Hallo Community,
habe in meinem Netzwerk den Standard-Router des Providers gegen ein Ubiquiti Unifi USG-Pro-4 Security Gateway getauscht. Habe jetzt die Möglichkeit, detailliert Intrusion Detection / Prevention zu betreiben.
Dabei erkenne ich Eindringversuche von außen auf meinen QNAP TS-419P+ auf 192.168.1.12 Ports 80 / 8080 / 8081
IPS-Alarm 1: Attempted User Privilege Gain, Signatur: ET EXPLOIT D-Link DSL-2750B - OS Command Injection, Von: 218.89.240.54:32999 - nach: 192.168.1.12:80; Protokoll: TCP, Schnittstelle: eth0
Habe darauf die statische LAN Adresse des TS von .12 auf .11 geändert, seitdem kommen die Angriffe auf die neue Adresse.
IPS-Alarm 1: A Network Trojan was Detected, Signatur: ET WORM TheMoon.linksys.router 1, Von: 5.199.135.153:52881 - nach: 192.168.1.11:8080; Protokoll: TCP, Schnittstelle: eth0
Es muß also irgend eine Malware am QNAP nach außen funken.
Habe den Malware Remover installiert, er hat zu Beginn folgendes gefunden und entfernt:
127.0.0.1 localhost [MalwareRemover]
The following infected file/folder was found and recovered: /share/MD0_DATA/.qpkg/PBLLTgC/YekLmgui.sh
The following malicious file/folder was found and removed: /home/httpd//cgi-bin/QTSshare.cgi
The following malicious schedule was found and removed from the crontab: /mnt/HDA_ROOT/.config/blob/mRlzww
The following malicious schedule was found and removed from the crontab: /share/MD0_DATA/.IbwkHOIgav/hjEjoutqmG.sh
The following infected file/folder was found and recovered: /mnt/HDA_ROOT/.config/blob/mRlzww
The following infected file/folder was found and recovered: /share/MD0_DATA/.IbwkHOIgav/hjEjoutqmG.sh
The following malicious file/folder was found and removed: /tmp/config//vhuvVQuQBW
The following malicious file/folder was found and removed: /tmp/.remover_RT9IGR
The following malicious file/folder was found and removed: /share/MD0_DATA/.log/.cgi_log
Habe auch Antivirus installiert (http:/www.clamav.net) und einen Auftrag erzeugt, noch keine Rückmeldung.
Trotz dieser Maßnahmen meldet mein Security Gateway genau und nur auf den QNAP TS nach wie vor Eindringversuche.
Hat jemand eine Idee / Tipp, wie ich diese Malware am NAS finde?
lg Karl