Vorgehen nach Deadbolt Befall

    Zitat von tiermutter

    Erfolgt der Zugriff denn auch über VPN? Hatten wir schonmal, dass vermeintlich über VPN zugegriffen wurde, in Wikrlichkeit aber eine Portfreigabe genutzt wurde.

    Ja ich muss eine VPN Verbindung mit dem Router aufbauen sonnst findet er das Netzwerk nicht

    Zitat von tiermutter

    ZUM Router? Hängt davor noch ein Router/ Firewall? Ansonsten gehen Portweiterleitungen VOM Router zu anderen Geräten bzw. es wird ein Port auf dem Router selbst freigegeben, wie es zB der Fall sein muss, wenn man darauf ein VPN Server betreibt.

    Ich hab zwei Router einer der DHCP und sich mit dem I-Net verbindet und der Draytek der nur für das VPN zuständig ist

    Das sind die Ports die ich nutze. Die gehen aber nicht zur QNAP sondern zum VPN Router. Wobei die L2TP bestimmt gar nicht mehr gebraucht werden... muss ich mal prüfenScreenshot_252.jpg

    Dann ist soweit alles ok... sorry, hatte gedacht dass Du einer der bereits von Deadbolt betroffenen User...

    Zitat von Dogma2k

    sondern zum VPN Router. Wobei die L2TP bestimmt gar nicht mehr gebraucht werden

    Das sind aber die Ports, die für das / ein IPsec VPN benötigt werden...

    Zitat von tiermutter

    Dann ist soweit alles ok... sorry, hatte gedacht dass Du einer der bereits von Deadbolt betroffenen User...

    Ne wollte nur sicher gehen, nicht das ich das Tor offen habe und denke es ist alles zu .8o

    Wollte deswegen jetzt kein neues Thema öffnen.

    Zitat von tiermutter

    Das sind aber die Ports, die für das / ein IPsec VPN benötigt werden...

    Stimmt, wie gesagt ist über 6 Jahre her das ich das mal gemacht habe, seitdem nicht mehr dran gewesen und eigentlich auch wieder vergessen wozu das mal war :D

    Wird 1701 für L2TP nicht zusätzlich benötigt?

    Wenn ich nach "BlueID" google, besteht allerdings doch etwas Grund zur Sorge :S

    Ja 1701 scheint L2TP zu sein, da aber selbst Windows IKEv2 direkt nativ unterstützt, sollte man ggf. mal schauen ob man hier nicht was aktuelles mit aktueller Verschlüsselung einsetzt.


    DryTek hatte ja vor kurzem auch was mit der Firmware.

    Daher muss auch hier ein Auge auf den Router und dessen Software gerichtet werden. Bietet er Dienste wie VPN an, dann sollte hier keine veraltete Hardware/Software eingesetzt werden.

    Hallo

    nun bin ich auch ein Betroffener... Habe 2 QNAP-Server wobei 1 als Backup fungiert. Mein Backup-System auch von QNAP wird von HBS 3 gespeißt dort läuft aber kein Photo-Viewer auch die Musik und Media-Programme laufen nicht. Dort habe ich nun beide Dateien einmal als normal.xyz des weiteren mit normal.xyz.deatbold Erweiterung durch die Sicherung....

    Nun meine eigendliche Frage.. Ich will den Haupt-Server neu aufsetzen und bei der Sicherung der Gruppen und User-Daten ist mir nicht bekannt wo er die Sicherungsdatei hin schreibt. Das Handbuch sagt da auch nichts aus. Drücke ich auf Wiederherstellen falle ich auf die Lokale Maschine. E in Durchsuchen hilft mir da auch nicht weiter....

    Wer weis Rat ????? :handbuch: :handbuch: :handbuch:

    Zitat von Goffy431

    ...

    Ich will den Haupt-Server neu aufsetzen und bei der Sicherung der Gruppen und User-Daten ist mir nicht bekannt wo er die Sicherungsdatei hin schreibt. Das Handbuch sagt da auch nichts aus. Drücke ich auf Wiederherstellen falle ich auf die Lokale Maschine...

    Was meinst Du? Wo kannst Du Benutzer und Gruppen explizit sichern?

    Wo drückst Du auf "Wiederherstellen" und was heißt "auf die lokale Maschine fallen"?


    Gruss


    Edit: Ich würde die Sicherung sofort aussetzen, bevor Du "gute" Daten mit "bösen" Daten überschreibst!

    Zitat von Goffy431

    bei der Sicherung der Gruppen und User-Daten ist mir nicht bekannt wo er die Sicherungsdatei hin schreibt.

    Die wird als "Hostname_DATUM.bin" heruntergeladen... Die wird also im Downloadverzeichnis des Rechners abgelegt :)

    Das ist aber die komplette Sicherung des Systems!

    Die explizite Angabe Benutzer und Gruppen hat mich stutzig gemacht.


    Gruss

    :rolleyes: Kopf -> Tisch...

    Ich war bei Backup/Restore im Control Panel, die Datei heißt ähnlich.


    ... in die Ecke und schäme mich...


    Gruss

    Zitat von tiermutter

    Wenn ich nach "BlueID" google, besteht allerdings doch etwas Grund zur Sorge :S

    Priva "BlueID" ist meine DDC für die Hausautomatisation. Sollte Safe sein

    Zitat von Crazyhorse

    DryTek hatte ja vor kurzem auch was mit der Firmware.

    Daher muss auch hier ein Auge auf den Router und dessen Software gerichtet werden. Bietet er Dienste wie VPN an, dann sollte hier keine veraltete Hardware/Software eingesetzt werden.

    Software könnte man wirklich mal gucken^^ Aber HW würde ich schon gerne behalten

    Hallo,


    ich war die Tage leider auch von Deadbolt betroffen, obwohl die automatischen Updates auf empfohlene Versionen aktiviert war. Ich habe dann die Firmwäre aktualisiert und auch den Maleware Remover laufen lassen, welcher nichts gefunden hat.


    Nun nach 2 Tagen erhalte ich schon wieder die Deadbolt Anmeldeseite, obwohl keine Portforwardings mehr auf das QNAP gehen.


    Ich habe versucht mit Qrescue Daten wiederherzustellen, was wohl auch geklappt hat, aber während der Wiederherstellung wurde ich abgemeldet und die Deadbolt Anmeldeseite kam wieder.


    Wirt hier bei QNAP mal nach einer Lösung gesucht? Kann ja nicht sein, das man alle paar Monate Opfer wird.

    Zitat von Moschi

    ...Kann ja nicht sein, das man alle paar Monate Opfer wird...

    Wenn man sein NAS offen im Internet stehen läßt...doch, dann kann es sein!

    Bitte nicht wieder einen neuen Deadbolt Thread, es gibt schon genügend!


    Gruss

    Hast Du nach der Erstinfektion das NAS auf Werkseinstellung/Löschen aller angelegten Partitionen durchgeführt? Eine zweite Infektion ohne aktive Portweiterleitung ist ungewöhnlich.