DNS Anfragen nach "ipfs.adatools.io"

    Hallo zusammen,


    ich habe ein kurioses Phänomen auf meinem QuTS TS-h886.


    Seit ein paar Tagen (konkret seit dem 28.12.2021) beobachte ich massenhafte DNS-Anfragen nach dem A-Record von ipfs.adatools.io ProTag kommen so um die 150.000 Anfragen (!) zusammen, es ist mir nur aufgefallen, weil ich meinen eigenen DNS-Resolver betreibe. Aber alle Anfragen kommen von der IPv6-Adresse des NAS. Bisher konnte ich den Grund nicht ausfindig machen. In Verdacht hatte ich virtuelle Maschinen bzw. Docker-Container. Aber selbst ein Stop aller virtuellen Instanzen ändert das Verhalten mit den Unmengen an DNS-Anfragen nicht. Ich finde das Verhalten aber überaus suspekt.


    Es gibt auch kein auffälliges I/O-, CPU- oder RAM-Verhalten auf dem TS-h886. Die CPU geht selten über 18%. Ich konnte bei verschiedenen Stichproben auch keine verdächtigen TCP-Verbindungen finden, alle Verbindungen zu den Zeitpunkten der Stichproben waren legitim. Es gibt auch allgemeinen keinen Auffälligen Netzwerk-Traffic von oder zum NAS. Sieht man von den komischen DNS-Anfragen nach diesem einen Record ab.


    Das einzige was entfernt mit dem Auftreten des Phänomens zusammenhängt... am 28.12.2021 habe ich ein Firmware-Update auf QuTS h5.0.0.1892 eingespielt.


    Vielleicht hat ja noch einer von Euch eine Idee.

    Danke.

    War auch meine Vermutung... aber sollte man das nicht auch gerade an der CPU merken?

    Das macht mich ein wenig stutzig, dass ich keine erhöhte CPU Last finden kann.

    Ja, ist strange. ADATools ist scheinbar eine legitime Tool-Sammlung.

    Eine gute Malware hält sich möglichst gut verdeckt, vielleicht gibt sie sich ja mit wenig Ressourcen zufrieden oder ist in der Lage deinen Login zu erfassen um die Nutzung herunter zu regeln, damit sie möglichst lange unentdeckt bleibt...

    Malware remover mal drüber gejagt, geschaut was so an Prozessen läuft oder in die auturun geschaut?


    Ist schon sehr verdächtig, dass man zu dem DNS Server nicht wirklich Informationen findet, außer eben den Zusammenhang mit einer Cryptowährung.

    Der Malware-Remover läuft bei mir täglich. Das App-Center steht auf Auto-Update. Der Malware-Remover hat seit dem 28.12.2021, seit dem tritt das auf, noch nichts gefunden.


    Die Liste der laufenden Prozesse (ps) bin ich zweimal komplett durchgegangen, auch da für meinen Geschmack nichts auffälliges; außer das QuTS, aber das hat es vorher auch schon getan, eine Unmenge aktiver Prozesse hat im Vergleich zu QTS. Bei beiden Stichproben liefen so ca. 3.500 Prozesse.


    Ich bin ja selbst total am Rätseln, was und wieso.


    An einen Miner hatte ich auch schon gedacht, aber dann wieder frage ich mich, wie der draufkommen sollte. Ich gebe keine listening ports des NAS ins Internet raus.

    Ich habe die selben Anfragen von meinem TS-253A. Die Anfragen laufen ab 01.01.2022 ca. 10:00 Uhr im 5-Minuten-Takt.


    Die letzten Aktivitäten waren:

    • 27.12.2021: [Firmware Update] Updated system from version 5.0.0.1858(20211119) to 5.0.0.1891(20211221)
    • 31.12.2021: [App Center] Updated QuFirewall from 2.1.0 to 2.2.0
    • 31.12.2021: [App Center] Updated Security Counselor from 2.4.3.4 to 2.4.3.5

    Ich kann mir die Anfragen ebenfalls nicht erklären.

    Ich bin nicht mehr der Einzige. <jubel> :) </jubel> Sorry, garderobier


    Jetzt müssen wir nur noch die Ursache finden.. Okay, Du hast am 27.12.2021 Deine Firmware geupdated... Ist es Dir vorher vielleicht nicht aufgefallen und jetzt reichen die Logs nicht mehr weit genug zurück?

    Bei mir hat es am 28.12.2021 angefangen; genau an dem Tag habe ich die neue Firmware QuTS 5.x eingespielt.

    Wäre nun interessant zu wissen, ob die Jungs dort auch gerade das Update gemacht haben, dann wird es damit zusammenhängen.

    Müsste mal jemand nachfragen, evtl. ist dolbyman so freundlich... ich möchte mein 0-Post-Account dafür nicht opfern :D

    Was mich nur wundert, wenn es mit der Firmware zusammenhängt... Es haben doch sicher schon viel mehr Leute auf 5.0.0.1892 upgedated.

    Das müssten die doch auch haben?! Ich kann mir nicht vorstellen, dass niemand den Outgoing DNS-Traffic monitored in seinem Netzwerk.

    Zitat von Barungar

    Das müssten die doch auch haben?! Ich kann mir nicht vorstellen, dass niemand den Outgoing DNS-Traffic monitored in seinem Netzwerk.

    Gehe mal davon aus dass das nicht viele machen...

    Ich habe meine DNS-Logs in meinem Pi-hole nochmal geprüft und ich kann die Ursache weiter eingrenzen.

    Die erste Anfrage an ipfs.adatools.io finde ich doch schon am 31.12.2021 um 15:26:16 Uhr.


    Die beiden o.g. Updates wurden laut QNAP Log zu folgenden Zeitpunkten eingespielt:

    • [App Center] Updated Security Counselor from 2.4.3.4 to 2.4.3.5. am 31.12.2021 um 15:25:33 Uhr
    • [App Center] Updated QuFirewall from 2.1.0 to 2.2.0 am 31.12.2021 um 15:26:14 Uhr

    Update: Zeitpunkte korrigiert.

    Zitat von Barungar

    Das Ticket wurde vom 1st Level auch schon angenommen und ich erhielt die Antwort:

    Wenn das so schnell ging und direkt diese Antwort kam dann weiß man bei QNAP offensichtlich schon Bescheid... bin gespannt :)

    garderobier


    !! Heuraka !! Ich habe die Malware gefunden...


    Dein Tipp war Gold wert. Die DNS-Anfragen hören sofort auf, wenn man QuFirewall stoppt. Und die DNS Requests kommen sofort wieder, wenn man QuFirewall wieder startet! Es ist also die QNAP eigene Firewall die pro Tag ca. 150.000 (!) DNS-Anfragen an diese ominöse DNS erzeugt.

    Tjoa, nur was gibt es da Schönes?

    GeoIP, bösartige IPs die geblockt werden sollen oder werden irgendwelche Infos abgegriffen die dorthin gesendet werden?


    Edit:

    Wird dann ja wohl das hier sein:

    Zitat von QuFirewall Release Notes

    - QuFirewall can now automatically block IP addresses that are updated by the QNAP Product Security Incident Response Team (PSIRT).