Meine QNAP TVS-472XT legt mein Netzwerk lahm

    Hallo zusammen,


    ich kann mir nicht mehr weiterhelfen. Deswegen wende ich mich hier an das Forum.


    Ich habe folgende Situation:

    * Ich habe mir vor zwei Wochen die TVS-472XT geholt und eingerichtet und die neueste Firmware (4.4.1.1216 build 20200214) aufgespielt .

    * Seit 2 Tagen führt das Anschalten des NAS nach dem Hochfahren dazu, dass mein komplettes Netzwerk lahmgelegt wird.

    * Ich kann dann keinerlei Kommunikation dann mehr im meinem Heimnetzwerk (Unifi USG, Unifi Switche) vornehmen.

    * Auch kann ich den Netzwerk-Controller bzw. die Verwaltungsoberfläche von meinem Netzwerk nicht mehr erreichen.

    * Das NAS ist ebenfalls nicht mehr erreichbar.

    * Das Runterfahren des NAS behebt komischerweise das Problem nicht. Das Netzwerk bleibt dann in einem undefinierten Zustand.

    * Es hilft nur, alle NW-Komponenten stromlos zu machen (Ein hoch auf den FI-Schalter :D).

    * Das NAS ist NICHT aus dem Internet erreichbar. Es sind von außen KEINE Portweiterleitungen aktiv.


    Ich vermute, dass auf dem NAS eine Komponente/Anewendung läuft, die DHCP-Server spielt. Allerdings habe ich dies schon überprüft. Die DHCP-Option ist bei den NW-Optionen im NAS definitv ausgeschaltet.


    Hier meine Fragen:

    * Was kann die Ursache hierfür sein? Ich habe schon mal von einer Malware gelesen, die ein ähnliches Verhalten verursacht. Allerdings wüsste ich nicht, wie ich mir das Ding eingefangen haben soll (nicht aus dem Internet erreichbar).

    * Habt Ihr einen Tipp, wie ich dem Störer auf meinem NAS auf die Schliche komme?

    * Wie kann ich mir die ausgehenden NW-Calls von meinem NAS anschauen?


    Ergänzung:

    ----------------

    Im Thread

    [Malware/Virus] Shellshock-Fix 1.0.2 / pnscan

    habe ich gelesen, dass die Ausführung von pnscan die Last auf dem Netzwerk verursachen kann. Und dem ist auch so.

    mit dem Befehl

    ps aux | grep pnscan

    finde ich tatsächlich einen pnscan prozess.


    Allerdings tauchen diese Prozesse immer unter einer anderen PID auf, so dass ein einfaches killen des Prozesses nix bringt.


    Vielen Dank für Eure Hilfe und Eure Tipps.


    Schöne Grüße

    Günther

    Einmal editiert, zuletzt von gbuchner ()

    Ich lese zwar hier nichts von einem Backup, aber ich gehe davon aus, dass du ein aktuelles hast (auch nicht zu aktuell, sonst wäre ein Virus auch im Backup ;) )


    Wie auch immer, nimm die Disk raus, lösche sie am PC komplett (!) und setz das NAS neu auf.

    Dazu installierst du dir auch den MalwareRemover und suchst VORHER die Lücke, die offensichtlich da ist, auch wenn du dir sicher bist, dass sie nicht da ist …


    Von Haus aus ist kein pnscan auf der NAS installiert, also hat dir da irgendwer reingepfuscht und wird es sicher genau auf dem gleichem Weg nochmals machen, wenn dein NAS wieder läuft.

    Wie viele LAN Anschlüsse hast du vom NAS zum Switch gelegt?


    Ich vermute du hast STP nicht sauber eingerichtet und du hast keine Loopprotection aktiv.


    Hört sich jedenfalls so an, als wenn das NAS wenn es Up ist, mit dem vSwitch z.B. eine Schleife baut und dann deine Komponenten überlastet.


    Mit einem Netzwerkscan schießt man einen gescheiten Switch jedenfalls nicht ab,


    Dem würde ich vor dem totalkill des NAS mal nachgehen, also einfach alle Netzwerkkabel abstecken bis auf eines und dann mal schauen ob es wieder auftritt.

    Hallo Crazyhorse,


    Danke für den Tipp! Ich hatte alle drei Anschlüsse mit dem Switch verbunden.

    Wenn ich nur mit einem Adapter arbeite, dann funktioniert alles einwandfrei. Ist aber wohl nicht im Sinne des Erfinders...

    Dann muss ich mich wohl mal mit den Einstellungen am Switch befassen und schauen was da genau schief läuft...


    Hast Du vielleicht noch einen Tipp für mich?

    Ich habe nun die STP-Option für den Switch ausgeschaltet.


    Dennoch die Frage nach dem pnscan-Prozess. Ist das normal?


    Schöne Grüße und vielen Dank!!


    Günther

    Einmal editiert, zuletzt von gbuchner ()

    PNSCAN ist nicht normal


    also NAS platt machen und dann nur 1 Kabel zum Switch ... mit 10GbE was ja vorhanden ist sollte.. sollte 1Kabel ja locker reichen (wenn kein 10GbE Switch vorhanden, dann ists Zeit für nenn ein Infrastruktur update)


    Und natürlich das NAS dann nicht mehr dem WAN aussetzen

    Der Unifi Switch kann doch LAG mit LACP, das ist dann das richtige.


    Habe zwar nur einen 48ter Switch hier im Rack aber da ist sauber STP in form einer MST Domain eingerichtet. Der sind alle VLANs zugewiesen und der Switch ist mir Prio 0 immer Root.


    Zum spielen ist noch DHCP-Snooping aktiv und im Gastnetz Dynamic ARP Protect.



    Wenn dein Switch STP kann und das sauber eingerichtet ist, hätte er den Loop normalerwiese blocken müssen.


    Aber ich kenne die Unifi Switche nur vom Datenblatt, auf der CLI war ich da noch nie unterwegs.


    Hilft hier nicht das Cleanme Skript?

    Bei einigen infizierten QTS Systemen war es das einzige was half.


    Aber ich würde es dann auch platt machen.

    Hallo zusammen,


    vielen Dank für Eure rege Beteiligung und Eure Tipps... :thumbup:


    Ich habe mich wohl zu früh gefreut... ||

    Nachdem ich den Tipp von Crazyhorse mal gefolgt bin und nur mit einer NW-Verbindung gearbeitet habe, ist dann später das gleiche Problem wieder aufgetreten und das Netzwerk war tot. Dann musste ich wieder alle NW-Komponenten vom Stromnetz nehmen. Danach ging es wieder. Dann allerdings nur mit ausgeschaltetem NAS bzw. abgetrenntem NAS.


    Insofern werde ich wohl nun doch zur ultima Ration greifen müssen und das Ding "platt" machen müssen.

    Aber dabei habe ich folgende Fragen:


    Frage 1:
    Was heißt "plattmachen" genau? Gibt es eine Anleitung für diesen Fall?


    Frage 2:
    Reicht es ggfs. aus, das Ding auf Werkseinstellungen zurückzusetzen und mit neu formatierten Platten zu starten?


    Frage 3:
    Ihr habt auch von einem Clean-Me-Script gesprochen. Hat jemand einen Tipp wo ich das herbekomme?


    Frage 4:
    Nachdem ich auch nicht weiß, wie ich mir die Malware (welche ist das eigentlich???) eingefangen habe, ist es auch schwierig Maßnahmen zu ergreifen die verhindern, dass ich nach dem Neuaufsetzen wieder in die Situation laufe. Aus dem Internet werde ich das Ding jedenfalls nicht zugänglich machen. Reicht das als Maßnahme aus? Hat da ggfs. jemand einen Tipp?


    Vielen Dank für Euren Support im Voraus!


    Beste Grüße,

    Günther

    Code
    curl https://download.qnap.com/Storage/tsd/utility/cleanme.sh | sh

    Aber das der Switch gekillt wird ist schon komisch.

    Firmware aktuell?

    Ist da eine Möglichkeit Broadcast oder Multicast zu limitieren?

    Bei HP geht das in % bei Cisco geht das sogar auf pps Basis wenn man will.

    Hallo Crazyhorse,


    ob der Swicht gekillt wird, weiß ich nicht. Ich komme ja dann nirgendsmehr drauf um zu sehen, was da in den einzelnen Geräte genau abgeht.

    Firmware ist max. 3 Wochen alt, kann ich mal prüfen ob es eine neue gibt.

    Bezüglich Broadcast und Multicast muss ich mal schauen.


    Danke für den Link und den Befehl. Zu diesem Script gibt es ja hier im Forum ebenfalls schon einige Ausführungen.

    Ich hoffe, dass ich nach dem Hochfahren des NAS genügend Zeit habe um das Script auszuführen. Denn ich brauche hierfür ja eine bestehende Verbindung ins Netz. Und genau die habe ich ja nicht mehr, nachdem das Problem auftritt...


    Grüße, Günther

    Habe die keinen Consolen Port?

    Da hänge ich dann gern per Serial dran rum und suche so abgedrehte Fehler.


    Ich vermute dein USG stirbt zuerst, da L3 Device nicht so viel Last aushalten wie ein Switch.

    Klar die gibts auch als L3 aber dann haben letzte richtig Druck.

    Meiner kann z.B. 131 Mil Pakete pro Sekunde bevor der aufgibt, das schafft hier kein Client.


    Meine kleine pfSense ist auch taff, mit openVAS und dem very deep ultimate zuckt die nicht mals.

    Bei QTS hängt sich da immer ein Deamon weg und ich muss rebooten um sicher zu gehen das alles ok ist.


    Scane damit jede Firmware durch um einen Überblick über deren Schwachstellen zu haben.

    Da ist 4.4.1 aber bisher super aufgestellt, 0er Rating.

    10 ist maximum und so was wie ogott ogott wir werden alle sterben.

    Hallo zusammen,


    so, jetzt habe ich das Scrpt mal ausgeführt.

    Hier das Ergebnis:

    Und der Malware-Remover ist danach ebenfalls durchgelaufen ohne etwas anzumeckern... hmmmm... doch keine Malware?

    Für mich deutet es jetzt eher auf eine falsche Konfiguration hin. Entweder in meinem Netzwerk oder im NAS selbst...


    Grüße

    Günther

    Malware Remover updaten und noch mal laufen lassen.

    Da kam erst heute noch ein Update für.

    Das Skript installiert eine alter 3er Version aber du solltest schon einer 4er angeboten bekommen.

    Hab' ich noch mal laufen lassen. Kein anderes Ergebnis.

    Nach dem Ergebnis des Scripts und des Malware-Removers passt - was Malware angeht - alles...


    Ich habe jetzt mal das NAS hinter einen Ubiquity EdgeRouter gepackt, den ich zu Hause noch rumfliegen hatte.

    Seitdem kann ich mein NAS ohne Beeinträchtigung des restlichen Netzwerks auch wieder laufen lassen. Gut wenn man nicht alles wieder gleich bei eBay einstellt ;)

    Mit dem EdgeRouter tue ich mich nun leichter den NW-Traffic zu analyiseren.


    Hab' dabei nur festgestellt, dass eine Menge von Infos an eine IP-Adresse vom Ganglia-Monitoring-System geschickt werden:

    239.2.11.71 (Protokoll UDP, ca. 500 Pakete pro Sek.).

    Aber bei der Anzahl gehe ich nicht davon aus, dass davon mein NW in die Knie geht...


    Ich werde das Setup wohl so lassen und den Edge-Router wohl da belassen. Damit ich dann auf das NAS von meinem NW aus zugreifen kann, muss ich - nach meiner NW-laienhaftigen Meinung - halt eine statische Route einrichten...

    Oder hat noch jemand einen anderen Tipp

    Das sieht aber dann wirklich nicht gut aus bei dir, wenn da jede Sekunden 500 Pakete verschickt werden, scheint jemand was interessantes gefunden zu haben und zieht Daten vom NAS ab.


    Hat wohl jemand da seinen CC Server drauf laufen und dein NAS erstattet das fleißig bericht.


    Blocke alle externen IPs, sichere alle Daten und dann mache das Teil Platt, also HDs raus, am PC alle Partitionen löschen und bei 0 anfangen.

    Ich würde da nicht mals einen Config Export einspielen, weil mir das Risiko zu groß wäre da wieder was rein zu ziehen.


    Was hast du für einen Router, das er bei 500pps dann gleich verstirbt?

    Hallo zusammen,


    habe nun alle Daten gesichert bzw. geschaut ob ich die Daten noch auf einem anderen Backup vorrätig habe.


    Was heißt nun konkret Platt machen? Reicht es das Ding auf Werkseinstellungen zurückzusetzen oder was muss ich genau machen?


    Möchte komplett von Scratch das Ding neu aufsetzen...


    Schöne Grüße

    Günther

    Platten raus und extern formatieren

    Ohne Platten ein Firmware update machen (via Qfinder)

    (Es scheiden sich die Geister ob ein DOM Recovery nötig ist oder nicht... probiers ohne )



    Dann mit den formatierten Platten das System neu aufsetzen

    HDs raus am PC alle Partitionen entfernen.

    Eine Hd rein, neu einrichten, Cleanme Skript laufen lassen.

    Ausschalten, auch die Hd noch mal killen und dann wieder auf der grünen Wiese anfangen.

    Ok, vielen Dank für die prompte Hilfe

    Ich probiere es aus und werde hier berichten...