TS-473: IP vom PC jeweils nach Start geblockt

IT-Eric · 13. Dezember 2022

Hallo,

ich erhalte auf dem NAS den Hinweis, dass eine IP, die des win 10 PCs, für 5 Minuten geblockt ist. Dies ist jeweils dann der Fall, wenn der PC gebootet hat und am Anmeldebildschirm (Anmeldung noch nicht erfolgt) ca. 1 Minute unangemeldet steht. Ok, melde ich nen User an, passiert dies natürlich auch. Ich wollte nur verdeutlichen, dass kein User hier etwas auslöst/startet.

Auf dem NAS im Zugrifflog sehe ich 4 Zugriffsversuche der PC IP innerhalb 2 Sekunden. Die erste mit dem User admin, die zweite mit dem User root, die dritte mit dem user "user" und die letzte wieder mit admin. Verbindungstyp ist FTP und Verbindung ist fehlgeschlagen.

Es ist ein Win10PC, ich habe in der Register alles im run entfernt, was nicht benötigt wird.

Warum wird der PC geblockt? Malware/Virus?

Danke

tiermutter · 13. Dezember 2022

Schwer zu sagen... Irgendwas (irgendeine Anwendung) versucht mit FTP auf das NAS zuzugreifen und zwar mit dem User admin und falschem Kennwort.

Welche Programme starten denn mit Windows?

IT-Eric · 13. Dezember 2022

Danke für die Hilfe.

Irgend ein Programm versucht nicht nur mit dem User Admin, sonder auch mit Root und dem User user. Das macht mich nachdenklich.

Es startet eigentlich nur Windows, Avast Antivirusprogramm und ne Canon Drucker Software.

…aber woher sehe ich, was gestartet wird, wo nicht im run in der Registry steht.

Ach ja, nach dem 5 Minuten Block, kann ich vom PC aus auf das Nas komplett mit User und PW zugreifen, es gibt danach keine falschen Anmeldungen mehr.

Das ist ne einmalige Sache scheinbar je beim PC Start.

tiermutter · 13. Dezember 2022

Im Taskmanager unter Autostart oder einfach in den Prozessen. Der User root deutet für mich auf etwas eher Windows fremdes hin, also ein Programm welches zwar unter Windows läuft, aber (auch) für die Kommunikation mit anderen Systemen gedacht ist.

dolbyman · 13. Dezember 2022

Ist Avast nicht eines von den Programmen die immer Netzwerk "Pentests" probieren?

How to stop Avast Free from testing/trying to login to my NAS via SSH and FTP?

IT-Eric · 13. Dezember 2022

Interessant. Das teste ich mal, danke!

Es war tatsächlich das Antivirusprogramm

Danke!

TS-473: IP vom PC jeweils nach Start geblockt

Vulnerabilities in Squid

Multiple Vulnerabilities in QuFirewall

Vulnerability in Media Streaming Add-on

Multiple Vulnerabilities in QTS, QuTS hero, and QuTScloud (PWN2OWN 2023)

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

SambaCry on QNAP NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur