Unbekannte Benutzerkonten und Ordner auf dem NAS ?? Bitte dringend um Rat/Hilfe.

    Hallo,

    Ich bin etwas verunsichert und bräuchte dringend euren Rat.
    Auf meinem NAS (TS-439 Pro II+) habe ich jetzt merkwürdige Ordner gefunden und passend zu diesen 4 Ordner auch jeweils ein neues Benutzerkonto mit dem selben Namen (kryptische nichts aussagende Namen).
    In den 4 Ordner sind auch jeweils Dateien enthalten (überall die gleichen).
    Das sind jeweils ca. 24MB an Dateien (244 Ordner / 1875 Dateien)
    Ich habe mir die Dateinamen und manche Icons darin angeschaut und die scheinen irgend etwas mit PhotoStation zu tun haben.....

    In den Systemerreignisprotokolle stehen auch die entsprechende Einträge drin, wo die Benutzer und Shared Folder angelegt wurden....
    Ich habe die aber nicht angelegt und ausser mir greift sonst keiner auf mein NAS zu (hoffe ich mal).

    Wie konnte das passieren dass diese Ordner und Benutzernamen automatisch erstellt wurden?
    Was läuft da ab?
    Kann das sein dass das NAS das alles selber angelegt hat?
    Dann frage ich mich wieso und zu welchem Zweck?

    Über jede Hilfe und jeden Tipp wäre ich sehr dankbar.

    Hier mal ein Screenshot mit dem Inhalt eines dieser Ordner:

    pasted-from-clipboard.png


    Vielen Dank
    Gruss
    Kei

    Hi dolbyman
    Hi rednag

    Danke für die Hilfe.

    Ob das NAS im Netz offen ist, ist eine gute Frage.
    Ich greife immer über VPN auf das NAS zu, bin mir jetzt aber nicht mal zu 100% sicher, dass nicht auch noch andere "Türen" offen sind.
    Hatte vorher eine NAS von einem anderen Hersteller und mich wohl zu viel an diese gewohnt (Fand diese aber auch irgendwie einfacher mit den Einstellungen).
    Leider komme ich nur schwer klar mit den QNAP Einstellungen, weswegen ich die Erstkonfiguration damals auch von einen Bekannten habe machen lassen.
    Ich würde jetzt gerne das NAS kontrollieren und sicher stellen, dass nicht weitere Zugriffsmöglichkeiten konfiguriert sind.
    Wäre sehr dankbar, wenn mich jemanden auf die richtige Spur bringen könnte, damit ich das sicher prüfen kann und nichts übersehe.

    Habe mal nach der autorun.sh gegoogelt um heraus zu finden worum es da geht und wie ich die finde....
    Ich habe jetzt versucht darauf zuzugreifen via PUTTY, komme aber nicht mit den Kommandos in der Putty Kommandozeile zurecht :(
    Wie kann ich die autorun.sh auslesen?

    Vielen Dank für weitere Hilfe.

    Habe jetzt den Malware Remover laufen lassen, mit folgendem Resultat.
    Unter dem angegebenen Code MR2001 konnte ich im Netz leider auch nichts wirklich etwas finden, ausser diesen Beitrag der aber auch nichts aufklärt:
    https://forum.qnap.com/viewtopic.php?t=157931


    Die Meldung im Ereignisprotokoll lässt zwar vermuten dass da wirklich eine MALWARE vorhanden war und entfernt wurde....
    Hier im Forum habe ich aber auch einen Beitrag gefunden mit ähnliche Malware Nummern, was aber eher eine interne Bereinigung der eigene Software war seitens QNAP und keine Malware Entfernung im eigentlichen Sinne:
    MR-Meldung: [Malware Remover] Removed vulnerable files or folders. Malware ID: MR2102


    Danke

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Mein NAS läuft unter 4.2.6 Build 20221028 und da wird die autorun.sh leider nicht angezeigt.

    hier noch das Resultat des Malware Scan:
    pasted-from-clipboard.png

    2 Mal editiert, zuletzt von Keikoo () aus folgendem Grund: Ein Beitrag von Keikoo mit diesem Beitrag zusammengefügt.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Ja in der FritzBox war UPNP aktiviert und habe es jetzt schon mal deaktiviert.
    Als weitere Verbindungsmöglichkeit hat Google mich jetzt noch auf die "myQNAPcloud" gestossen und die scheint bei mir auch aktiv zu sein....
    Ich denke dass das auch nicht gerade eine sichere Sache ist, oder?
    Da ich an sich über VPN zugreife, benötige ich die myQNAPcloud Verbindung ja auch nicht..., oder macht die irgendwie doch Sinn?

    Bei QNAPcloud gibts 2 Sachen


    QNAP Cloud DDNS mit Port Weiterleitungen (da fängt man sich gerne Malware ein)

    und

    QNAPCloudLink da wird der Datenverkehr via QNAP Server durchgeführt (Funktioniert ohne Port Weiterleitungen)


    Wenn upnp aktiv ist, kann also der QNAP so wie es wild und lustig ist selbst Ports an sich weiterleiten, ein ganz heißes Eisen.


    Also am besten würde ich das NAS ganz Platt machen und alles aus Backups wiederherstellen (Backups gibt's hoffentlich .. oder?)

    Zitat von dolbyman

    Wenn upnp aktiv ist, kann also der QNAP so wie es wild und lustig ist selbst Ports an sich weiterleiten, ein ganz heißes Eisen.

    Nein kann er nicht, UPnP ist für per default in einer FritzBox für Statusinfos aktiv, Portweiterleitungen müssen vom Admin für ein Geräte zugelassen werden, dann kann es hier aber auch über UPnP automatisch passieren. Das ist praktisch für einige Games.

    Aber für ein NAS ist das keine gute Idee!

    Danke für die Infos,

    Ja Backups gibt es auf externen Platten.
    Wie gross ist denn jetzt noch das Risiko, dass ich auch mit den Backupdateien mir wieder etwas aufs NAS hole, was Schaden anrichten könnte oder wieder das gleiche Problem anrichtet?
    Platt machen und neu aufsetzen soll dann dafür sorgen, dass die NAS Software wieder sauber und die FW frei von schädlicher SW ist !?
    Hmmm, nicht gerade das was ich jetzt brauche da ich schon sehr wenig Zeit habe, werde aber dann wohl trotzdem ran gehen müssen.
    Werde das NAS dann mal solange ausser Betrieb nehmen, um weitere Risikos zu vermeiden.

    Danke schon mal für die bisherige Hilfe.

    Trotzdem noch ein paar Fragen.
    - Kann man bei dem was bei mir vorliegt ziemlich sicher davon ausgehen, dass ich mir da was eingefangen habe oder könnte es auch sonst eine Ursache haben?
    Gibt es irgendwelche Möglichkeiten nachzuvollziehen / zu prüfen, was auf meinem NAS passiert ist und was genau die Ursache des Problems ist?
    - An sich habe ich nicht vorgesehen mein NAS durch ein neues Gerät zu ersetzen, da es an sich noch zuverlässig läuft. Updates gibt es aber leider nicht mehr.
    In wie weit kann man ein älteres Gerät noch ruhigen Gewissens laufen lassen?

    Zitat von Crazyhorse

    Nein kann er nicht, UPnP ist für per default in einer FritzBox für Statusinfos aktiv, Portweiterleitungen müssen vom Admin für ein Geräte zugelassen werden,

    Hm, ist ja lustig das AVM da ein eigenes Süppchen braut.. normalerweise ist upnp ein Freibrief ohne Nutzereinwirkung .. hier gibt's keine Fritzboxen .. kenn ich mich also nicht mit aus.

    Bei der FritzBox gibt es 2 Varianten.

    1. Nur Statusdaten per UPnP übertragen.

    2. Vollständige UPnP Funktion incl. Portfreigaben.

    Variante 1 ist ungefährlich.


    Uwe

    Zitat von Keikoo

    Wie gross ist denn jetzt noch das Risiko, dass ich auch mit den Backupdateien mir wieder etwas aufs NAS hole,

    Eigentlich keins, da nicht Dateien von Malware infiziert werden sondern das NAS System. (Die Daten selber werden ganz gerne von Malware gegen Lösegeld verschlüsselt, aber deswegen sind die ja nicht infiziert)


    Zitat von Keikoo

    - Kann man bei dem was bei mir vorliegt ziemlich sicher davon ausgehen, dass ich mir da was eingefangen habe oder könnte es auch sonst eine Ursache haben?

    Also Kryptische unbekannt Benutzer sind schon sehr eindeutig, externe Programme haben keinen Zugang zu den NAS Nutzern und können die also nicht anlegen, muss also was auf dem NAS sein.

    Zitat von Keikoo

    In wie weit kann man ein älteres Gerät noch ruhigen Gewissens laufen lassen?

    Einfach nicht durch Portweiterleitungen dem Web aussetzen .. dann ist das alles ziemlich gelassen zu betrachten (gilt auch für aktuelle NAS)

    Ok, grossen Dank euch alle für die vielen Infos und die Hilfe.


    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Dann werde ich das Teil noch ein Weilchen behalten :)

    Wollte jetzt auf meinem NAS den Zugriff über QNAPcloudLink mal ausprobieren aber leider scheint es da ein Problem zu geben....
    Ich habe UPNP deaktiviert und keine Portweiterleitung aktiv und bekomme keine Verbindung.
    Beim aktivieren von CloudLink in der NAS App steht der Verbindungsstatus permanent auf "Getrennt" mit der Meldung dass das der NAS Zugriff auf das Internet sichergestellt werden soll.... !?
    Verstehe diese Meldung nicht...., an der Internetverbindung liegt es auf jeden Fall nicht.

    Sieht so aus:
    pasted-from-clipboard.png

    Die Variante mit DDNS und Portfreigabe konnte ich jetzt erfolgreich testen, die möchte ich aber nicht benutzen und würde gerne die CloudLink Lösung nach dem neu aufsetzen des NAS benutzen.
    Weiss vielleicht einer woran das liegen könnte?
    Funktioniert CloudLink überhaupt noch mit dieser alten NAS?
    Im Netz konnte ich nichts hilfreiches finden.

    Danke

    Warum QNAPCloud überhaupt verwenden, wenn es doch eine VPN Verbindung gibt ?



    Zitat von Keikoo

    Die Variante mit DDNS und Portfreigabe konnte ich jetzt erfolgreich testen,

    Fraglich ist aber wie, wenn doch upnp und manuelle Freigaben deaktiviert sind. (Test sollte also nicht erfolgreich sein)

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Ja da hast du Recht, ich habe die UPNP und Portfreigabe aber testweise mal aktiviert, um zu probieren ob der Zugriff über MyQnapCloud funktioniert.
    Das habe ich probiert, nachdem die CloudLink Variante die Fehlermeldung ausgegeben hat und nicht funktionierte.
    Die MyQnapCloud Variante möchte ich aber definitiv nicht eingerichtet haben und benutze auch eine VPN Verbindung.
    Es ist aber so, dass ich schon mal an Orte bin, wo ich keine VPN einrichten kann und da wäre die CloudLink Lösung schon eine praktische Alternative, wenn sie ja auch sicher ist....
    Ich habe wegen der Fehlermeldung vielleicht etwas im Netz gefunden.....
    So wie ich das verstanden habe, wird dafür ein SSL Zertifikat benötigt.
    In älteren Anleitungen habe ich gesehen, dass man früher auch kostenlose Let'sEncryp Zerifikate benutzen konnte, das scheint sich aber auch geändert zu haben, da ich in der QNAPCloud App jetzt nur ein Zerifikat bei QNAP selber kaufen kann.
    Hmmm,...

    Nee .. da wird nix mit SSL benötigt, bei Problemen mit Cloudlink am besten ein Ticket aufmachen. kann z.B. irgendein Account Aktivierungsproblem (auf QNAP Servern) sein oder so .. hab Cloudlink noch nie benutzt .. VPN lauft bei mir überall

    Ok, nochmals vielen Dank für eure Hilfe.
    Ticket habe ich wegen dem QNAPlink Problem erstellt und auch gleich mal nach dem Malware Code "MR2001" gefragt.
    Mal gespannt ob das etwas Licht in die Sache bringt.
    Falls es dazu Neuigkeiten gibt, werde ich das dann hier ergänzen.

    Und Sorry an den MOD für die Zitate die bereinigt werden mussten. Globe Besserung :) Danke!