Unbekannte Benutzerkonten und Ordner auf dem NAS ?? Bitte dringend um Rat/Hilfe.

    Hab mir jetzt nicht den ganzen Thread durchgelesen, aber wir sollten uns nicht in QNAPMycloud, QNAPlink und was es noch so alles gibt verlieren.

    Angriffsvektor aufspüren, Kiste vom Netz nehmen, Auf Werkseinstellung und von einem Backup offline den Restore herstellen. Würde ich zumindest so machen.

    Es würde mich aber weiterhin interessieren ob und was in der autorun.sh steht.

    Den Weg hat dir dolbyman in #5 aufgezeigt.

    Hi Crazyhorse
    Vielen Dank für den Hinweis.
    Erschreckende Nachricht, aber irgendwie passt es nicht zu 100%, denn laut Beitrag müsste man auf die aktuellste FW updaten, was aber durch die QSnatch Malware unterbunden werden sollte.
    Ich konnte mein NAS aber gerade aktualisieren von 4.2.6 Build 20221028 auf Build 20230621 .....
    Wenn es QSnatch bei mir wäre und die Information im Blog richtig ist, dann hätte das Aktualisieren der FW bei mir ja nicht funktionieren dürfen!?

    Hi rednag
    Genau so sehe ich es auch.
    Die Benutzerkonten habe ich direkt deaktiviert und jeden Zugriff von aussen unterbunden.
    Als nächstes werde ich die Kiste auch komplett vom Netz nehmen.
    Dann wird die NAS neu aufgesetzt und das Backup aufgespielt.
    Das Thema QNAPlink ist so nebenbei für mich trotzdem interessant, da ich neben der VPN Verbindung diese evtl. gerne einrichten möchte (kann nicht immer überall eine VPN konfigurieren wo ich Zugriff auf das NAS benötige).
    Bin jetzt aber noch am überlegen ob ich dieses ältere Gerät weiter benutzen soll oder doch in ein aktuelles investieren sollte....
    Die neuste QTS Firmware bietet ja einiges mehr als die 4.2.6 die bei mir läuft, wie zB Security Counselor (ist das eine gute Sache oder doch eher Marketing und bringt kaum was?)
    Habe mal bei QNAP nachgeschaut welche aktuelle Modelle es da gibt mit 4 bay.... Hätte vielleicht einer eine gute Empfehlung hier?

    Was die autorun.sh angeht würde ich auch gerne wissen was man da raus lesen könnte!
    Wie ich aber auf den Beitrag von dolbyman geantwortet habe, wird die autorun.sh bei meiner FW Version nicht so im Menü angezeigt (scheint nur bei neueren Modelle so zu sein).
    Ich habe mich ein wenig in Putty eingelesen und wollte darüber die Datei finden, bin da aber nicht mit der Kommandozeile klar gekommen.
    Wenn mir aber einer dabei helfen könnte die autorun.sh auszulesen, wäre das super.

    Danke
    Gruss
    Kei

    Zitat von Keikoo

    (kann nicht immer überall eine VPN konfigurieren wo ich Zugriff auf das NAS benötige).

    Wie meinst Du das? Wenn Du Dein eigenes Gerät dabei hast, dann ist das doch einmalig konfiguriert und überall verwendbar, sofern nicht Hotel WLAN etc. unterbinden derartige Dienste / Ports zu verwenden. Was für ein VPN ist es denn?

    Zitat von Keikoo

    Security Counselor (ist das eine gute Sache oder doch eher Marketing und bringt kaum was?)

    Aus meiner Sicht überflüssig. Da könnte man auch Pumuckl hinstellen, damit er einem Sicherheitshinweise gibt ;)

    Zitat von Keikoo

    Hätte vielleicht einer eine gute Empfehlung hier?

    Immer abhängig von der (zukünftigen) Verwendung.

    Wenn nur Datenablage sind ARM Modelle (x31) ganz nice weil sehr energiesparend, dafür können die aber auch keine VM.

    Zitat von Keikoo

    Wenn mir aber einer dabei helfen könnte die autorun.sh auszulesen, wäre das super.

    vi /share/CACHEDEV1_DATA/.system/autorun/autorun.sh

    Wobei die Zahl hinter CACHEDEV abweichen könnte, wenn Du mehrere Volumes hast.

    Hab das aber auch aus nur einer Quelle (https://github.com/OneCDOnly/create-autorun), keine Ahnung ob das wirklich stimmt. Testen könntest Du es aber.

    Wenn er dann eine neue Datei anlegt (schwarzer Bildschirm), einfach mit :q! gefolgt von Enter beenden.

    Wobei ich kurz nachgesehen habe, weil ich keine falschen Angaben machen will.

    Unter dem referenzierten Pfad von tiermutter ist bei meiner TS-253B nichts zu finden.

    Ich kann zwar unter der GUI nachsehen. aber die muß doch irgendwo nativ auch liegen.

    Hi duke-f

    Danke für den Link, klingt alles sehr einfach.... :)
    Nur leider glaube ich dass ich damit nicht klar komme.
    Habe das gerade versucht und bekomme nur das hier angezeigt und denke dass ich da etwas nicht richtig mache :(
    pasted-from-clipboard.png

    Den Link hab ich auch schon durch. Gemountet nach config/tmp, aber das Verzeichnis bleibt leer.

    Mach erst mal

    ls -la /tmp/config/

    statt dem vi.

    rednag

    Dann gibt’s eventuell gar keine autorun ….

    Einmal editiert, zuletzt von duke-f () aus folgendem Grund: Ein Beitrag von duke-f mit diesem Beitrag zusammengefügt.

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Damit sieht es dann so aus:
    pasted-from-clipboard.png

    Zitat von tiermutter

    Wie meinst Du das? Wenn Du Dein eigenes Gerät dabei hast, dann ist das doch einmalig konfiguriert und überall verwendbar, sofern nicht Hotel WLAN etc. unterbinden derartige Dienste / Ports zu verwenden. Was für ein VPN ist es denn?

    Ich benutze die Fritz VPN.
    Wenn ich im Büro bin oder zB am PCs eines Sportvereins, muss ich manchmal auf mein NAS zugreifen können und das geht dann eben nicht.....
    Von meinen privaten Geräten aus ist das kein Problem.

    Zitat von tiermutter

    Immer abhängig von der (zukünftigen) Verwendung.

    Wenn nur Datenablage sind ARM Modelle (x31) ganz nice weil sehr energiesparend, dafür können die aber auch keine VM.

    Ja aktuell ist es nur als Datenspeicher, weiss aber nicht wie die Zukunft aussieht.....
    Effektiv habe ich auch gesehen, dass die ARM NAS einen deutlich geringeren Stromverbrauch haben als die mit Intel Prozessoren.
    Denke wenn es ein neuer NAS geben sollte, dass ich dann vielleicht weniger auf den Stromverbrauch schaue als dass das Gerät offen ist für zukünftige Anwendungszwecke.
    Was wäre hier ein Gerät für "gehobene" Ansprüche im Home Bereich?

    Einmal editiert, zuletzt von Keikoo () aus folgendem Grund: Ein Beitrag von Keikoo mit diesem Beitrag zusammengefügt.

    Da ist auch nix. Nur eine temp. Datei die Du selbst erzeugt hast.

    Scheiss doch drauf, das NAS ist ohnehin fällig zum Plattmachen. Es würde nur das Interesse am Inhalt der Datei befriedigen, aber vermutlich würde es niemandem helfen... also los, Du hättest schon fertig sein können 8o

    :) :)
    Ja ich weiss, man will ja aber auch der Sache auf die Spur kommen und verstehen/sehen was da vielleicht passiert ist.
    An der Sache wird es wohl nichts ändern, aber trotzdem interessant zu wissen.
    Ich werde aber erst mal überlegen ob ich die alte NAS nochmal neu aufsetze oder eben ein aktuelles Gerät kaufe und dann kanns auch losgehen mit dem Aufsetzen.

    Das was man dort zu sehen bekommen würde, wären allenfalls wilde Zeichenfolgen, mit denen man wenig bis gar nichts anfangen kann, außer es vielleicht einer Malware zuzuordnen...

    Was ist passiert? Offenes NAS im Netz wegen Zugriff ausm Kegelklub...*zack* Malware und das sollte, egal ob altes oder neues NAS, nicht mehr gemacht werden..Sonst kommt die nächste Malware auf kurz oder lang.


    Wenn man von Aussen einfach auf Daten Zugreifen will, helfen OneDrive,Dropbox,etc (kann man via Hybridmount auch mit dem QNAP verbinden)

    Oder gescheit absichern.

    Sprich ne richtige Firewall die nur bestimmte Dyndns Adressen für den Zugriff über den HA Proxy zulässt und der spricht dann im Backend mit dem Webbrowser vom NAS.

    Das kann man so auch sicherheitstechnisch vertreten.


    Nachdem der Malware Remover gelaufen ist, findest du von dem Virus nix mehr.

    Das ist eine alte gut bekannte Malware die er restlos wegräumen kann.

    Also so 100% würde ich mich auf den Malware Remover, bzw. dessen Nachrichten nicht verlassen. Und ist das Gerät einmal kompromittiert, ist ein neur Aufbau fast unvermeidlich.

    Hallo,
    Nochmals allen einen grossen Dank und der Vollständigkeit halber hier noch das was beim Support raus kam.

    Hier die Aussage, betreffend den unbekannten Benutzerkonten und der Meldung "MR2001:

    Zitat von QNAP Support

    MR2001 bedeutet: Generic PHP backdoor (AgeLocker ransomware)
     --> https://www.qnap.com/de-de/how…icle/agelocker-ransomware


    Die genannten Benutzer werden nicht vom System angelegt. Insofern können Sie diese löschen. Die unbekannten Ordner bitte zunächst sperren -> Zugriff verweigern für die Gruppe everyone.


    Zu meinem Problem, dass ich QNAPlink nicht aktiviert bekomme:

    Zitat von QNAP Support

    Wir haben aus Sicherheitsgründen myQnapCloudLink (Smart Url) für ältere NAS Systeme entfernt.
    --> myQnapCloudLink ist ein spezieller Tunnel von Taiwan zu Ihrem NAS wo kein Portforwarding benötigt wird.

    Link: https://www.qnap.com/en/how-to…-versions-4-2-x-and-older


    Eine Verbindung über myQnapCloud über Portweiterleitung sollte weiterhin möglich sein


    Da der Fernzugriff über QNAPlink nicht mehr möglich ist und ich dem Zugriff über QNAPcloud auch nicht mehr traue, bleibt leider nur die VPN Lösung übrig.
    Immer dann wenn ich von einem meiner Geräte aus von extern auf das NAS zugreife, passiert das sowieso über VPN.
    Aber leider kommt es auch mal vor, dass ich von extern zugreifen muss, aber nicht die Möglichkeit habe einen VPN Client zu installieren.....
    Habe da nach einer Lösung gesucht, wie z.B. portabler Client, aber leider auch nichts passendes gefunden für die Fritz VPN.

    Somit sieht es jetzt so aus, dass ich dann wohl in manchen Fälle auf den Fernzugriff verzichten muss.

    PS: Achja, und dann noch die allgemeine Aussage vom Support, dass ich eine zu alte Kiste betreibe, die EOL ist und nicht mehr supported wird und so nicht mehr am Netz weiter betrieben werden sollte.

    Beste Grüsse
    Kei

    Hi dolbyman

    Nein sicher nicht zu teuer :)
    Ganz ehrlich gesagt, es liegt einfach nur an der Zeit...... und dass ich kein fertiges Konzept vorliegen habe. Eine gute Anleitung der mir den Weg aufzeichnen würde und bei möglichen Stolperfallen weiterhelfen würde, wäre auch ein Segen.
    Ich habe mir schon längere Zeit Gedanken darüber gemacht und Ideen geholt was ich bei mir ändern könnte.

    So wollte ich z.B. meine Fritzbox ersetzen durch einen VLAN fähigen Gigabit Router von Mikrotik (zB RB4011) und mein Netz in Vlans aufteilen, damit ich mein Smart Home vom Rest trennen kann.
    Mein WLAN, bestehend aus Fritzbox und DeVolo PowerLan Geräten, möchte ich durch 2-3 Ubiquiti APs ersetzen.
    Und als Firewall, VPN, Adblocker usw habe ich auch schon an einer Lösung auf Basis von einem Raspberry oder Intel-Nuc usw gedacht.

    Ideen sind viele da.
    Habe sogar mal über eine NAS Lösung nachgedacht mit FreeNas/TrueNas, MediVault oder Rochstor auf entsprechender HW.
    Hoffe ich werde für diese Gedanken im QNAP Forum nicht gesteinigt ;)

    Zeit ist bei mir prinzipiell schon ein Problem und dann kommt noch hinzu, dass ich mich erst mal intensiver mit all diesen Lösungen beschäftigen müsste.
    Da sind einige Hürden, mit denen ich noch nie konfrontiert wurde und somit wäre das Ganze ein etwas zeitintensives vorhaben.

    Ich müsste mich mal mit PROXMOX beschäftigen und herausfinden was überhaupt alles umsetzbar ist von meinen Ideen und ob ich das alles auf einer HW laufen lassen könnte/sollte oder doch besser in separate Systeme aufteilen sollte.
    Da es auf OpenSource laufen sollte, müsste ich noch die passende SW heraussuchen für die Firewall, den Adblocker, die VPN Lösung usw...
    und am Ende noch die richtige Hardware (leistungsstarker multi-NIC Mini PC).

    Gerne würde ich dieses Projekt mal angehen, wenn der Fahrplan dann mal steht.

    Gruss
    Kei

    Zitat von Keikoo

    Aber leider kommt es auch mal vor, dass ich von extern zugreifen muss, aber nicht die Möglichkeit habe einen VPN Client zu installieren.....

    Je nachdem, was du vorhast und was du vor Ort nutzen oder installieren kannst, könnte ein ssh-Zugriff mit Möglichkeit eines ssh-Tunnels eine Lösung sein.

    VPN auf der Fritzbox erreichbar über MyFritz wäre die einfachste Lösung.

    Ist hier schon mehrfach beschrieben.