NAS greift andere Rechner mit BruteForce-Anmeldeversuchen an

    Hallo

    Ich bin neu hier auf diesem Forum und einigermassen neu mit QNAP-NAS (ca. 7 Jahre, brauche es aber nur als Fileserver und Backupstation), ansonsten schon lange im Geschäft (gehe dieses Jahr in Rente).

    Mit Mac und Windows kenne ich mich aus, auch ein wenig mit Linux.

    Mir wurde gemeldet, mein NAS greife einen Windows Domänencontroler an und versuche sich per BruteForce-Attacke anzumelden.

    Das NAS - ein TS-469 Pro mit QTS 4.3.4.1652 - steht in einem Uni-Netzwerk. Zwar hinter einer Firewall aber innerhalb der Uni sichtbar (mit öffentlicher Adresse).

    Gerne würde ich mal den Netzwerkverkehr anschauen und so ev. die Prozess-ID herausfinden. Unter Windows würde ich das mit Wireshark erledigen und Tools von Sysinternals einsetzen.

    Entsprechende Werkzeuge für die QNAP-Umgebung kenne ich aber nicht.

    Wireshark setzt anscheinend Entware/Optware voraus, welches man über den Appstore installieren können soll. Finde ich aber nicht. Kann mir da jemand weiterhelfen?

    Mit netstat wird übrigens nichts Verdächtiges aufgelistet.

    Gibt's auf dem NAS eine Firewall? Iptables?

    MalwareRemover hat nix gefunden, McAfee bis jetzt auch noch nicht.


    Update:

    netstat -pne gibt mir die Prozessnummern. Die DCs werden über den Prozess winbindd angegriffen (von dem laufen 2 Instanzen)

    Brauchts den auch für Samba? Bzw. wofür dient der genau? Könnte ich den abschiessen?


    Bin froh um jeden Tipp.


    Vielen Dank und freundliche Grüsse

    Roger

    2 Mal editiert, zuletzt von beloe ()

    Zitat von beloe

    mein NAS greife einen Windows Domänencontroler an und versuche sich per BruteForce-Attacke anzumelden.

    Das NAS - ein TS-469 Pro mit QTS 4.3.4.1652

    beloe - Wenn du was rausfindest bitte unbedingt hier teilen!


    Habe hier auch noch ein TS-669 Pro, auch mit QTS 4.3.4.1652 (wurde ja erst released) am laufen...

    (Nur Zugriff intern im privaten LAN - als Backup-Ziel.

    Bis auf QBoost und Malware Remover ist auch alles deaktiviert bzw gestoppt was möglich ist, QNAP Cloud war nie aktiviert)


    Danke im vorraus!

    Habe im Originalpost ein Update eingefügt, aber vielleicht besser hier nochmals:


    netstat -pne gibt mir die Prozessnummern. Die DCs werden über den Prozess winbindd angegriffen (von dem laufen 2 Instanzen)

    Brauchts den auch für Samba? Bzw. wofür dient der genau? Könnte ich den abschiessen?


    Update:

    Der Inhalt von  /mnt/ext/opt/samba/sbin/ (dort ist winbindd drin) ist bei meinen beiden NAS (eines befallen, das andere nicht) identisch was Grösse und Datum der Dateien betrifft.

    Es ist vermutlich so, wie ich angenommen habe, dass die Malware woanders sitzt und das intakte winbindd aufruft. Gibt es eine Möglichkeit, solche Prozessketten nachzuverfolgen, d.h. herauszufinden, wer das winbindd steuert?


    Update2:

    Interessanterweise hat "sudo find / ... " das winbindd in /usr/local/samba/sbin/ nicht gefunden. Das ist nämlich die Version, die mit "ps" angezeigt wird. Aber auch hier: gleiche Grösse, gleiches Datum.


    Danke.


    PS: Mein 2. NAS ist ein TS-669L, dort zum Glück kein Problem.

    3 Mal editiert, zuletzt von beloe ()

    ... und wenn das Nas einfach nur versucht eine in QTS eingerichtete aber beim DC nicht mehr freigeschaltete Laufwerksfreigabe zu öffnen? Hast du denn genauere Informationen über die Anmeldeversuche? Hast du zum Beispiel Logs zur Verfügung gestellt bekommen?


    Gruß

    Ich bin weit davon entfernt da auch nur irgendwie genug Wissen zu haben um etwas fundiertes von mir geben zu können, und ich hoffe dass das berufenere noch machen - aber ein Gedanke:


    Hast du bereits alles an Apps deaktiviert und gestoppt was nur irgendwie geht?

    Keine Ahnung ob ein Neustart dann sinnvoll ist oder nicht...


    Ist QSync aktiv?


    Ist das Teil eigentlich Domain Member oder Stand-Alone? - Ev. macht das einen Unterschied - wenn ich mir die Frage von phoneo durchlese...

    2 Mal editiert, zuletzt von eyetap () aus folgendem Grund: Noch etwas eingefallen...

    Die DCs, bei denen versucht wird, sich anzumelden, gehören nicht zur Domäne, zu der das NAS gehört. D.h. das NAS hat dort überhaupt nix verloren. Wir sind ziemlich sicher, dass es ein Angriff ist.

    Es läuft sowieso nicht viel auf dem NAS, aber da es im produktiven Einsatz ist, kann ich das Wenige, das noch läuft, nicht einfach abschalten. QSync läuft. Das wird gebraucht. Neustarts habe ich schon mehrere hinter mir. Ich hab mal winbindd umbenannt, aber dann können sich Domänenuser nicht mehr mit den Shares verbinden, da winbindd vermutlich auch gebraucht wird, um die legitimen User auf unserem eigenen DC zu authentifizieren.


    Noch eine Korrektur zum Ort von winbindd: /usr/local/samba ist ein Link auf /mnt/ext/opt/samba, d.h. es gibt nur 1 winbindd.


    Kann ich das NAS neu aufsetzen, ohne die Daten zu verlieren (ich habe ein tägliches Backup, aber wenn es ohne Restore geht, ist es mir natürlich auch recht)? Gibt's irgendwo eine Anleitung?

    Einmal editiert, zuletzt von beloe () aus folgendem Grund: neue Infos

    beloe Vielleicht bietet sich an ein Ticket bei QNAP aufzumachen. Ich meine, dass es bisher keinen Schädling gab, der dein geschildertes Verhalten wiederspiegelt. Und wenn es so einen gäbe, sollte er mit dem Maleware Remover zu entfernen sein. Denmach lassen sich zwei Schlüsse ableiten. Entweder ist gar kein Schädling auf dem NAS oder es ist ein neuer Typ. Im letzten Fall wäre es ein Dienst an der Community QNAP mal ans NAS ranzulassen. Tut auch gar nicht weh, ich meine die machen das per Teamviewer, oder so.

    Es gibt keine neuen Erkenntnisse. Im Moment ist das NAS aus. Muss erst eine Umgebung schaffen, wo ich es gefahrlos untersuchen kann.

    ja, das mit dem Ticket bei QNAP würde ich gern tun, für mich und für alle. Morgen...

    MalwareRemover hat bis jetzt noch nichts gefunden.