MR2301 Malware

    Hi zusammen,


    seit gestern erkennt bei mir der Malware Remover eine "high risk malware" (so beschreibt es der Log) Namens MR2301...

    Malware Remover ist up2date: 5.6.1.9

    QTS: 5.1.0.2348


    Der Log besagt auch Malware entfernt, NAS neu starten, was ich ständig mache und danach wieder neu scanne, mit dem Ergebnis von erneuter o.g. Meldung.


    Frage könnte das ein false positive sein?

    Hat das noch wer, also diesen MR2301 Fund?



    Im Netz finde ich nur MR2101 MR2104 Eintrag von hier im Forum von 2021 mit komischen autorun.sh Einträgen, sonst finde ich nix via Google....


    Wäre für Hilfe dankbar oder Erfahrungen zu MR2301.



    Vielen Dank im Voraus,

    Cheers must32m4nn

    Vielen Dank für den link, werde ich verfolgen!


    Es sind nur gewisse Ports offen für PLEX, die habe ich nun erstmal zu gemacht und über die QFirewall habe ich alles denied aus LAN (damit ich auf die QNAP Oberfläche komme über LAN). QNAP Cloud ist auf privat, ddns aus, qnap link not installed. Also für mein Verständnis sollte die nicht offen im Netz sein...


    Standard System Port ist geändert, admin deaktiviert und neuer angelegt mit admin rights aber anderer Name.

    Aktuell wüsste ich also nicht, was noch eingestellt werden kann damit sie "sicherer" ist - security counselor ist grün, habe alles befolgt was der damals beim Einrichten gemeldet hatte...


    Bin aber offen für weitere Tipps in Richtung Sicherheit zum Abschotten!


    Danke nochmal und Grüsse

    Zitat von must32m4nn

    QNAP Cloud ist auf privat,

    Solange Ports zum QNAP weitergeleitet werd, ist der DDNS Status egal, also keine Ports zur QNAP GUI weiterleiten!

    Zitat von must32m4nn

    Standard System Port ist geändert, admin deaktiviert und neuer angelegt mit admin rights aber anderer Name.

    Bringt nix bei Exploits, genau wie Malware Remover (entfernt Malware erst wenn es zu spät ist) oder Security Counselor bringt auch nix ausser falscher Sicherheit.


    Also NAS GUI raus aus dem Web und (fast) alles ist gut

    Zitat von dolbyman

    Also NAS GUI raus aus dem Web und (fast) alles ist gut

    Sorry, kannst du mir das genauer erklären? wenn ich die privat setze, dann ist doch die NAS nicht via myQNAPcloud erreichbar oder liege ich da falsch?! In der FritzBox waren 2 Ports offen für PLEX, da hab ich nix speziell für QNAP geöffnet. Wo kann ich denn diese QNAP GUI Ports prüfen ob da was offen ist?

    Wie gesagt es geht hier nur um offene Ports, egal was,wie,wo bei QNAP auf privat gesetzt ist..wenn Ports auf die WebGUI geleitet sind ist das NAS in Gefahr.


    Geprüft wird das im Router (manuelle Weiterleitungen und upnp deaktivieren)


    Btw. warum 2 Ports für Plex?

    Wieso eigentlich 2 Ports?

    Plex benötigt doch nur einen…


    EDIT: Sry dein Kommentar überlesen, Dolby

    ah ok, ja habs glaub gerafft, von daher WebGUI ist offline, check!


    Upnp ist deaktiviert als Dienst auf der NAS als auch automatisches Port forwarding im Router.


    Ich hab damals PLEX via Internet erreichbar nur hinbekommen mit 2 Ports...

    Sprich: LANIP:Port1 -> WANIP:Port2 dann in PLEX den Port2 als Öffentlichen Port manuell gesetzt und diese beiden Ports in der Fritzbox geöffnet einmal als TCP + UDP. Passt das so nicht oder geht das "einfacher"?

    Das ist ja immer noch nur ein Port, ob jetzt das NAT 1:1 durchgereicht wird oder unterschiedlich ist


    WAN:1234>LAN:1234

    oder

    WAN:2134>LAN:1234

    Wenn du eine Fritzbox hast, dann schaue die das neue Wireguard an, damit kommst du dann auch sehr einfach Remote an alles ran, ohne ein Risiko einzugehen.


    Rein im LAN kannst du dir dann auch den ganzen Kram mit admin deaktivieren, Ports umbiegen usw. sparen. Das verkompliziert nur die NAS Administration, bringt aber gegenüber einem echten Angriff mit einer entsprechenden Lücke keinerlei Schutzwirkung.

    Und auch 2023 funktionieren bestimmte Dinge weiterhin nur mit dem echten admin.


    Vor allem, behalten deine DAten im Auge, nicht das die plötzlich verschlüsselt werden, du bemerkst das nicht und machst ein Backup, bei dem alles durch die nicht lesbaren Daten ersetzt wird.

    Zitat von dolbyman

    Wie gesagt es geht hier nur um offene Ports, egal was,wie,wo bei QNAP auf privat gesetzt ist..wenn Ports auf die WebGUI geleitet sind ist das NAS in Gefahr.

    Mal ne blöde Frage....was genau meinst du damit? Ich darf im Router keine Portweiterleitung von einem belibigen externen Port auf den internen Port 8080 haben? Also geht es nur um den 8080 oder noch andere?

    Genau so mein ich das, den Web GUI Port, egal ob der auf nen anderen Port extern gelegt wird, vom WAN aus weiter zu leiten, ist ne ganz bescheidene Idee, so fängt man sich Malware ein.

    Ganz einfach gesagt: Sobald Du von extern auf Dein NAS kommst (außer VPN), können dies andere auch. Hier steht dann nur noch Dein Passwort und hoffentlich ein System ohne jeglichen Sicherheitslücken zwischen Deinem NAS und einem Angreifer. Und ein System ohne Sicherheitslücken gibt es nicht, wie wir inzwischen alle wissen.

    Möchte noch ein Update zum Fund teilen, nach dem letzten Scan und Remove vom MalwareRemover kam die Meldung nicht mehr erneut (das war am 04.05.). Auch wenn es ein Beta Problem oder false positive sein sollte, erstmal taucht es nicht mehr auf, was erstmal beruhigend ist... Laut Log gab es aber weder ein Malware Remover Definitionsupdate oder FW Update! Also keine Ahnung ob QNAP was unternommen hat bereits, aufgrund den Tickets und User Anfragen vom o.g. Link. (Dort war jetzt auch eine Meldung unter FW 4.3.4 20221124)


    Zum Thema Sicherheit, da bin ich jetzt nochmal das komplette Setup durchgegangen:

    - myQnapCloud war noch ein Link drin ist mir aufgefallen, sprich trotz "privat" war die NAS dorthin verlinkt, das habe ich jetzt getrennt. (durch abmelden) somit habe ich nach anmelden auf myQnapCloud kein Sichtbare NAS mehr im Account. Die App selbst lässt sich nicht entfernen..

    - jegliche Dienste (DLNA, Bonjour usw.) oder apps (Multimedia Console, Media Streaming Addon, Help Center, SSD Profiling Tool), wurden deinstalliert und oder geschlossen, es läuft jetzt nur noch laut Systemstatus der Windows-Netzwerk Server, welchen ich auch nicht missen möchte. Alles andere was irgendwie lief, ich aber nicht benötigt hatte ist jetzt deinstalliert oder ab!

    - den 2. Port für PLEX habe ich gelöscht, da wie herausgefunden ein WAN Port reicht (danke nochmal für den Hinweis)

    - Wireguard erfolgreich installiert, z.B. aufm Handy von unterwegs ist das eine perfekte Lösung für mich, da ich dann die NAS erreiche über den FritzBox VPN mit Wireguard.

    - durch Aufhebung der myQnapCloud link kann die NAS kein Push mehr zum QNAP Manager senden (Handy), das ist ein kleiner Nachteil, lässt sich aber verkraften, da ich via Wireguard und QNAP Manager Handy app ja den Log der NAS erreiche.

    - ansonsten komm ich nur noch via LAN IP drauf und eben der eine open PLEX Port, damit PLEX funktioniert von ausserhalb

    - die QuFirewall habe ich auch angepasst, dass dort nur LAN durchkommt + der PLEX Port


    Ich hoffe, dass ich jetzt alles beachtet habe und meine NAS durch diesen Workaround ein wenig sicherer unterwegs ist... 8)

    Zitat von must32m4nn

    Alles andere was irgendwie lief, ich aber nicht benötigt hatte ist jetzt deinstalliert oder ab!

    :thumbup: Genau so und nicht anders.

    Zitat von must32m4nn

    und eben der eine open PLEX Port, damit PLEX funktioniert von ausserhalb

    Und dann hast Du eben noch dieses eine Einfallstor. Ist aber eben immer eine Ermessenssache und ein Abschätzen der Risiken. Aber so weißt Du dann zumindest, woher der Schaden gekommen sein könnte. ;)

    Zitat von Mavalok2

    :thumbup: Genau so und nicht anders.

    Perfekt, dann Danke dir/euch nochmals für den Input und Hilfestellung!


    Genau, das eine Einfallstor ist alive aber bin bei dir, das lässt sich somit gut eingrenzen. Unterm Strich, da ich den Dienst möchte ist das halt ein bewusst eingegangenes Risiko und nicht willkürlich alles am laufen was da nicht laufen soll. :beer:


    Mir war wichtig, dass ich nochmal die Settings durchgegangen bin und siehe da es gab einiges to do :thumbup:


    Laut dem anderen Forum ist QNAP aware of MR2301als known issue und bringt neue FW und App Updates... dann sollte das auch wieder passen!

    dolbyman: ok, danke. Den WEB-Gui Port habe ich nicht weitergeleitet. Sehr wohl aber ein paar Ports für einige Container (z.B. Teamspeak, Mordhau Server) und VM's (Freelancer Server, Ark Server). Schlechte Idee oder unproblematisch? Also irgendwie muss man ja den Zugriff auf solche Sachen regeln...kann ja nicht jedem meine VPN Daten geben.

    Bei Containern ist die Sache ja ein bisschen anders..die Sicherheit selber kommnt ja auf den Container an (bei den meissten von denen laufen ja nicht Tonnen von Diensten mit, die zusätzliche Sicherheitslücken haben können) wenn der doch geknackt werden kann, kommts halt darauf an auf was der Zugreifen darf


    Geht dabei also hauptsächlich um QTS