Was ist das? Benutzergruppe adbuser

  • Hi

    Mir als Anfänger ist aufgefallen das in der Benuzergruppe ein"adbuser" auftaucht .


    Was ist das ?


    Ich hatte bis lang immer mal Probleme mit Hackern (denke ich) .

    Jetzt ist meine NAS aber komplett vom Internet abgekoppelt(denke ich)


    der Internet Verkehr ist von der Fritzbox total gesperrt Nicht mal ein Update service und zugriff auf den Store sind möglich wenn ich es nich händisch zulasse.


    MFG rick

  • christian

    Hat den Titel des Themas von „adbuser“ zu „Was ist das? Benutzergruppe adbuser“ geändert.
  • Zu der Gruppe kommt bei google nix raus. Was waren denn die "Probleme" mit den Hackern? NAS gekapert oder infiziert? Wurde das NAS komplett neu aufgesetzt danach ? (inklusive autostart Bereinigung)

  • Handelt es sich denn jetzt um eine Usergroup oder einen User, der in einer Gruppe ist?

    Eine derartige Gruppe (allerdings adbusers) konnte ich nur in Zusammenhang mit der "Android Debug Bridge" ausfindig machen. Schonmal was damit im Zusammenhang zu tun gehabt?

  • Hallo

    Also ist das normal eine Gruppe "adbuser "plötzlich in der NAS zu haben?

    Meine Propleme waren:

    Beim 1.mal kahm ich nicht mehr auf die NAS(Webinterface)

    Ich habe dann ein Werksreset ohne Formatieren gemacht > daraus folgt die Einstellungen waren Weg aber die Daten waren noch da.

    Beim 2. mal nutzte ich aus Angst die Qnap-Cloude nicht mehr. aber irgendwie wurde meine DNS von automatisch auf folgende Adresse umgestellt Die Adresse weis ich nicht mehr).

    Dann habe ich bei meiner Qnap NAS (Fritzbox das Zugangsprofil auf gesperrt gesetzt) und nun muss ich bei updates und dem Appcenter auf ein anderes Profil stellen.

    Sofiel Arbeit mit neumachen und so weiter hatte ich mit meiner alten readyNAS nicht.

    Nun mein Ziel ist die TS 251+ im Heimnetz als Mediren server zu haben (ohne direckten Internetzugang) aber mit der Möglichkeit zum Update und den 2 Storen.


    tiermutter es ist eine Gruppe. und von "Android Debug Bridge" weis ich nichts


    mfg

    2 Mal editiert, zuletzt von gogo8888 ()

  • Backup auf ein durch den Rechner lesbaren Datenträger erstellen auf externer HD.


    NAS HDs am Rechner vollständig löschen.

    NAS komplett neu einrichten, mit dem Malware Remover das DOM kontrollieren, wenn da alles sauber ist und nix komisches mehr auftaucht.

    Hier auch die Autostart Datei prüfen, die muss leer sein.

    Steht hier was drin, ist ggf. noch was böses auf dem NAS aktiv.


    Dann durch den Rechner wieder aufs NaS schieben.

    Hier laufen alle Daten dann durch den echtzeit Virenschutz.

    Einem sauberem NAS muss man den Internetzugang nicht blocken.


    Sonst bekommt man keine Info über App oder Firmware Updates.

  • Das wäre jetzt das 3. mal neugemacht.

    Wenn ich die NAS sperre in der Fritzbox kann doch eigen tlich keiner darauf zugreifen oder?

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Backup auf ein durch den Rechner lesbaren Datenträger erstellen auf externer HD.

    Wie muss ich das verstehen?

    Das Backup soll vom Heimischen Rechner gemacht werden oder eimfach auf eine Externe Festplatte Kopieren?

    Es sind nur Filme und Fotos auf der NAS, was sagt mir das sich da kein ... Versteckt wenn ich zurück kopier nach der Neuinstallation?

    Die NAS Festplatten ausbauen und an einen PC löschen/Formatieren ist mir Klar.

    Das NAS neu eindrichten ist mir dann auch klar.

    Das DOM kontrollieren (verstehe ich nicht)

    ( der mailware remover zeigt auch jetzt nichts beim Scann Was sool er nach der Neuinstallation duch die NAS zeigen?

    Wie prüfe ich die Autostart Datei?

    und was kann da drinn stehen?

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Dann durch den Rechner wieder aufs NaS schieben.

    Heist wohl, das Mein PC das Backup und das Wiederherstellen übernimt,

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Hier laufen alle Daten dann durch den echtzeit Virenschutz.

    kann ja auch am PC mit "Nod 32" testen (bzw. welcher virenscanner auf der NAS sollte das tun)?

    Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! :handbuch::arrow: Forenregeln und Die Zitat Funktion des Forums richtig nutzen

    Einem sauberem NAS muss man den Internetzugang nicht blocken.

    Das ist mir schon klar aber was muss ich einstellen un zu erreichen das die NAS zwar Aktuell gehalten wird aber nicht offen im internet steht.?

    Eigentlich wollte ich die NAS nur als Medien Bunker (Familien-Fotos und Filme haben und das nur im Heimnetz darauf zugegriffen wird .

    Auserdem sollte der Zugriff nur über SMB erfolgen und nur Rechner bezogene IP-Adressen.

    Nun frage ich mich oft ob ich die Qnap wegschmeise und meine alte ReadyNAS wieder in Betrieb nehme über SMB1 da hatte ich nie Probleme.

    Seit ich die Qnap TS 251+ habe, hab ich nur Ärger und ewig viel Zeitverschwendung mit Backups und wiederherstellen.

    Meine Familie freut sich nicht gerade.


    Aber nun gut da fange ich halt nochmal an, Aller dins wäre eine Beschreibung gut, wie mann die NAS mimnimalistisch einrichtet und allen schnickschnack weglässt um die NAS zu nutzen ohne Sinnlose Hobbyangriffe von Aussen, Wenn ich Sielen und Testen wollte ,hätte ich mir Spielzeug gekauf.


    Die Frage ob die "Benuzergruppe "adbuser" eine erstellte Benuzergruppe einer APP ist oder ein Angriff, Trojaneranzeichen oder so ist trozdem nicht erwähnt worden.

    Denenn meine NAS ist eigentlich nur mal kurz (30 Minuten ) im internet um nach Updates zu schauen.


    MFG rick

  • In Antwort #3 wurde Dir geantwortet, das eine ähnlich klingende Gruppe nur in einem vollkommen anderen Zusammenhang gefunden wurde, oder mit anderen Worten: es ist keine Default Gruppe die das NAS von sich aus mitbringt!

    Und was verstehst Du unter

    Wenn ich die NAS sperre in der Fritzbox

    ?

    Du nutzt das NAS als Medien Wiedergabe, dann ist bestimmt auch UPNP aktiviert? Das solltest Du schleunigst deaktivieren, ebenso die Einstellung "selbständige Portfreigaben erlauben"

    Die Autostart kannst Du am besten über die CLI (Zugang mit Putty) kontrollieren, sobald dort eine Zeile mit irgendwelchen kryptischen Zeichen auftaucht kannst Du sicher sein, das das NAS noch mit Malware befallen ist.

    Wenn Du selbst schon schreibst, das Du offenbar Probleme mit Hackern hattest (auf eine konkrete Rückfrage bist Du leider nicht eingegangen!), dann würde ich dem NAS keinesfalls mehr trauen und es komplett isolieren, auch aus dem Heim-LAN verbannen, bevor das nicht eindeutig geklärt ist!


    Wenn schon fremde Benutzer (-gruppen) vorhanden sind, die Du nicht kennst, wäre ich alarmiert!

    Welche Apps hast Du aktiv? Viele Apps wie z.B. Photostation sollen in der Vergangenheit Einfallstore für Malware gewesen sein.


    Ansonsten steht alles in den vorangehenden Posts:

    Plattmachen und Daten am PC mit aktuellem und verläßlichen Virenscanner prüfen und auf das NAS zurückkopieren.

    Wenn kein ext. Backup existiert dann würde ich eher auf die Daten verzichten.


    QNAP Systeme waren in den vergangenen Jahren vielen Angriffen ausgesetzt. Und auch die QNAPcloud hat in dieser Hinsicht keinen guten Ruf!

    Siehe auch myQNAPcloud!


    Gruss

    Einmal editiert, zuletzt von FSC830 ()

  • Für mich stellt sich auch die (wenn auch irrelevante) Frage, ob der User ein Überbleibsel eines früheren Angriffs ist (trotz Platt machen) oder ob eine neue Aktion stattgefunden hat (was Du ja zumindest versuchst auszuschließen, indem das Gerät nicht mehr aus dem Internet erreichbar ist). Es ist gut möglich, dass das "Platt machen" auf diese (welche?) Weise nicht ausreichend war.

    Was den User angeht: niemand scheint davon je in Zusammenhang mit Angriffen auf QNAP gehört zu haben, auch dolbyman nicht, der täglich aus anderen Quellen noch viel mehr Informationen bekommt als wir hier.


    Mein Bauchgefühl sagt:

    Ein Username (oder oft auch eine App) der so klingt, als gehöre er dazu, weil der Name ähnlich von bekannten Anwendungen ist, die allerdings niemals im Einsatz waren (und ich bezweifle dass man die Android Debug Bridge irgendwie auf nen QNAP bekommt, geschweige denn Anwendung dafür auf nem NAS haben kann), klingt nach absichtlicher Täuschung eines Angreifers. Hat der User (oder die Group oder eine App) auch noch über das Plattmachen des Systems hinaus Bestand, dann wurde irgendwas nicht ordentlich sauber gemacht.

    Oder aber der Name kommt von einer App, die bei Dir läuft... deshalb die explizite und wichtige Frage von FSC830

  • Lieb Freunde

    ich möchte mich entschuldigen wenn ich etwas falsch gemach habe.

    Ich bin ein absoluter Anfänger ,weis also nich viel über Probleme mit Viren , Hackern, Maleware usw.

    Das einzige was ich suche ist Hilfe um meine NAS normal zu nutzen und nicht andauernt mich mit irgen welchen Leuten die dich ärgern wollen rumzuquälen.

    Ich habe jetzt auch verstanden,

    Ich muss meine NAS neu aufsetzen Die Daten (Fotos,Familien-Filme) vorher sichern, die Festplatten der Nas am PC formatieren, die Daten (Fotos...) am heimixchen PC scannen (auf Viren)


    Nur zur info: UPNP ist aus alles was an ist ist SMB.

    Auch gibt es keine Portfreigaben auch keine selbständigen.

    und meine zugriffe auf die NAS sind von der IP-Adresse des Clints abhangig und Password+ Autentikator zuminderst ad den Adminzugriff betrifft abhänig. Meine Familie hat nur leserechte mit User und Password.

    das mit Putti muss ich noch probieren(habe noch keine Ahnung)


    Also: Wenn ich die NAS sperre in der Fritzbox: Keine Portfreigabe, und Zugangsprofil: gesperrt

    Dumme Frage noch:

    Sollte diese Nuzergruppe nich in Logg auftauchen wenn er/sie Zugriff nehmen will?

  • ich möchte mich entschuldigen wenn ich etwas falsch gemach habe.

    Dafür brauchst Du Dich doch nicht entschuldigen ;)

    Das einzige was ich suche ist Hilfe um meine NAS normal zu nutzen

    Genau das versuchen wir doch... so lange aber unklar ist, woher diese Benutzergruppe kommt, vor allem nachdem Du das NAS nach dem ersten Befall platt gemacht hast, liegt der Verdacht nahe, dass irgendwas noch nicht sauber ist. Daher nochmal die wichtige Frage: was sind (oder waren) für Apps installiert? Vielleicht kommt die Gruppe ja doch aus einer legitimen App!

    Sollte diese Nuzergruppe nich in Logg auftauchen wenn er/sie Zugriff nehmen will?

    Nein, wenn überhaupt kann ein Benutzer einer Gruppe Zugriff haben, das würde dann auch geloggt werden. Ist überhaupt ein User in dieser Gruppe?

  • Du musst auf die gestellten Fragen aber auch eingehen, damit Hilfe geleistet werden kann 8o

    Deswegen geht hier auch alles ein bisschen forsch zugange, weil viele Fragen immer wiederholt werden müssen und ohne Antworten darauf alles viel Schreiberei für Nichts ist.

  • Welche Apps hast Du aktiv?

    Darauf gibt es aber immer noch keine Antwort(en)!


    Gruss

  • Hallo


    29 Stück vom Qnapstore, die Hybridestation mit Qnapapps + Filezilla+ Wine und aus dem club calibre,kodi 18 und 19 , net2FTP


    Das wars denke ich


    Die usergruppe "adbuser" habe ich mehrmals gelöscht und neu gestartet .

    ist immer wieder da und hat den admin als Benutzer, der ist aber deaktiviert

  • Filezilla+ Wine und aus dem club calibre,kodi 18 und 19 , net2FTP

    Genau um solche "Spezialitäten" geht es...

    Aus dem QNAP Store auch noch ähnliche Exoten dabei? Damit meine ich nicht sowas wie HBS, Helpdesk oder Twonky, also nichts was "die meisten User" üblicherweise haben.

  • Ah ja, also rund 35 Apps.

    Da bin ich mit meinen 6-9 ja relativ am unteren Ende der Skala ^^.

    Und Du bist sicher, das Du die alle benötigst?

    Da fällt es einem allerdings auch schwer herauszufinden, durch welche App eine Lücke entstanden sein kann.


    Grundsätzlich: alles was man nicht benötigt deinstallieren oder zumindest deaktivieren!

    Bei diesem Zoo hat man sonst keinen Überblick.

    Das fängt direkt nachdem Neuaufsetzen an, schauen, was QTS für Apps mitbringt und alles was man nicht benötigt gleich entsorgen.

    Bei mir z.B. waren das so Dinge wie "Video-Station, Photo-Station, ... " an die meisten kann ich mich kaum erinnern.


    Umgekehrt, was ist geblieben: Backup-Station (Vorläufer zu HBS), File Station, eine Qsync Central und ein CloudDrive Sync. Zwei kleine Helper Tools (Helpdesk und Diagnostic App).

    Das war es im wesentlichen, und natürlich vor dem gesamten LAN eine ordentliche Firewall!


    Gruss

  • Nun gut

    Eigentlich sagt mir das das ich alles falsch gemacht habe.

    nun ja also noch mal richtig. Bitte um Meinungen,ob alles richtig wird.

    Ich habe mir eine Externe USB3 Festplatte geordert (ich möchte ein Backup machen und diese Festplatte auch ausschlieslich dafür verwenden.

    Also mache ich ein Backup und lasse die Festplatte mit meinen Virenscanner am PC durchsuchen.

    Dann formatiere ich beide NAS-Festplatten extern am PC als egal als was (wegen Viren...), da die NAS es später selbst nochmal macht

    Dan setze ich die NAS zurüch und die Festplatten wieder ein. Die Firmware ist aktuell.

    Nun lasse ich die NAS sich selbst einrichten indem ich die Festplatten laut Anleidung einbaue.

    Um die Installation absolut minimalistisch zu gestalten (welche APPS brauche ich wirklich) entferne ich den Rest.

    Das Prüfen mit Putty (Autostart Datei ) weiss ich nicht wie ich da rannkonne. Mit Putty komme ich auf die NAS aber weiter nicht.

    (da stellt sich mir eine Anfängerfrage: Kann es sein, dass nur der Originale ADMIN zugriff mit Putty hat und ich mich auch mit dem originalen ADMIN an die NAS anmelden mus um verschiedene Sachen zu machenz.B. externe Festplatte mounten?)

    Jetzt würde ich das Bachup wieder einspielen ( nur die Daten ).

    Frage: Die gesicherten Einstellungen sollte ich nicht nutzen sondern alles neu eungeben? (z.B. die Nutzer)


    Jetzt ist noch die Frage wann und wie kann ich die NAS dazu bringen, dass sie nur für firmware Updates und Sore ins Internet kommt.


    Nun wenn das erreicht ist, kann ich ein gesamt Backup machen und dann Probieren welche APPS ich noch brauche und sie testen (einzeln z.B. Kodi / Wine..)


    Ich hoffe das ist der Weg


    Vielen Dank im voraus


    MfG rick

    3 Mal editiert, zuletzt von gogo8888 ()

  • "Video-Station, Photo-Station, .

    Mein NAS hatte schon länger an einer FB mit Portfreigaben 8080, 443, 8089. Kein Standard-Admin, sichere PW über PW-Manager vergeben. Kein SSH nur HTTPS-Zugriff.

    Ein Support-Mitarbeiter von QNAP hatte beim Fixen eines anderen Problems auch merkwürdige Abwandlungen von Admin-Usernamen z.B. "adimisator" auf dem NAS gefunden.


    Früher hatte ich allerdings Photo-Station testweise installiert. Vermute die Usernamen sind mit den "unsicheren" APP wie Photostation auf das NAS gekommen.


    Die CPU geht über 50%, obwohl nur wenige Qnap-APPs HBS3, QmailAgent, QuSync installiert sind und die Festplatten rappeln alle 10 min wie verrückt. Nach HDD Test ist das RAID1 OK.

    Malware-Remover meldet nichts und die "neueste FW" 4.5.2.1594 ist auch installiert. Clamav-Suche hängt bei 0%


    Werde dann sicherheitshalber mal neu aufsetzen.

  • Nein, diese Apps verwenden nicht solche seltsamen Namen.

    Und wie schon berichtet, sichere PW nutzen nichts, wenn man über irgendwelche Exploits eindringen kann.

    Auf alle Fälle wurde das NAS in irgendeiner Weise kompromittiert, da bin ich mir bei diesen Usernamen sicher.


    Gruss