Malware-Fund nach Update auf "Malware Remover 3.3.0"

Ich sehe das ganz genau so und warte auf ein fix von Qnap. Momentan habe ich einfach zu große Angst die MyQnap Cloud Dienste zu nutzen ohne das ich mir direkt nen Virus drauf lade. Und so wie man hier liest, reicht es ja nicht aus den Malware Remover von Hand aus zu updaten, da das Teil noch wo anders installiert wird. Ich hoffe echt Qnap bringt bald ein Sicherheits fix für ihre Cloud Dienste, den ich möchte die ja auch verwenden! Ich nutze jetzt seit über 5 Jahren Synology Nas Server und bin nur durch zufall zu Qnap gekommen und habe mir da nie ein Virus eingefangen und das obwohl ich da auch alle Cloud Dienste genutzt habe. Momentan bin ich sehr verunsichert und das darf meiner Meinung nach nicht sein.

Zitat von apollo

Das entbindet den Nutzer aber nicht von seiner eigenen Verantwortung. Wer bewusst oder unbewusst die Angriffsfläche vergrößert, muss wenns dumm läuft mit den Konsequenzen leben.

Wenn jemand, so wie Qnap das ja vorsieht, die Musicstation installiert und MyQnapCloud verwendet um darauf von extern zuzugreifen dann hat der User ja nix falsch gemacht. Und er ist auch nicht leichtsinnig. Sondern er verwendet das Gerät genau so wie es vorgesehen ist.

Da liegt die Verantwortung aus meiner Sicht komplett bei Qnap.

D1sk Ich bin definitiv kein Techi, erhebe aber den Anspruch vieles was nicht 100% verstanden wird mit einem angemessenen Maß an Kritik zu beäugen! Leute leute ... nichts ist Kinderleicht!

Weil wir so oft den Autovergleich heranziehen, keiner kauft ein Auto und setzt sich rein und fährt los. Wir alle wissen, dass ein Führerschein von Nöten ist! Auch der TÜV ist nicht umsonst da, sondern soll gewährleisten, dass die Karren in einem Ordnungsgemäßen Zustand sind!

Wer einen Ofen zu Hause hat, kennt den jährlichen Besuch vom Schornsteinfeger, der prüft inzwischen auch die Gasleitung!

Woher kommt der Anspruch, das jeder DAU mit 0 Wissen ein NAS bedienen können soll? Viele scheitern bereits am Setup des Routers. Total unwissende lassen sich übrigens den Router installieren

Jetzt kommt das große ABER: QNAP muss sicherstellen, das Sicherheitslücken gar nicht erst entstehen und im schlimmsten Fall zeitnah schließen. Beides ist in den Jahren besser geworden aber kann dennoch besser werden.

eol43 wenn du Interesse hast, mach ein neues Thema in Benutzer Kommentare auf. Danke

Zitat von christian

Woher kommt der Anspruch, das jeder DAU mit 0 Wissen ein NAS bedienen können soll?

Durch die Einstellungswizards von Qnap.

Das geht mit der Cloudinstallion los.

Der Vorschlag im Wizard UPNP zu nutzen ... toll wir machen aus unserem Router einen schweizer Käse weil der Wizard jeden Port freischaltet (für die Anwendungen)

Die Standardeinstellung bei Einrichtung von MyQnapCloud die auf Öffentlich steht ... Spitze. So kann jeder direkt mein NAS finden und sehen welche Dienste ich aktiviert habe.

Muss ich Ahnung von der Materie haben ... nein dank den Wizzards.

Habe ich das Gefühll das ich alles richtig gemacht habe ... ja.

Habe ich das Gefühl das alles sicher ist ... ja weil ich ja den vorgegeben Weg eingehalten habe.

Fazit. DIe Einstellungswizards müssen geändert werden.

Beispiel Lancom. Da kannste 100mal deine Zugangsdaten eintragen. Wenn der Router kein Passwort hat, geht der nicht Online.

Zitat von christian

phoneo in der Verantwortung steht immer der Benutzer selbst, wenn er etwas nicht korrekt anwendet. Egal ob er nun volle Kanne rückwärts gegen den Baum hämmert (da hätte der Hersteller ja was gegen unternehmen können) oder oder oder ...

Ich habe doch geschrieben, dass es mich wenig interessiert, wenn jemand durch Unachtsamkeit oder erhöhtes Risiko seine Daten verliert (oder sein Auto vor die Wand fährt). Wenn du aber gerne einen der heiß geliebten Autovergleiche haben möchtest:

Von Kindesbeinen an werden wir auf den Straßenverkehr vorbereitet. Fußgängerführerschein, Fahrradführerschein und wenn es um das Führen von gefährlicheren Fahrzeugen geht, wird der Führerschein sogar zwingend vorgeschrieben. Und trotz aller Verkehrserziehung traut uns der Gesetzgeber nicht über den Weg und das zu Recht. Es gibt, obwohl doch alles bereits ordentlich geregelt ist, Verkehrskontrollen und die Fahrsicherheit der Mobile müssen wir regelmäßig prüfen lassen. Aber nicht nur der Verkehrsteilnehmer überschreitet trotz aller Vernunft die Verkehrsregeln, auch die Hersteller tricksen (Beispiel Dieselgate) und müssen schlussendlich auch die Konsequenzen dafür tragen. Der hochbeschworenen Eigenverantwortlichkeit hat der Gesetzgeber (er kennt halt seine Pappenheimer) ein höheres Sicherheitsinteresse für die Allgemeinheit vorgestellt und im Laufe der Jahrzehnte Regeln, Gesetze und Vorschrifte entwickelt, die sich auch bewährt haben.

Man kann dies sicherlich nicht 1:1 in den Internet-Verkehr übertragen. Aber es wird bereits darüber diskutiert so etwas wie einen Internetführerschein im Schulunterricht einzuführen. Der wäre wohl mit einem Fußgängerführerschein vergleichbar. Ein wichtiger Anfangsschritt.

Ich kann mir zwar nicht vorstellen, dass wir unsere Nas-Systeme regelmäßig zur Prüfung zum TÜV tragen müssen. Vielleicht aber, dass bestimme Hersteller keine Zulassung zum Verbrauchermarkt bekommen, weil ihre Systeme nicht gesetzlichen Mindestanforderungen entsprechen. Vielleicht wird es auch soweit kommen, dass man bestimme serverähnliche Computersysteme nicht ohne einen (näherzudefinierende) Qualifikationsnachweis betreiben darf.

Alles in allem ein sehr philosophischer Ausflug in den Netzverkehr der Zukunft. Mal schauen was kommt.

Nachtrag: Interessant, dass wir in der Zukunft doch zusammenfinden (hier).

Dazu ein passender Artikel auf heise.de https://www.heise.de/newsticke…-ist-zahnlos-4208938.html

Zitat von Kommentar zur IoT-Sicherheit: Europas Verordnung ist zahnlos

Zwar fordert die Neuregelung eine Sicherheitszertifizierung von vernetzen Produkten, allerdings wird diese nur für Produkte in kritischen Infrastrukturen verpflichtend sein.

Wird so auch nie kommen, denn die Router Pflicht bzw Vorgabe hat sich auch nicht durchsetzen können.

Zitat von phoneo

Aber es wird bereits darüber diskutiert so etwas wie einen Internetführerschein im Schulunterricht einzuführen.

wobei das dann sicherlich wieder von Bundesland zu Bundesland unterschiedlich sein wird. Bis heute gibt es keinerlei Regelung für Kinder und Smartphones. Es ist auch absolut realitätsfremd zu glauben, alle unter 18 würden kein Smartphone nutzen. Die Regierung pennt, ist aber nichts um das hier zu diskutieren!

Jagnix Ich halte nicht so riesen Stücke auf Lancom wie du und spreche da aus Erfahrung! Anfang 2016 haben wir im Betrieb alle Cisco Switche in Rente geschickt und durch Lancom´s ersetzt. Ein Debakel über knapp 2 Wochen. Fehler damals, Ports schalteten sich wahllos ab. Mehrmals neue (Bastelfirmware?) aufgespielt und für teuer Geld weitere Support Dienstleistungen bei Lancom eingekauft! Stichwort Emergency Support Voucher

Das mit dem Kennwort kann QNAP übrigens auch

admin kennwort initialisierung.jpg

Diese Option ist übrigens während des Setups auf NEIN gestellt!

Möchten Sie die Multimediafunktionen sofort nach der Initialisierung aktivieren?
(Zu diesen Funktionen zählen Medienbibliothek, DLNA-Server, iTunes-Server und mehr.)

Jagnix Kannst du mir zu den von dir aufgeführten Zitaten helfen? Ich finde keine UPnP Option während der Installation.

Zitat von Jagi

Der Vorschlag im Wizard UPNP zu nutzen

Zitat von Jagi

Das geht mit der Cloudinstallion los.

Wo?

lg

Christian

Wie wo ? Die Cloudinstallation kommt direkt m Anfang. Das mit UPNP wird abgefragt wenn die autom. Routerkonfig wählt.

Jagnix wenn man sich mit dem Handbuch beschäftigt dann findet man dort u.a. den Qfinder als Hilfsmittel für die Installation und wenn du dir meine Screenshot anschaust siehst du sicherlich auch keine Cloudinstallation. Eine automatischer Router Konfiguration kann ich beim besten willen auch nicht ausfindig machen!

Also nochmals die Frage: Wo (Screenshot?!) steht bei der Einrichtung etwas derartiges?

Das vielleicht ?

storageiseverything Ich finde die Diskussion zwar fehl am Platz aber dennoch wichtig und da sie hier im Thema gewachsen ist, macht es keinen Sinn das Thema aufzusplitten.

Jagnix kann es sein das wir aneinander vorbei schreiben? Ich meine die Ersteinrichtung vom NAS und du die Ersteinrichtung von myqnapcloud ?

jahude Danke für den Screenshot und da wären schon wieder am Anfang. Wenn ich nicht weiß was UPnP bedeutet, dann lasse ich die Finger davon. Also nicht du explizit aber der Anwender generell.

Die Cloudinstallation ist bei Ersteinrichtung.

Und das UPNP bei der MyQnaCloud installation.

Zitat von christian

Wenn ich nicht weiß was UPnP bedeutet, dann lasse ich die Finger davon. Also nicht du explizit aber der Anwender generell.

Das ist eben nicht so und auch nicht so gedacht. UPnP ist genau dafür erfunden worden damit man sich eben NICHT auskennen muss.

Was für einen Sinn hätte es denn eine Funktionalität einzubauen, die dann der Benutzer, nämlich jener der sich nicht auskennt und für den es auch gedacht ist, dann nicht benutzen soll? Das wäre doch ziemlich schräg.

Na ja, nach 7 Seiten will ich dann auch noch meinen Senf beitragen.

Ich denke die Leute kaufen sich keine NAS weil sie sonst nicht wissen wohin mit dem Geld.

Jeder der eine NAS -egal welcher Hersteller- kauft, verbindet gewisse Erwartungshaltungen damit. Also, was will ich, was brauch ich, was mache ich mit dem Gerät. Und bereits hier in den frühen Gedanken der Anschaffung trennt sich die Spreu vom Weizen. Der interessierte DAU wird sich nun damit etwas genauer beschäftigen. Evtl. diverse Testberichte von diversen "Fachzeitschrifen" durchlesen, in Foren querlesen, Bekannte etc. fragen. Er schnappt vermutlich hier schon ein ein paar Wertvolle Tipps auf. Das alles VOR dem Kauf.

Und jetzt kommen wir zum Spreu. Die Leute wollen ein NAS, weil man es angeblich halt braucht.
Keine Zeit, keine Lust sich damit zu beschäftigen. Daten drauf kopieren, CloudLink einrichten, alles geht. Und das sind meistens die Leute, welche dann in Foren um Hilfe ersuchen. Auch im anderen Forum von den Synologen. Teilweise Hilfeschreie von Selbstständigen, die nicht mehr an existentielle Daten rankommen. Ich persönlich finde das erschreckend. Nicht jeder User ist ein EDVler, aber wenn ich Anspruch an kritische IT-Infrastruktur habe, muß ich auch bereit sein zu investieren. Sei es in Geld oder Zeit.

Ist genauso wie beim Router. Einmal eingerichtet und das Ding verottet in irgendeiner Schuhkommode. zumindest so lange wie es geht. Updates, Logfiles, Pflege? Wofür? Geht doch alles! Manchmal reicht es nicht von 12 Uhr bis Mittag zu denken.

So, ich habe fertig.

Ist ja alles schön und gut, ändert aber nichts an der tatsache das es eine Sicherheitslücke in den Cloud Diensten von Qnap gibt.

Ich möchte ja gerne die Features nutzen wenn sie einen schon angeboten werden, mometan trau ich mich das nicht die zu aktivieren.

Ich muss ja nicht mit Gewalt ne Malware auf mein Nas laden. Und ja, ich nutze auch die Musikstation und ich möchte darauf auch nicht verzichten.

Momentan ist bei mir alles deaktiviert und nur mit mein Konto verknüpft wegen den Lizenzen.

x1.PNG

Ceiber3 VPN im Router einrichten und am Smartphone selbiges und schon ist es sicher und vor alles in vollen Zügen nutzbar.

PuraVida sry aber wir Beide werden uns nicht mehr einig. Ich lasse dich in deinem Glauben und ich halte an meinem Standpunkt fest.

Also ich stimme PuraVida wg. UPNP zu.

Zitat von Ceiber3

Momentan ist bei mir alles deaktiviert und nur mit mein Konto verknüpft wegen den Lizenzen.

Wenn die Lizenzen auf dem NAS aktiviert sind, kannst du die Verknüpfung wieder aufheben.

UPnP ist in der Tat etwas mit Skepsis zu betrachten.

Zitat von christian

Sicherheit noch mehr in den Vordergrund

Während der Erstinstallation einen weiteren Schritt zum Thema Sicherheit einfügen ...

Das ist meiner Meinung nach ein guter Vorschlag. Bei der Erstinstallation oder auch an dem Punkt, wo man sein Nas-System zum Internet hin öffnet, könnte man ein Fenster mit Sicherheitsinformationen öffnen.

Nachdem immer wieder UPNP genannt wird: ist prinzipiell eine gute Sache, die Geräte machen sich untereinander - auf Augenhöhe sozusagen - aus, welche Ports sie rein bzw. raus benötigen. Wenn - ja wenn da nicht die bösen Trojaner wären, die dann den Router weit wie ein Scheunentor aufmachen können.

Also besser deaktivieren und nur händisch jene Verbindungen (IP's und Ports) aufmachen, die unsere Geräte für ihr Funktionieren brauchen.

Und jetzt kommt meine Kritik an QNAP (passt allerdings auch auf viele andere Hersteller):

Es gibt keine - oder wenn nur gut versteckte - Infos, welche Ports welche App / Funktion benötigen, also was man händisch am Router einstellen sollte, damit Verbindungen funktionieren, auch wenn man UPNP deaktiviert hat.

Hatte auch die Malware drauf und habe zB seit kurzem allen ausgehenden Verkehr meiner NAS'en geblockt und in einer Whitelist nur die Update- / Timeserver- / Antivir- Adressen freigegeben. Mußte aber- auch mit Hilfe des Forums - die IP's selbst raus finden.

Vielleicht hilft's.

Übrigens habe ich vom QNAP Support auf die Frage nach einem "Clean Install nach Malware Befall" folgende Anleitung erhalten:

Hier der einfachste und schnellste Weg das NAS-System neu aufzusetzen, komplett mit Initialisierung:

1. falls möglich: Konfiguration sichern:
-> Systemsteuerung -> System -> Systemkonfiguration -> Reiter "Backup/Einstellungen wiederherstellen" Die erzeugt Datei auf dem PC sichern, nicht auf dem NAS!

2. NAS herunterfahren

3. Festplatten ein Stück herausziehen

4. NAS einschalten, es startet jetzt im Standardmodus, also ohne Konfiguration, diese ist auf den Festplatten

5. Nach dem langen Piepston, nach ca. 3 - 5 Minuten, "Boot complete", bitte die Festplatten wieder einschieben und einen Moment warten, Für jede erkannte Festplatte piepst das System 1 - 2 mal 

6. Im Qfinder pro auf die Zeile mit dem zu initialisierenden NAS-System doppelklicken

7. Im Browser sollte sich nun der Installationsassistent öffnen, der im Folgenden die Möglichkeit bietet 
 a. das System komplett zu initialisieren, also so aufzusetzen als gäbe es gar keine Konfiguration. Achtung: Hier werden DEFINITV DATEN GELÖSCHT

Daneben gibt es bei bestimmten Systemen die Möglichkeit, das NAS-System auf Werkseinstellungen zurückzusetzen OHNE DATEN ZU LÖSCHEN

8. Nun dem Assistenten weiter folgen

9. Nach erfolgter Konfiguration können Sie die die Sicherung der Konfiguration aus 1. auf die gleiche Weise zurückspielen. Alternativ gibt es die Möglichkeit die Konfiguration aus einem automatisch angelegten Backup wiederherzustellen.