Du musst sofort alle deine Rechner vom Internet abkoppeln und ausmachen, alles.


    Dann zum nächsten Kiosk und die CT mit desinfect kaufen wenn nicht schon vorhanden. Hol dir wenn möglich professionelle Hilfe, vielleicht ein Admin vom Job?

    Zitat von wfl999

    Habe die letzten Wochen/Monate mehrmals ein Schreiben der Telekom erhalten, dass es in meinem LAN einen infizierten Rechner gibt.

    Das ist eine elementare Information welche an erster Stelle im Thread stehen sollte! Fett, unterstrichen und in Großbuchstaben!

    Zitat

    Das jeweils neueste QTS aufzuspielen ist ja nun mal so eine Sache, wenn man will, dass das NAS fehlerfrei läuft.

    nun bei mir lööpt alles einwandfrei, keine Probleme die zu Datenverlust geführt hätten oder ähnliches. Und trotzdem bleibe ich dabei, man sollte möglichst aktuelle SW fahren.