QNAP handelt SELBSTSTÄNDIG (Sicherheitsrisiko)

    Hallo Leute,


    ich hab seit einiger Zeit ein NAS, war bis vor kurzem sehr zufrieden.

    TS-453S Pro


    Bisher lief der kleine Kasten nur im einem localen Netzwerk, ohne irgendwelche Updates etc...


    Dann hatte ich mal etwas Zeit und gedacht gehandelt, okey die Kiste kann ja auch im WAN sein.

    Gesagt getan. Dann Updates gemacht und noch 1/2 Pakete probiert, glaube Virtualisation Sation und Docker.



    Jetzt öffne ich vor 3 Wochen den Browser mit http://192.168.X.X (NAS)

    NIX

    Nicht erreichbar, gut QFINDER an, QNAP ist noch da, aber:

    Hat einen anderen Namen, und diese Standart DHCP ip, wie nach nem Rücksetzten, sowie Passwort/USR admin/admin.


    Auf den ersten Blick keine Daten mehr da. Horrorshow. Angst, Trauer WUT.....

    Hat "Jemand" den Reset Button gedrückt ? Vielleicht zu lange, weil da an der Kiste was Blinkt, und oder dort Staubgesaugt werden sollte oder weiß der Geier...?? (ich380)


    Gut alle Daten mussten dann nur neu Verknüpft werden, alles noch da, Frieden.


    Die Kiste wieder der IP Adresse 192.168.X.X zugewiesen, UPdate, Passwort geändert....

    Alles ok.


    2-3-4 Tage vergehen die Karre lief die ganze Zeit und ich heute will zugreifen.

    NIX


    Gleiches Spiel, IP (dhcp kram), admin/admin, Hintergrundbild verändert, also wieder zurückgesetzt?

    Wie geht das? Das war nun das 2. Mal.


    Alles seit dem ich die Karre im WAN hab und UPDATES gemacht hab.


    Was soll ich jetzt machen?

    Das ist ein erhebliches Sicherheitsrisiko!

    Das mit dem WAN war einfach keine gute Idee. Ansonsten bleibt da wohl nicht viel als komplett neu aufsetzen. Und im Zweifel wirklich auch das DOM überbügeln um sicher zu sein. Und vielleicht nochmal Zugriffsschutz für QNAP Beginner durchlesen. Es ist einfach ein Trugschluss dass man einen Heimserver einfach so sicher ins (Welt)Netz hängen kann. Egal was der Hersteller behauptet. Man muss immer damit rechnen gehackt zu werden und deshalb sorgfältigst die Angriffsfläche so klein wie möglich halten.

    "Zugriffsschutz für QNAP Beginner" ist ganz hilfreich, danke. Also könnte das Qnap über die Dienste, die Aktive sind, angegriffen worden sein. Whooow

    Das ist alles schon recht heftig ich sitzte hinter einer Firewall da ist fast nix offen außer 3 oder 4 Ports. Gibs bei nem QNAP auch iptables ? Und welche Ports nutzt das QNAP überhaupt, bei Update hatte die Firewall gesagt nur 443. Aber das LOG hab ich nicht mehr.

    Das würde bedeuten, das eventuell Updateserver kompromittiert sind?


    -Was ist ein denn ein DOM? Da denk ich an Qubes OS und dom0, Xen-> dom0?

    Oder an das Spiel Doom, ‚böses Schicksal', was schon recht treffend ist.

    Das DOM (DiskOnModule) ist im Prinzip die Bootpartitiion, auf der die FW liegt. Es gibt durchaus Malware, die sich da einnisten kann, deswegen muss man am besten wohl mit QFinder ein FW Upgrade/Downgrade machen. Details weiß ich jetzt nicht so genau.


    Ansonsten reicht es, wenn ein Port offen ist und die dort aktive Webanwendung wie bspw. MusicStation ( was wohl gerade das Einfallstor ist, man eiert aus meiner Sicht da ziemlich herum) eine Sicherheitslücke hat. Es könnte auch ein beliebiger anderer komprommitierbarer Dienst sein, i.d.R. haben die Webanwendungen ein Loch. Man fragt sich, warum diese Dienste nicht mit eingeschränkten Rechten laufen, so dass wenigstens nicht der root Account komprommitiert werden kann. Aber da habe ich keinen Detail Einblick.

    Zitat von Quantenteleportation

    Firewall da ist fast nix offen außer 3 oder 4 Ports.


    Wie gesagt, es reicht EINE unsichere Anwendung. Und nach solchen Sicherheitslücken suchen Bots automatisiert. Und das ist wie bei Windows früher: je weiter die Verbreitung desto eher werden Lücken ausgenutzt.

    Aha okey, DiskOnModule hab auch schon einen Beitrag gefunden wie man das anstellt. Was allerdings sehr aufwendig ist. Wenn ich sicher sein will werd ichs wohl machen müssen.


    Was ich grad noch herrausgefunden hab in Aktive Verbindungen das das Qnap im Netzwerk irgendwas macht. Kann ich mir nicht erklären.


    UDP Quelle 0.0.0.0:68 Ziel 255.255.255.255:67

    und wenn man es neustartet

    UDP Quelle 0.0.0.0:68 Ziel 255.255.255.255:67 und

    168.X.X.X:8097(QNAP, dhcp_ip) mit dem Ziel 255.255.255.255:8097

    Transfer Blinkt im Sekundentackt im KB Bereich


    Hab noch nichts geändert nach dieser 2. Ominösen Werkseinstellungs-Zurücksetztung, so will ich das mal Nennen.

    Quantenteleportation Es fehlen soviele Angaben um überhaupt abschätzen zu können, was schief läuft oder was die Ursache ist!


    1. Welche Firmware?

    2. Läuft bei dir der Malware Remover, wenn ja welche Version?

    3. Welche Ports waren oder sind geöffnet?

    4. Was steht in den Logs?

    5. Welche Applikationen (App Center) sind auf dem NAS installiert?


    mfg

    Christian

    1. Firmware 4.3.6.0805

    2. Malware Remover Version 3.4.1 soeben Installiert und 2x durchlaufen lassen, nix

    3. Ports 53,443,80,995,587,22

    4. Im Dateianhänge hab ich 2 Bilder reingehängt.

    (QNAP lief die letzten Tage)

    Also 14.00 Uhr versteh ich noch da werd ich wohl grad Heim sein und den Netzstecker der Firewall reingesteckt haben, die Zieh ich Abends machmal ab.

    Aber 4.00 Uhr Nachts, da schlaf ich, definitiv.


    5. Virtualisation Station und Docker hatte ich mal Installiert sonst alles im orginalenZusand.ScreenHunter 439.pngScreenHunter 440.png

    Wenn du wirklich all diese Ports offen hast, dann häng doch bitte gleich den Haustürschlüssel außen am Haus auf. :S


    Warum sind denn all diese Ports offen, warum nutzt du kein VPN, wer hat dich beraten?


    Wie sich ist das Passwort vom Admin, wieviele Admins gibt es auf dem System noch?

    Hier im Forum gibts schon einen Thread über kürzlich erfolgte gekapperte NASen. Malware Remover und gucken ob die /etc/hosts sauber ist.

    Sauber ssh direkt erreichbar.

    Und warum ist von außen IMAP SMTP und DNS zu erreichen?


    Das ist als stellst du nen Porsche GT mit laufendem Motor in der dunkelsten Ecke der Stadt ab um dir nebenan ne Pizza zu holen.


    Wenn die Hostdatei sauber ist, mache 3 Kreuze im Kalender und fange neu an.

    Dein Glück war dann der Crash+Reset.

    So welchselte das NAS die IP und die Portfreigaben liefen ins leere.


    Aber es kann noch was drauf dein, um sicher zu gehen ist ein DOM Recovery notwendig.

    Nur weil die Ports in der Übersicht der NAS geöffnet sind, heißt es ja nicht das im Router auch entsprechende Freigaben existieren.

    - In der /etc/hosts seht nur 127.0.0.1 localhost


    Zu den Ports also das sind die Ports in openwrt

    53 DNS, 443 https, 80 http, 995 pop3 für mails und 587 smpt out, und 22 brauch ich für den VPS im Netz

    Die Netzwerkarchitektur sieht so aus:

    DSL Router-> wlan verbindung zu openwrt (firewall) geht nicht anders, ist dann auch doppel NAT und der verwaltet dann mein kleines Netzwerk hier. In dem dann auch das NAS steht.


    Es gibt nur ein admin als Benutzer.

    Sind in dem Konstrukt die Ports am DSL Router in Richtung Firewall auch geöffnet?

    Zitat von Quantenteleportation

    Dann hatte ich mal etwas Zeit und gedacht gehandelt, okey die Kiste kann ja auch im WAN sein.

    Gesagt getan.

    Waren die Ports mal auf? Es geht mir darum eingrenzen zu können, ob der Zugriff von außen, also dem bösen Internet, mal möglich war. Die Aussage schwimmt hier gerade etwas und müsste mal eindeutig geklärt werden.

    In dem DSL Router war mal ein Port auf das ist wahr. Den hab ich heut geschlossen.

    Das war 5353 da hatte ich mal was mit pihole und stubby umgespielt und DNS over TLS, usw.

    Naklar das ist es wohl und da hatte ich dann aufgegeben und das ding nicht gleich geschlossen und zu dem Zeitpunkt war er dann auch im openwrt offen.

    Die Port öffnung im openwrt hab ich nach dem experiment gleich geschlossen aber wie gesagt in dem DSL router gelassen.

    Indriga, das könnte es echt sein, Hammer.

    Das ich mir dort was eingefangen hab und das jetzt noch irgendwie auf der Kiste ist.

    Zitat von Quantenteleportation

    In dem DSL Router war mal ein Port auf das ist wahr. Den hab ich heut geschlossen.

    Jetzt ist hier nur noch die Frage wohin die Portöffnung gezielt hat, also welche interne Ziel-IP Adresse und welcher Zielport.

    Wo lief denn der pihole? Auf der NAS oder auf einer dedizierten Hardware?

    Wenn ich das richtig verstehe läuft die Kette aus deinem Netz via Port 5353 heraus dann so ab:


    PiHole <--> openwrt <--> DSL Router <--> WWW

    Wenn die Portfreigabe auf der Firewall auch nur auf den PiHole auf Port 5353 gezeigt hat, hätte man von außen den PiHole übernehmen müssen um dann dort via SSH o.ä. auf deine NAS zuzugreifen. Sehe ich das richtig? Hast du eventuell noch Zugriff auf entsprechende Logs in deiner Firewall?

    Das Szenario ist zwar möglich, aber aus meiner Sicht so aufwändig, dass da schon mehr als nur ein Automatismus am Werk sein muss. Wenn du auf sämtlichen Netzwerkgeräten (hoffentlich) starke und unterschiedliche Administratorkennwörter hast, minimiert das auch wieder die Wahrscheinlichkeit hier übernommen worden zu sein.

    Das Szenario klingt wirklich sehr späktakulär, das siehst du vollkommen richtig.

    -openwrt und DSL Router sind auch in unterschiedlichen Netzklassen-

    Openwrt zeigt mir mit dem Befehl logread nur logs bis zum letzten neustart also heute Nachmittag an.

    Crazyhorse, hat gemeint "um sicher zu gehen ist ein DOM Recovery notwendig"
    Das wird jetzt erstmal ein Hammer, weil ich ja die Daten alle sichern muss.

    Ich hab gar nicht so viel Speicher. Oder soll ich noch mal die FW rüberinstallieren und selbst noch mal den Reset starten (ohne Datenverlust).

    Dann warten paa Tage und gucken obs wider passiert, ein 3.tes mal?

    Dann hätte ich ja noch ne LOG vielleicht istś wieder um 4.00 Uhr Nachts, dann wäre ja irgendwie ein System dahinter und es wäre klar das irgendwas dieses selbstständigen recovers auslöst.

    Ich brauch erstmal ein Bier und ein Schlachtplan, das wird ja sicherlich auch das ganze Wochenende dauern. Na zum Glück steht das vor der Tür.