Qsnatch: Email von Provider, NAS auf Werkseinstellungen

  • Hallo,


    habe eine Mail vom Provider bekommen, er habe den Virus Qsnatch entdeckt und ich solle handeln.

    Nach einer Anfrage bei Herrn Google und den Verweis auf einen Heisse Artikel bin ich jetzt hier.

    Was genau macht dieser Virus?

    Muss ich das ganz NAS platt machen?

    Die Updatefunktion über den Client klappt auch nicht.


    Danke erst mal



    Der Spender

  • Muss ich das ganz NAS platt machen?

    Jup, alles andere ist Zeitverschwendung.

    Platt machen heißt allerdings Platten raus und ALLE (!) Partitionen löschen, z.B. mit Adapter am PC ...


    Wichtiger als alles neu machen ist allerdings die Frage wie der Virus auf die NAS kam und schließen der Lücken!!!

  • Richtig, bevor platt gemacht und neu aufgesetzt wird, solltest du die Portfreigaben in deinem Router (falls aktiv auch UPNP) deaktivieren, denn dadurch wurden die NAS infiziert.

    Leider funktioniert das Prinzip einer einfachen Cloud zu Hause, mittels NAS, nicht.

  • @ UpSpin

    Habe in der Fritzbox unter Heimnetz-->Netzwerk die NAS und deren Berechtigungen gelöscht, diese standen auf selbst. Portfreigabe. WEnn ich das NAS neuaufsetze, welche Möglichkeiten habe ich, dass ich nur bestimmte Ports freigebe? Oder wie mache ich das am besten, sicherer als das letzte

    Mal.

    @ Diablo

    Ja, das ist eine interessante Frage. Ich nutze die NAS immer, um Worrd-dokumente herunterzuladen und heraufzuladen, wenn ich unterwegs bin. Also Zugriff per Qfile-App oder per Browser über https. Habe gehen, dass noch http auch aktivert war...


    Es dankt

    der Spender

  • Einzig VPN wäre die Zugriffsmethode von außen.

    Alles andere ist wieder eine Enladung für alle mögliche Malware.

    Und VPN am Router, nicht auf dem NAS.


    Gruss


    P.S. Da Du eine Fritze hast: auf AVM.de sind ausführliche Anleitungen zur Einrichtung von VPN über ein myfritz.net Konto.

  • Oder wie mache ich das am besten, sicherer als das letzte Mal.

    Wie schon gesagt wurde, VPN. Eine andere sichere Möglichkeit mittels NAS gibt es nicht. Dies ist natürlich nicht mehr komfortabel und evtl. auch nicht praktikabel, da du dann nichts mehr mit der Familie oder Freunden teilen kannst und auch praktisch keine automatischen Synchronisierungsdienste mehr nutzen kannst. D.h. von unterwegs: immer erst VPN Tunnel aufbauen, dann auf die NAS zugreifen.


    Die Alternative ist, die NAS als NAS zu nutzen und nicht ins Internet zu setzen (keine Portweiterleitung). Stattdessen einen kleinen Server daheim aufsetzen und diesen vom Internet aus erreichbar machen. Das erfordert aber tiefere Linux Kenntnisse, viel Einarbeitungszeit und die Bereitschaft wöchentlich nach dem rechten zu schauen.


    Die von den NAS Herstellern beworbene Plug'n Play Cloud Funktionalität funktioniert leider nicht.

  • Das erfordert aber tiefere Linux Kenntnisse, viel Einarbeitungszeit und die Bereitschaft wöchentlich nach dem rechten zu schauen.

    ... und zusätzliche Schutzmaßnahmen, auf die eine oder andere Weise. Ein Linux out of the Box hat hier auch nichts entgegen zu setzen.

  • Ich habe das Problem derzeit auch, mittlerweile sogar die zweite Mail.

    Dachte eigentlich meine TS-121 wieder sauber zu haben, nach kompletten factory reset, FW Update, Malware Remover, Zugangsbeschränkung usw..


    Mein NAS braucht eigentlich nur noch für mein LMS eine Internetverbindung, für online Radio. Gibt es eine Möglichkeit, gezielt nur diese Ports ins Netz zu lassen?

  • Kein Zugriff von Außen mehr möglich?

    Alle Ports von Außen nach Innen geschlossen?

    uPnP am Router deaktiviert?

    Firmware und Apps aktuell?

  • "Eigentlich" habe ich nur Ports freigeschaltet, damit es eben FW Updates usw. bekommt. Eine Zugriffsbeschränkung im NAS habe ich auch eingerichtet, nur Geräte aus meinem LAN dürfen sich verbinden!


    uPnP ist glaub ich aktiviert, könnte auch nur der Router gewesen sein. Da bin ich mir gerade nicht mehr sicher.

    Firmware und Apps habe ich über das NAS updaten lassen, vll war das schon der Fehler, aber angeblich sollte der aktuelle Malware Remover ja mit QSnatch klarkommen?


    Wenn ich zuhause bin, klemme ich das NAS nochmal über die MAC von der Außenwelt ab. Dann funktioniert halt leider mein Internet Radio nicht mehr. Den Logitech Media Server hätte ich schon gern noch im Betrieb, immerhin habe ich noch Squeezebox Geräte im Haus.

  • Für Firmware Updates ist keine Portweiterleitung vom Internet aus auf das NAT notwendig.


    Sofort abschalten!


    Das NAS baut selber die Verbindung ins Internet auf und der Rückweg ist dann für diese eine Verbindung frei geschaltet.

    Ist der Download der App abgeschlossen, wird die Tür wieder zu gemacht.

    Und es kommen auch nur Datenpakete durch die Tür, die die passenden Session ID haben.


    So ist es bei jeder gescheiten Firewall die Statefull arbeitet und das sollten inzwischen auch einfach Router können.


    Also alles noch mal, NAS Platt machen, alles neu einrichten und dann alles zumachen von außen.


    Die Malware braucht den Benutzernamen nicht raten, diese nutzt eine Lücke in der Firmware QTS aus, da greift kein Filter der Verbindungen nicht zulässt.

    Denn ein QTS System hat keine Statefull Firewall die so was blocken kann.

    Wenn ein Angreifer von außen über einen Port an das QTS kommt, kann er eine Lücke ausnutzen und ist direkt mit seinem Codeblock als Root aktiv auf der Kiste.

    Alles weitere passiert dann von innen heraus.


    Also lese unbedingt den Artikel in Beitrag 6, das ist für das Verständnis der Thematik als Grundlage essentiell.

  • Beitrag 6 hab ich gelesen und werde Anpassungen vornehmen. Gerade aber nicht die Zeit dafür.

    Deshalb hab ich mein NAS über die MAC Adresse geblockt.


    Ich habe eine Connect Box von Unitymedia, wie kann ich da alles "dicht" machen von außen?

  • UPnP abschalten, Protweiterleitung abschalten, mehr geht bei dem Ding nicht, das ist Netzwerktechnisch "Schrott".

  • Ich habe nun alle Portweiterleitungen und UPnP am Router und NAS deaktiviert und setze nun auf Werkseinstellungen zurück.

    Falls ich ein drittes mal von QSNATCH heimgesucht werde, berichte ich natürlich.


    Darf ich denn die sonstigen NAS Settings über den Import wiederherstellen, oder muss ich alles von neu machen?

  • Beim Import bzw. schon vorher, VOR dem Export noch mal die crontab und die dort eingetragenden Scripts kontrollieren, nicht nur mit crontab -l oder -e, sondern auch in /etc/config/crontab.


    Kann sonst sein, das Malware Scripte durch den Import wieder mit zurückkommen.


    Gruss

  • Gut zu wissen, wie muss ich das machen, dass sagt mir gerade nichts.


    Und vor allem, wenn ich was auffälliges finde, wie lösche ich die Skripte?

  • Unix/Linux Kenntnisse sind erforderlich 8).

    Per SSH auf das NAS verbinden, dann landest Du im CLI.

    Dort im Verzeichnis /etc/config die Datei crontab öffnen und nach merkwürdigen Einträgen suchen.


    Wenn so etwas auftaucht (siehe die mit # auskommentierten Zeilen), dann hast Du auf alle Fälle Malware.

    Die Zeilen und auch die dazugehörigen Scripte müssen entfernt werden.


    Der Code stammt nicht von einem meiner NAS ;), sondern aus einem Post im US Forum und dient nur als Beispiel.

    Am Pfad /share/MD0_DATA sieht man, das es ältere (Legacy) Firmware ist, sonst hiesse der Pfad /share/CACHEDEV...


    Sollte ein Script qpkg_util vorhanden sein, dann ebenfalls kontrollieren. Laut US Forum ist das auch ein Fake und lädt Malware.


    In der CLI vorsichtig hantieren, macht man dort Fehler, kann man das NAS zum Briefbeschwerer machen!


    Gruss


  • Alles klar, so ein kleinwenig Erfahrung mit Putty habe ich schon.

    Dann schaue ich mir die Crontab gleich mal an, wenn ich meine Config importiere, hatte leider schon den Reset eingeleitet vorhin.

  • Noch einfacher ginge es mit WinSCP (mein Favorit für solche Änderungen ;-) )


    Vorteil von WinSCP, da kannst du gleich mit einem "ordentlichem" Editor das File bearbeiten UND (!) auch gleich VORHER auf dem NAS eine lokale Kopie erstellen, bzw. um ganz sicher zu sein, auch gleich auf den PC runter laden ...


    Wenn du dir dann nicht sicher bist, ob zu zu viel gelöscht hast, kannst du die Kopie zurückschreiben ...