Hallo
Ich bin neu hier auf diesem Forum und einigermassen neu mit QNAP-NAS (ca. 7 Jahre, brauche es aber nur als Fileserver und Backupstation), ansonsten schon lange im Geschäft (gehe dieses Jahr in Rente).
Mit Mac und Windows kenne ich mich aus, auch ein wenig mit Linux.
Mir wurde gemeldet, mein NAS greife einen Windows Domänencontroler an und versuche sich per BruteForce-Attacke anzumelden.
Das NAS - ein TS-469 Pro mit QTS 4.3.4.1652 - steht in einem Uni-Netzwerk. Zwar hinter einer Firewall aber innerhalb der Uni sichtbar (mit öffentlicher Adresse).
Gerne würde ich mal den Netzwerkverkehr anschauen und so ev. die Prozess-ID herausfinden. Unter Windows würde ich das mit Wireshark erledigen und Tools von Sysinternals einsetzen.
Entsprechende Werkzeuge für die QNAP-Umgebung kenne ich aber nicht.
Wireshark setzt anscheinend Entware/Optware voraus, welches man über den Appstore installieren können soll. Finde ich aber nicht. Kann mir da jemand weiterhelfen?
Mit netstat wird übrigens nichts Verdächtiges aufgelistet.
Gibt's auf dem NAS eine Firewall? Iptables?
MalwareRemover hat nix gefunden, McAfee bis jetzt auch noch nicht.
Update:
netstat -pne gibt mir die Prozessnummern. Die DCs werden über den Prozess winbindd angegriffen (von dem laufen 2 Instanzen)
Brauchts den auch für Samba? Bzw. wofür dient der genau? Könnte ich den abschiessen?
Bin froh um jeden Tipp.
Vielen Dank und freundliche Grüsse
Roger