Mir persönlich ist es auch nicht untergekommen, aber es wurde hier schon öfter berichtet, das einige Funktionen nur mit dem Original Admin "admin" gehen.
Zuletzt vor einigen Tagen, da ging es, soweit ich mich erinnere, um eine Synchronisationsgeschichte.
Ob zwischen zwei NAS oder NAS/Cloud weiß ich nicht mehr.
Gruss
Ja. Sicherheitslücken über die man ohne Login und damit auch ohne Logging aufs NAS kommt.
Schau dir einfach mal hier https://forum.qnapclub.de/wsc/…ist/24-firmware-software/ die letzten 11 Meldungen an.
Die Logs sind im Übrigen bei erfolgreichem Angriff beliebig verfälschbar und somit wenig aussagekräftig.
Ja das ist ja wirklich erschreckend, welche Anzahl da an "Vulnerabilities" gemeldet wird, da kommt noch ein andere wichtiger Tip, ich hallte alle meine Apps und QTS OP System immer aktuell, da ich täglich mit dem System Arbeite bin ich fast immer drauf und kann die Updates manuell ausführen, jetzt habe ich auch 4.5.1.1495 (2020/11/23) (hatte in dem Beitrag davor leider nicht den letzten Update Logineintrag gepostet)
Aber was ist dann die Aussage von euch hier in dem Forum, eine QNAP darf nicht ans Netz? Das kann's doch auch nicht sein, das würde es bei mir Obsolet machen.
Bzw. einen Tip, wie stellt Ihr fest bzw. versucht Ihr herauszufinden, ob das System kompromittiert ist? Schaue mir auch öfter mal über SHH die Prozesse an und kann dort eigentlich nichts wirklich Ungewöhnliches sehen.
Als ich kann sicher sagen, das ich max. 7 Tage nachdem Updates vom QTS oder den APPS erscheinen, ich diese ziehe. Sollte ich auf automatische Updates umschalten bzw. wie macht Ihr das?
wie macht Ihr das?
Ich Regel alles über VPN.
Egal ob Musik oder Überwachungskamera.
Sollte ich auf automatische Updates umschalten bzw. wie macht Ihr das?
Auf keinen Fall!
Dafür hat QNAP zu viele Updates herausgebracht, die das System unbrauchbar machen können!
Update zur Kenntnis nehmen, Image downloaden, Release Notes LESEN!
Dann einige Tage abwarten was im Forum dazu geschrieben wird und bei positiver Resonanz updaten 
.
Einer muss natürlich mit den Updates anfangen 
.
Aber was ist dann die Aussage von euch hier in dem Forum, eine QNAP darf nicht ans Netz?
Nicht offen!
Offen heißt im weiteren Sinn: nicht ohne VPN!
Alles andere ist purer Leichtsinn!
Sicherheit steht der Bedienerfreundlichkeit diametral gegenüber.
Du musst entscheiden, was Dir wichtiger ist.
Das Argument: "ich habe Anwender, die sind nicht IT-Affin, das ist zu kompliziert" lasse ich nicht gelten, so jemand käme nicht auf mein NAS!
Wer fahren will braucht einen Führerschein, und VPN ist keine Quantenphysik.
Gruss
Ich Regel alles über VPN.
Egal ob Musik oder Überwachungskamera.
Also ich Synce z.B. über Baikal meine Kalender und Adressen von allen Endgeräten, ich nutze Qmail über Handy & Tablet und das nutzen auch einige meiner Kollegen bei mir so, da ist eine VPN Verbindung recht unbrauchbar. Bei einigen Endgeräten auch gar nicht möglich. Also sagt Ihr, QNAP nur über VPN ans Netz?
Was heißt genau "in der Regel" in Deinem Beitrag? Wir haben auch zwei Systeme am Laufen, an je zwei Standorten, diese sind über einen OpenVPN Tunnel und Hybrid Sync am Arbeiten, aber das eine System habe ich im Netz "Exposeed" um mir und den anderen Kollegen die Services zu ermöglichen. Und ehrlich gesagt mache ich das Hauptsächlich, weil ich meine Daten nicht in die Google Cloud oder sonst was legen möchte, da ich das auch für Datentechnisch nicht vertretbar halte, aber wenn ich Sie alternative dazu natürlich in "Hacker Hände" gebe, wäre das sicher fataler... Bis ich diesen Beitrag hier gefunden habe, habe ich mich eigentlich mit meiner Lösung recht gut gefühlt, das Gefühl schwindet aber mit jedem Beitrag hier...
Ok da haben sich unsere letzten Beiträge überschnitten, da ich in einer Firma Hauptberuflich Arbeite und das NAS u.a. für ein Spin-Off nutze, habe ich das Problem, dass ich aus unserem Firmennetz heraus keine VPN Verbindung nach außen aufbauen kann. Es geht weniger um die "will nicht" Thematik als um die kann es kaum umsetzten Thematik.
Und ehrlich gesagt viel meiner NAS nutzenden Kollegen würde sowieso lieber Google Drive oder gar Dropbox oder so was nutzen, was ich immer wieder verneine. Aber wie gesagt, wenn mir der Kram jetzt Kompromittiert wird ist es sicherlich schlechter.
a. Ich hatte das vorab schon mal gefragt, was sind Indizes für Euch, dass es kompremetiert wurde? Angriffe registriere ich seit Jahren....und sperre dann immer Brav die IPs und Räume...
b. Gibt es eigentlich ein SHH Tunnel QPKG Plugin?
Grüße und Danke für die Antworten...
aber wenn ich Sie alternative dazu natürlich in "Hacker Hände" gebe, wäre das sicher fataler...
Darfst dich noch was schlechter fühlen:
https://www.qnap.com/en/security-advisories/
https://www.zdnet.com/article/…-remote-takeover-attacks/
https://www.bleepingcomputer.c…-lead-to-device-takeover/
https://www.bleepingcomputer.c…-with-3-year-old-rce-bug/
Wer private oder Firmenqnaps ins Netz stellt .. ohhhhweia
Privat ist eine Sache, aber mit Geschäftsdaten!?
Und wenn dann auch noch personenbezogene Daten nach DSGVO drauf sind...
Dann kann es lustig werden - und teuer!
Gruss
Mir persönlich ist es auch nicht untergekommen, aber es wurde hier schon öfter berichtet, das einige Funktionen nur mit dem Original Admin "admin" gehen.
Zuletzt vor einigen Tagen, da ging es, soweit ich mich erinnere, um eine Synchronisationsgeschichte.
Ob zwischen zwei NAS oder NAS/Cloud weiß ich nicht mehr.
Gruss
Danke, dazu kann ich wirklich sagen, habe ich noch kein Problem gehabt und rate ich jedem der ein QNAP hat, 99,9 % aller Angriffe kommen mit dem admin user.
Sicher?.. brutforce Attacken aufs QTS Web bestimmt gerne mit 'admin' ..aber was passiert bei 0days ? ... da wird nix geloggt!
Also
Privat ist eine Sache, aber mit Geschäftsdaten!?
Und wenn dann auch noch personenbezogene Daten nach DSGVO drauf sind...
Dann kann es lustig werden - und teuer!
Gruss
Also nur das wir uns hier richtig verstehen, ich habe vor dem Ganzen einen Cisco Router, von dem habe ich Portweiterleitungen der Ports 80-85, 8080-8083, 443, 1723, 1194, 873 zum NAS, mehr nicht. Den VPN Tunnel in das andere Büro stelle ich auch mit dem Cisco Router System her.
Na dann passt es doch, was den VPN Tunnel angeht.
Aber warum Portweiterleitungen? Warum nicht auch hier einen VPN Zugang?
Gruss
Sicher?.. brutforce Attacken aufs QTS Web bestimmt gerne mit 'admin' ..aber was passiert bei 0days ? ... da wird nix geloggt!
Da kann ich dir leider nicht folgen, was ist 0days? Da bin ich wahrscheinlich zuviel Laie...
Ok, habe gerade 0days gegoogelt, also Schwachstellen die vor dem Vorhandensein eines Patch schon genutzt werden, da bin ich dann in der Tat am Ende. Aber nochmal, das gilt dann doch für jedweden Server im Netz oder?
Na dann passt es doch, was den VPN Tunnel angeht.
Aber warum Portweiterleitungen? Warum nicht auch hier einen VPN Zugang?
Gruss
Wie im Blog 11 geschrieben kann ich und einige Kollegen an bestimmten Endgeräten bzw. bestimmten "Zeiten" keinen VPN Tunnel zum NAS aufbauen, deswegen die Portweiterleitung bzw. der Bedarf bestimmte Sachen direkt übers NAS zu handhaben. Weiterhin habe ich die User über openLDAP am NAS und kann so z.b. auch die VPNs der einzelnen bzw. alle Zugänge über eine Userdaten Basis abhandeln. Den Router an das open LDAP anzuschließen habe ich der Arbeit wegen gescheut (bzw. glaube ich auch nicht, dass ich das hinbekomme). Ist das verständlich?
Bzw. viel wichtiger, seht ihr die dedizierte Portweiterleitung nach wie vor als extrem unsicher an - (folgende dedizierte Ports 80-85, 8080-8083, 443, 1723, 1194, 873 die ich durch den Router ans NAS lasse).
Wie gesagt, ich mache das seit ~3 Jahren so und "gefühlt" geht es gut, hoffe das ich nicht schon komprimiert bin.
Grüße und Danke für die Unterstützung
Ja ganz toll, das wirkt dann bei Skripkids.
Schicke ich dir eine Anfrage, dann antwortet dein Webdienst auf dem NAS.
Schaue ich mir das Paket an steht da z.B. ne Version drin und in Zeile 36 dann ein bestimmter String.
Den kenne ich doch das ist doch QPKG x und das läuft doch nur auf 4.5.1.1495.
Da habe ich doch ah ja hier das könnte gehen.
Antwort und 1 Sekunde später meldet sich der SSH Deamon den ich gerade hin gesendet habe an meinem CCS und läd den Miner.
Geil wieder ne Arbeitsbiene mehr.
Weiter Scannen sind ja noch 3 Mrd IPs über.
Das läuft dann doch des öfteren in etwa so ab.
Also wo brauchte ich da noch mal den admin?
Richtig garnicht, weil ich einfach ein 4128er Paket an deinen Webservice geschickt habe.
Über 4096k konnte er nicht mehr selber verarbeiten und hat es daher direkt weiter gegeben zur Ausführung an die CPU. In die 32k passte aber ein jetzt mit den rechten deiner App laufende SSH Deamon Anwendung.
Oh ja da brauchte ich den admin, hast zwar deaktiviert aber das gilt nur für die Eingangstür.
Intern funktioniert der immer noch prächtig, was die Rechte her angeht.
Und das beste, ich wurde in dem Fall gar nicht nach dem Kennwort gefragt.
von dem habe ich Portweiterleitungen der Ports 80-85, 8080-8083, 443, 1723, 1194, 873 zum NAS, mehr nicht.
8080 also QTS web ist ja schon mal fatal .. mehr brauch auch nicht
Und zum Thema 0-day
Jungs ihr versaut ihm den Abend. 
ja richtig, schon passiert, und jetzt nochmal konstruktiv, wie checke ich nachhaltig ob ich so einen Miner schon drauf habe? Oder besser wie kann ich prüfen ob das System befallen ist bzw. Schadsoftware drauf ist? Bedeutet doch eigentlich, sobald ein QNAP jemals am Netz war, egal wie lange, kann nicht ausgeschlossen werden, dass es kompromittieren ist?
Grüße
So sieht's aus .. keine Garantie aber oft gesehen , guck dir mal den crontab an
https://wiki.qnap.com/wiki/Add_items_to_crontab
Wenn's verschwurbelte Einträge gibt (121h3wqho8q17y2h321p9qd-91h2e.sh) .. dann ist der 'Wurm' drin.
Danke dolbyman, habs leider jetzt erst geschafft, musste auch nochmal Schlafen und Geld woanders Verdienen. Ich denke jetzt habe ich das limit meines Admin-User-Neu gefunden, auf den Befehl "contab -l" in der SHH shell, bekam ich direkt:
"crontab: must be suid to work properly"naja und mit "sudo - admin" konnte ich auch nicht arbeiten, da ich den "admin" ja deaktiviert habe. Meine Idioten Lösung, kurz "admin" Account wieder aktiviert und dann ging es. Geht sicherlich auch "smarter", freu mich über Tips.
Nun aber zum entscheidenden, meine Cronjob Tabelle sieht denke ich doch recht sauber aus, oder was sagen die Experten?
57 9,21 * * * /sbin/notify_update --nc 1>/dev/null 2>&1
0 3 * * 0 /etc/init.d/idmap.sh dump
0-59/20 3 * * * /sbin/adjust_time
0 1 * * * /etc/init.d/flush_memory.sh >/dev/null 2>&1
0 4 * * * /sbin/hwclock -s
0 3 * * * /sbin/clean_reset_pwd
0-59/15 * * * * /etc/init.d/nss2_dusg.sh
30 7 * * * /sbin/clean_upload_file
10 15 * * * /usr/bin/power_clean -c 2>/dev/null
0 2 * * * /sbin/qfstrim
0-59/10 * * * * /etc/init.d/storage_usage.sh
30 3 * * * /sbin/notice_log_tool -v -R
*/10 * * * * /sbin/config_cache_util 0
4 6 * * * /share/CACHEDEV1_DATA/.qpkg/HybridBackup/rr2/scripts/insight/insight.sh -runall >/dev/null 2>&1
*/10 * * * * bash /usr/local/sbin/sa_notice_checker.sh;#_SA_SecurityCounselor_SA_cloud_schedule_task_SA_
* * * * * /var/cache/netmgr/lock_timer.sh
0 3 * * * /sbin/vs_refresh
4 3 * * 3 /etc/init.d/backup_conf.sh
* 4 * * * /usr/sbin/logrotate /etc/config/mc_logr.conf
0 2 * * 0 /usr/local/medialibrary/bin/mymediadbcmd checkRepairDB >/dev/null 2>&1
0 0 * * 1 /etc/init.d/antivirus.sh scan 1
0 0 * * * /etc/init.d/antivirus.sh archive_log
26 0 */1 * * /etc/init.d/antivirus.sh update_db
0 12 * * * /mnt/ext/opt/LicenseCenter/bin/qlicense_tool local_check
0 0 * * * /usr/local/sbin/qsh nc.archive >/dev/null 2>&1
51 11 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli
35 7 * * * /sbin/qsyncsrv_util -c > /dev/null 2>/dev/null
30 7 * * * /sbin/version_cleaner -t 0 > /dev/null 2>/dev/null
0 0 * * * /sbin/qsyncsrv_tool --fix > /dev/null 2>/dev/null
*/5 * * * * /mnt/ext/opt/qmail/bin/qmail_watchdog.sh
0 4 * * * /mnt/ext/opt/qmail/web/bin/qmail_crontab.sh
* * * * * /mnt/ext/opt/qmail/web/bin/checknewmail.sh
* * * * * /mnt/ext/opt/qmail/web/bin/splitattachment.sh
* * * * * /mnt/ext/opt/qmail/bin/movemanager.sh
* * * * * /mnt/ext/opt/qmail/web/bin/encryptmanager.sh
0 * * * * /mnt/ext/opt/qmail/web/bin/sync_push_notification_manager.sh
0 * * * * /mnt/ext/opt/qmail/web/bin/sync_sender_group_manager.sh
0 23 */1 * * /sbin/qpkg_cli -U 1>/dev/null 2>/dev/nullAuf den ersten Blick seh ich nix , aber wie gesagt, das heißt nicht unbedingt dass das System "clean" ist.