Mein Inneres schreit direkt: Malware!
Was auch immer das sein soll, neue Scheiße gibt es jeden Tag. Die Auslastung ist jedenfalls unauffällig.
Deine Screenshots deute ich so, dass das NAS ständig irgendwas irgendwohin kommuniziert, vllt auch nur auf jemanden antwortet.
Daher die Frage Nr1: NAS aus dem Internet erreichbar?
Welche Prozesse laufen? Aus der GUI einfach Screenshots posten oder über SSH ps -e und die Ausgabe posten.
Es kann auch einen weniger bösen Grund für die Aktivität geben, ich gehe aber lieber vom Bösen aus. Schalte das NAS erstmal nicht ab.
Gut, die paar kb können auch die WebGUI Anfragen und Antworten sein. Vor allem wenn man sich gerade die Statistiken ansieht gehen ja ständig Anfragen rein und raus (muss ja woher kommen diese GUI Updates)
Für mich sprichst Du grad in Rätseln...
Klar ist in den Screenshots der Traffic der GUI drin... Aber so wie es die Screenshots zeigen sind das doch nicht NUR die Verbindungen zur GUI!? Ich habe das so jedenfalls noch nicht gesehen.
Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! 
Forenregeln und Die Zitat Funktion des Forums richtig nutzen
NAS aus dem Internet erreichbar?
tja, was ist damit gemeint? Ich kann über myqnaplink und den üblichen Apps für IOS-devices via Internet darauf zugreifen.
Mod: Nicht deklariertes Zitat ohne Quellenangabe ... korrigiert! Forenregeln und Die Zitat Funktion des Forums richtig nutzen
Welche Prozesse laufen? Aus der GUI einfach Screenshots posten oder über SSH ps -e und die Ausgabe posten.
Hilf mir bitte - wie genau gehe ich hier vor? Welche screenshots aus der GUI werden benötigt??
Sind Portweiterleitungen für den Zugriff eingerichtet? Unbedingt im Router prüfen, das kann auch automatisch passieren!
Bei Fragen dazu bitte mitteilen welcher Router im Einsatz ist.
In der GUI gibt es den Ressourcen Monitor (siehe Deine Screenshots), dort gibt es den Punkt "Prozesse".
Davon Screenshots machen (von jeder Seite die runtergescrollt wird).
Für mich sprichst Du grad in Rätseln...
Wenn du via Dev Tools mal guckst was so an anfragen fließt wenn die WebGUI offen ist, dann weisst du was ich meine
4-5 solcher Anfragen gehen hier pro Sekunde raus und generieren Traffic in/out am NAS
Schon richtig, habe Dich dahingehend auch verstanden denke ich.
Aber solch ein Bild (Screenshots des TE) kenne ich nicht, auch wenn ich den Traffic selbst mal über die GUI beobachtet habe. Vielleicht ist es auch "Ansichts-" oder FW Sache, aber so kenne ich das nicht. Und HDD Aktivität... Gut, die sieht auf den Screenshots auch alles andere als wild aus, bei mir "krackelt" da aber auch bei GUI Zugriff nichts. Was auch wieder ein Ding von HDD Typ und Zustand ist. Das ist für mich aber zunächst sekundär 
Aber solch ein Bild (Screenshots des TE) kenne ich nicht,
Grad mal über ein paar Minuten offen gelassen .. so siehts bei mir aus (HS-453DX als VJBOD target test)
Ich glaub ich hab durch die Ständige VJBOD Verbindung ein bissel mehr ausgehenden Verkehr, durch die Skalierung wird das dann weniger "krakelig"
Was machen wir nun mit dem Topic?
Malware ausgeschlossen und nur HW/ eigene SW Problem?
Naja ist ein Mix aus dem alt bekannten "Platten gehen nicht in Standby" und dem oben besprochenen Datentransfer des WebGUI.
Ich sehe weder die CPU last noch die Festplattenaktivitaet die man sonst bei Malware befall hat
Da gab es mal ein Skript, das funktioniert aber wohl nicht mehr wirklich durch Veränderungen im QTS.
Ist also schwer zu sagen was genau die Zugriffe verursacht .. im Zweifel, diverse Logs,Container,VM's, etc
Ich sehe weder die CPU last noch die Festplattenaktivitaet die man sonst bei Malware befall hat
Deswegen sagte ich ja auch, dass ich trotzdem lieber erstmal vom Bösen ausgehe, auch wenn die Auslastung unauffällig ist (was für neue Malware ziemlich celver wäre, diese unauffällig zu gestalten). Aber das ist ja nun geklärt 
Ich würde über den Helpdesk einfach mal einen HDD Bereitschaftstest machen, daraus müsste ja auch schonmal etwas an Aktivitäten hervorgehen.
Das ist der Plan, zumindest bis jemand nen besseren Plan hat 
Da ist einiges los (Textdatei ohne Zeilenumbruch wäre einfacher zu lesen), aber ich kann nicht alles auf die schnelle deuten. Habe viel mongodb und php proxy gesehen...
Ich schau mal ob ich noch`ne txt hinbekomme...
Habe viel mongodb und php proxy gesehen...
...und da heißt genau was? Gibt es noch Hoffnung ....?? 
