Lief Wireguard auf dem NAS ? .. QVPN hatte vor kurzem ein Einfallsloch für Malware .. kann ja sein das es immer noch ne aktuelle 0day in QVPN gibt.
Ansonsten wie im Chat schon geschrieben die autostart.sh mal ansehen (zur Not auch nach dem neuaufsetzen) und dann alle Platten extern säubern und das NAS neu aufsetzen
Wenn sonst keine Portforwards existieren wird das Einfallstor dann damit zu tun haben .. ist natürlich fatal wenn QVPN mal wieder zum Einbruch verwendet wird ..
Am PC einbauen und einfach diskpart mit "clean" Option (löscht alle Partitionen) ausfuehren
z.B.
https://www.buffalotech.com/kn…-windows-7-using-diskpart
Mit allen Datenträgern machen, egal ob HDD oder SSD
das clean ist schnell .. da wird kein low level Format gemacht .. dauert pro Platte nur Sekunden
Hast schon mal mit dem Backup alles richtig gemacht, Top!
Hast du noch eine alte HD rumliegen, mit dem du das NAS mal neu aufsetzen kannst um zu schauen ob es dann auch wirklich sauber ist.
Nicht das du gleich deine ganze HD Farm wieder rein steckst um dann zu merken, verdammt das Zeugs ist ja immer noch da und du kannst wieder x HDs extern killen.
Wireguard läuft ja auch auf einem Pi4 wirklich gut, der hat inzwischen GBit direkt per PCI integriert, ist aber leider auch nicht mehr lieferbar, der würde sich als Einwahlpunkt gut machen, wenn dein Router das nicht kann.
Aktuell darf man wirklich nur noch sauber gehärtete Dienste, sprich Firewall Appliances ins Internet hängen und hier ggf. nen reverse Proxy drauf packen und dann von dem weiter ins Interne Netz.
Ein altes oder nicht sauber gehärtetes Paket reicht scheinbar inzwischen schon aus, das man effektiv angegriffen wird.
Kannst dich noch an die QVPN Version erinnern, die installiert war?
Servus,
muss mich auch mal einklinken, gibt es keine andere möglichkeit als nur Platt zu machen?
Daten müssen doch irgendwie wiederhergestellt werden können.
Wurden gestern kontaktiert von jemanden der das Problem auch hat, nur das es Firmendaten sind die benötigt werden.
LG
Hey Leute
Schön, für die welche ein aktuelles Update haben und damit alles richtig gemacht haben.
Leider gibt es aber Leute wie mich. Mein Backup ist (zu) alt und meine Daten verschlüsselt. Ob ich jemals wieder rankomme ein Fragezeichen. Ich könnte...
Eins ist mir klar. Mein QNAP ist danach Geschichte. Da ist eine Speicherung in der Cloud (auch nicht 100% und Backup ist auch wichtig, dass ist mir schon klar) doch noch sicherer.
Na ja, von Malware ist nicht nur QNAP betroffen, auch andere Geräte.
Allerdings ist es bei QNAP dank einiger schlagkräftiger Werbeaussagen zur Erreichbarkeit aus dem Internet einerseits, und -leider- manch unbedarftem und leichtgläubigem Nutzer andererseits zu einer extrem ungünstigen Konstellation gekommen, die es Hackern einfach gemacht hat.
Und leider ist bei vielen Nutzern das Verständnis für Firewalls und sonstige Schutzmaßnahmen sehr rudimentär.
Oder aber auch einfach zu unbequem, man will es ja einfach haben 
.
Gruss
Die habe den Bug vermutlich mit der Version vom 17.12.21 geschlossen.
Da gabs es auch eine Rundmail von QNAP zu, das hier ein kritisches Update raus ist.
Da hätte die Auto Update Funktion ggf. helfen können.
Aber die kann halt auch mal einen Dienst funktional killen.
Leider gibt es aber Leute wie mich. Mein Backup ist (zu) alt und meine Daten verschlüsselt.
Versuch mal, ob du mit photorec noch was retten kannst.
Ich kopiere mal einen Text, den ich neulich schon einmal geschrieben hatte:
Es kann einen Versuch wert sein, mit Photorec gelöschte Dateien wieder herzustellen. Photorec ist ursprünglich für Fotos gedacht, stellt aber auch beliebige andere Dateien wieder her - allerdings nur solange, wie der durch das Löschen freigegebene Speicherplatz noch nicht wieder erneut verwendet wurde. Qnap hat photorec auch in das Produkt Qrescue integriert und stellt ein Verfahren "für Dumme" bereit. Schau dort mal in den Punkt "QRescue-Bedienungsanleitung für fortgeschrittene Benutzer".
Alternativ kann man die Platten in ein USB-Gehäuse einbauen und photorec an einem Linux-Rechner ausführen. Dies hat dann Vorteile, wenn man nicht weiß, ob der Verschlüsselungstrojaner noch aktiv ist. Bei anderen Raid-Typen als Raid 1 ist das aber schwierig
Gibt es da eigentlich konkrete Aussagen zu den aktuell kritischen Lücken? Wenn man den Security Advisories glauben darf, sollten alle bekannten Day 0 zu sein (sofern man QTS und die Apps aktuell hat).
Aber ist das wirklich so?
Oder bahnt sich da grad was neues an (vielleicht sogar ein unbekannter Angriffsvektor) und QNAP sagt mal wieder das Übliche: „nicht ins Internet stellen“ ?
QNAP Mitarbeiter hat gerade im QNAP Forum gepostet
https://forum.qnap.com/viewtop…=164797&start=105#p808757
Die haben momentan selber keinen Schimmer und versuchen Infos von den Usern zu bekommen
Interessante Aussage:
In deinem Fall kann man glaub ich folgendes zusammenfassen:
1) dein QTS war eventuell älter als build 1891 oder aktueller, somit warst du da anfällig
2) QVPN App eventuell nicht am aktuellsten Stand, ebenso anfällig
3) Port Forward deaktiviert bzw. ausschließlich für QVPN (hast du bereits mit JA beantwortet) wäre gut, solange QVPN aktuell ist bzw. war
4) Admin Account deaktiviert und restliche Sicherheitsmaßnahmen beachtet (hoffentlich auch)
Also kann man es sehr auf eine alte QTS und QVPN einschränken, sofern nicht eine neue Day-0 rauspurzelt.
Welche Apps hast du außerdem installiert gehabt?
Hallo, kommen die nur durch den admin Benutzer auf das System oder reicht es diesen zu deaktivieren?
Es ist immer noch nicht, so weit ich weiß, bekannt wie die Angreifer genau in die Systeme kommen.
Im QNAP-User-Forum gibt es auch schon einen Bericht eines Users, der behauptet Firmware 5.0.0.1891 gehabt zu haben und laut seiner Aussage infiziert wurde.
Leider schreibt dieser User nicht, welche anderen "Dummheiten" (offen Ports, UPnP, usw.) er so getrieben hat.
