Beiträge von pennywise

Da forsche ich seit November und kaum habe ich im Forum um Hilfe gefleht, da finde ich den Übeltäter.

Auf den von mir verwendeten Windows Maschinen ist die Software "Fritz Fernzugang" installiert. Die Software installiert auch ein Netzwerkprotokoll "AVM VPN Driver", welches an jede Netzwerkkarte gebunden ist. Kaum löse ich die Bindung an den Gigabit-Adapter habe ich Raten um 45 MB pro Sekunde...

Warum jedoch die Linux Maschine nur auf 20 MB kommt? Das ist ein dummer Zufall und ein weiteres Problem, welches ich jetzt angehen werde....

Also bis Bald

Bewußt nicht, ich habe aber auch mehrere Konstellationen durchprobiert.

Der Weg zum PC ist aktuell: NAS --> Kabel --> Netgear GB-Switch --> Kabel --> Patchpanel --> Kabel in Wand zur dose --> Kabel --> PC

Ich habe probiert (mit mehreren Kabeln):
NAS --> Kabel --> PC
NAS --> Kabel --> Netgear Switch --> Kabel --> PC
Nas --> Kabel --> FB7390 --> Kabel --> PC

Immer die gleichen Transferraten

Da habe ich mich wohl undeutlich ausgedrückt

Erst mal das wichtige: Natürlich habe ich ein Backup, als ich das Raid platt gemacht habe habe ich mir sogar 2 Backups auf getrennte externe Platte gezogen, falls die eine Platte beim wiederaufspielen kaputt geht

Und zum Daten schubsen. Ich habe die schlechten Raten, wenn ich eine Datei vom NAS auf meinen PC herunterkopieren möchte. Nicht von Freigabe a nach b. Vom Nas zum PC, also OneWay

Hallo,
ich bin langsam echt am Ende. Um mein Problem zu schildern muss ich etwas ausholen. Aber folgende erst mal

meine aktuelle Konfiguration:

NAS: TS419P
FW: 3.8.1 Build 20121205
Datenträger: Raid 5 aus
Laufwerk 1 WDC WD15EARS-00S0XB080.0 1397.26 GB
Laufwerk 2 WDC WD15EARS-00Z5B1 80.0 1397.26 GB
Laufwerk 3 WDC WD30EFRX-68AX9N080.0 2794.52 GB
Laufwerk 4 WDC WD30EFRX-68AX9N080.0 2794.52 GB
ext4
Cache aktiviert

Netzwerk:
Porttrunking (tlb) Gigabit über Netgearswitch an FB 7390

Bis November hatte ich noch 4 WDC WD15EARS Platten mit FW 3.4 auf dem QNAP. Zum Zeitpunkt des Kaufes waren

die noch auf der Kompatibilitätsliste von Qnap, die sind erst danach davon verschwunden. Im November hat

sich dann eine Platte verabschiedet. Leider hat der Qnap das nicht gemerkt und hat ohne Pause versucht,

auf die HDD zuzugreifen. Ich kam an nichts mehr heran (Freigaben, WebIF). Erst als die die defekte Platte

gezogen habe, war erst mal wieder alles erreichbar. Natürlich war das RAID dann im degradierten Zustand.

Ich haben dann erst mal meine Spiegelung auf meinen externen Platten aktualisiert (das mache ich immer

über den PC, nicht über die am QNAP integrierten USB Ports) und danach das NAS heruntergefahren.

Neue Platte bestellt: WDC WD30EFRX

Platte eingesteckt, NAS hat selbstsändig mit dem Resync begonnen. Schlafen gegangen. Morgens aufs Nas

geschaut: Lampe rot Während des Resyncs war laut logs eine andere Platte kurz weg, deshalb ist er von

degradiert in degradiert + schreibgeschützt gewechselt. Und daraus konnte ich das Raid nie wieder

befreien. Hab vieles versucht. Am Ende habe ich das ganze System neu aufgesetzt. Beim Neuinstallieren habe

ich gleich die aktuelle FW 3.8 drauf gemacht, habe leider nicht geselesen, wie die insgesamt zerrissen

wird.
RAID neu erstellt. Alles soweit OK. Wollte dann die Daten drauf schieben. Dieses mal wollte ich das über

die integrierten USB Ports machen. Jedoch sind alle 3 tot. Kein Gerät wird erkannt. Da ist kein Saft

drauf, am USB-Stick z.B. leuchtet die lampe nicht auf. Habe dann ein Downgrade auf 3.7 versucht. Brachte

nichts. Zurück auf 3.8. RAID aufgesetzt. Daten per Netzwerk drauf. Dabei ist mir diese miese Schreibrate aufgefallen. Ca. 18 MB pro Sekunde. Was jetzt eigentlich noch gar nicht so mies ist. Aber daraufhin habe ich die Download-Rate getestet. Und die liegt bei ca. 21 MB pro Sekunde. Und das ist mies. Ich hatte früher Raten von ca. 42 MB pro Sekunde.

Und bisher habe ich keinen Grund für diese schlechten Raten ermitteln können. Und ich habe vieles getestet:

Zugriff per FTP und NFS anstelle von Samba: Gleiche Raten
Zugriff über Linux, Windows 7 und Windows 8: Gleiche Raten
Direkter Zugriff ohne dazwischen hängenden Switch (Kabel zw. QNAP und Notebook): Gleiche Raten
Verschiedenste Netzwerk-Konfigurationen (PortTrunking AN/AUS, DHCP, feste IP, alle möglichen Jumbo-Frames, etc.): Gleiche Raten
FW Update auf 3.8.1: Gleiche Raten
Wins aktiviert (aufgrund eines Forum-Beitrages): Gleiche Raten

Zwischendurch hat eine weitere Platte SMART-Probleme gemeldet. Habe diese dann proaktiv gegen eine weitere WDC WD30EFRX getauscht. Hier ist der Resync ohne Probleme gelaufen.

Beim Download auf Windows-PC mit wie erwähnt 21 MB pro Sekunde ist die CPU maximal 50% ausgelastet.

Habe über SSH einen "internen" Test mit dd (tempfile vom RAID5 Volume nach DEV/NULL) gemacht. Da komme ich rechnerisch auf Leserate von 107MB pro Sekunde.

Hat noch jemand eine Idee, wie ich auf über 21 MB pro Sekunde komme? Oder kann es ein Hardwareproblem sein? die USB Ports scheinen ja auch defekt zu sein.

Bin verzweifelt

Naja, ich bin des Lesens sehr wohl mächtig.. aber gefunden bezüglich der apache sicherheit habe ich hier im Forum nicht wirklich viel...

Was mir der Beitrag gebracht hat ist aber: Selber lesen und lernen und nicht panisch machen lassen...

Ich selbst greife von außerhalb per SSH und Tunnel dann den Verkehr darüber.. dahingehend ist alles sauber

Da ich aber einen Webserver betreibe geht es mir um die Zugriffe darauf. Kann ja nicht allen meinen SSH-Key geben... Ich hatte bis vor kurzem auch nur Port 443 auf (und einen SSH-Port, natürlich nicht 22).. da war nix in den Logs... aber aufgrund einer hier bereits geschilderten Problematik hab ich momentan auch Port 80 offen... und jetzt kommen halt auch komische Anfragen.. Und die dachte ich kann ich mit der Sperrliste von vornherein blocken..

aber fast 12000 Zeilen werden wohl zu viel sein, hab ich mir eigentlich auch gedacht... deshalb wollte ich ja hier fragen..

Darum gehts mir...

Hallo,

folgender Thread hat mich inspiriert: http://forum.qnapclub.de/viewtopic.php?f=95&t=7882&start=0

Wäre es echt so einfach? Einfach eine IP-Rage eingeben und damit nur Zugriff aus Deutschland gewähren? Habe also recherchiert... Habe zunächst leider nur die Info gefunden, dass es keine länderspezifischen Ranges gibt... ok... aber so schnell gibt man ja nicht auf..

Nach einigem suchen habe ich diese Webseite gefunden:

http://www.ipaddresslocation.org/ip_ranges/get_ranges.php

Hier ist es möglich alle IP-Ranges zu einem bestimmten Land zu ermitteln. Nun habe ich einfach mal Germany ausgewählt.. und was bekomme ich? 11895 IP-Ranges alleine für Deutschland... Nun ist es natürlich unmöglich, diese im Web-If unter Zulässige Ranges manuell einzutragen.

Daher meine Frage: Gibt es eine Möglichkeit, diese Liste irgendwie zu importieren? Das währe natürlich das Höchste der Gefühle

Alternativ lässt sich die Liste auch mit angehängtem allow oder deny ausgeben.. so wäre ein Nutzung in einer .htaccess möglich. Fraglich ist nur, ob eine .htaccess mit fast 12000 Zeilen praktikabel wäre

Also, haben die Profis eine Idee? Ist ein Import möglich?

Oder ist das alle eh nur Unsinn?

Die Idee dahinter ist Portscans, etc. dadurch zumindest von einem Großteil der "Restwelt" gleich zu unterdrücken. Man würde die Angriffsfläche dadurch ja extrem minimieren

Danke im Voraus !

Du hast Recht, hab ich nicht

Da steht folgendes:

[~] # cat /etc/default_config/crontab# m h dom m dow cmd0 3 * * * /usr/local/sbin/ImR_all -soft /Qmultimedia

Aber wird das wirklich ausgeführt? Ich dachte es wird der Inhalt von /etc/config/crontab ausgeführt, die sieht bei mir so aus:

[~] # cat /etc/config/crontab
# m h dom m dow cmd
0 4 * * * /sbin/hwclock -s
0 3 * * * /sbin/vs_refresh
30 4 * * * /etc/init.d/Qthttpd.sh restart 1>>/dev/null 2>>/dev/null
29 4 * * * /etc/init.d/cp_log.sh

zur Info: die letzte Zeile (4:29 Uhr) ist von mir

hmmm.. nach dieser crontab wird um 3 Uhr "vs_refresh" ausgeführt... auch um 4 Uhr passiert was.. aber müssen dafür die Platten anlaufen?

Du hättest sehen sollen, ich welcher Geschwindkeit der Schweiß auf meiner Stirn stand, nachdem ich deine erste Antwort gelesen habe

Gerade die nächste Panikattacke: Nach Aufruf von ps sehe ich den Eintrag

sshd admin@notty

WER IST DAS... googlen und grübeln hats dann aber zu Tage gebracht: Es war eine nicht sauber getrennte Verbindung via WinSCP

Hab auf jeden Fall genug Paranoia für heute .. ich bin mir jetzt einfach ziemlich sicher, nicht gehackt worden zu sein, also kann ich beruhigt schlafen

Vielen Dank an ALLE Antworter..

Aber weiterhin gilt: Wer hat Tipps zur Absicherung?

Da kommt mir ein Gedanke: Gibt es nicht vielleicht ein HowTo für "Wie sichere ich meinen Apache bestmöglich ab" ???

Wenn nicht, sollte es das geben.. aber wie ihr dem ganzen Thread entnehmen könnt: Ich wäre eher ein Nutzer als ein Autor

Gute N8

Hi,

Multimediastation scheidet aus, die hab ich gar nicht aktviert.. Ich finde die echt schlecht

So, noch ein Update,

ich habe jetzt schon im Webroot eine .htaccess Datei, die einen Benutzernamen und Passwort benötigt. Diese hatte ich sonst nur auf die Unterordner verteilt.

Somit kommt jetzt bei jedem Aufruf meiner webseite die Abfrage nach Benutzername und Passwort... hab wieder den "proxy-test" gemacht.. diesmal kommt im log die antwort: 401 !!

Natürlich, weil ich keinen Benutzernamen und Passwort angegeben habe..

So, jetzt kann ich beruhigt schlafen gehen.. fürs erste

ODER?

So, kleines Update:

Habe im Firefox mal die IP des NAS-Webservers mit Port 80 als Proxy eintragen. Dann kommt egal welche URL ich aufrufe wie bei google gefunden nur meine Homepage. Folgendes hinterlasse ich im Log:

192.168.2.16 - - [07/Aug/2010:20:21:39 +0200] "GET http://www.baidu.com/ HTTP/1.1" 200 520

Also habe ich für mich geschlussfolgert:

Jeman versucht mein NAS als Proxy zu verwenden, aber schafft es nicht.

D.h. für mich: Ich wurde (zumindest diesbezüglich) nicht gehackt. Wie gesagt, es gibt auch sonst keinerlei ersichtlichen anzeichen..

Aber trotzdem die Frage: Kann mich nicht irgendwie konfigurieren, dass solche Proxy-Anfragen komplett abgelehnt werden und nicht "nur" auf meine Homepage umgeleitet werden?

Gruß

pennywise

Hallo,

also ich höre gerade auf zu schwitzen, da:

1. keine außer den meinigen Dateien im Webroot liegen

2. Ich zur "GET http://www.baidu.com/ HTTP/1.1" 200 Anfragen folgendes im Netz gefunden habe:

In this case, apache served (200 response) *my* home page (3847 bytes)
on all such would-be proxy requests. Not a problem.

Und da "meine Homepage" auch genau 520 byte groß ist, klingt das für mich auch logisch. Zumahl ich keine anderen GET anfragen bekomme, die mit 200 beantwortet werden (außer natürlich der gewollten, sprich joomla und fotoalben :-). Nur die von baidu.com

Da ich sonst auch überhaupt keine anderen Anzeichen eines Hacks sehe: Was stimmt den nun?

Ich hatte versucht Port 80 auf meinen internen https Port umzuleiten, aber da hat der Browser immer was gemeldet von: Bad Request, versuch von non-ssl auf ssl-port nicht möglich bla bla

HILFE, WAS STIMMT denn jetzt?

OK, war zu faul um aufzustehen und mir die statusleuchte anzusehen. Mein NAS steht hinter dem Fernseher, konnte das von der Couch aus nicht sehen....

Aber das muss doch trotzdem einen Grund haben?

Komisch komisch.... aber heute werde ich wieder in meinem richtigen Bett schlafen... ist doch wesentlich angenehmer...

Aber es gilt weiterhin: Hat jemand eine Idee, woran das Ganze liegen könnte?

Hallo Leute,

ich habe heute Nacht auf der Couch geschlafen. NEIN, nicht weil ich Stress mit meiner Frau hatte Die lag neben mir. Aber soll auch nicht das Thema sein

Ich habe also im gleichen Zimmer wie mein TS-419P geschlafen.. Heute Nacht bin ich zweimal vom anlaufen der FEstplatten wach geworden. Und hab mich natürlich sofort gefragt, warum laufen die mitten in der nacht an? Ich hatte zwar auf die Uhr gesehen.. war aber ziemlich verpeilt, deshalb bin ich mit nicht mehr ganz sicher. Einmal war es glaube ich um halb 1 und einmal um halb 3 Uhr

Also habe ich mich auf die Suche gemacht:

1. Vermutung: Zugriff von draußen auf meinen Webserver: Negativ, laut apache-log kein Zugriff (sicher immer das log um 4:29 Uhr, da es ja um 4:30 gelöscht wird, habe also auch Zugriff auf den Vortag

2. Systemlog: Letzter Logeintrag vom 19.07.10

3. Aufnahme meiner Dreambox aufs NAS: Negativ, es gab keinen Timer für heute Nacht

Jetzt weiß ich auch nicht mehr..

Hat noch jemand ne Idee? Die Platten laufen doch nicht nur als Lust und Laune einfach an. Meine größte Sorge ist, dass ich evtl. gehackt wurde und jemand Zugriff von draußen hat.. bin was das angeht ein wenig paranoid

Danke im Voraus !

Gruß

pennywise

Hallo Leute,
betreibe kleinere Internetseiten (Joomla, Fotoalben) und habe diese seit meinem Erwerb der TS-419P von strato zu mir ins Wohnzimmer verlagert.

Eigentlich hatte ich alles über Port 443 mit SSL laufen und Port 80 gar nicht geöffnet. So sahen meine Logs auch sehr sauber aus. Nun habe ich für ein befreundetes Paar Fotos von deren Hochzeit ins Netz gestellt. Die haben den Link auf ihre Danksagungskarten geschrieben. Nur leider haben sie einen entscheidenden Fehler gemacht: sie habe das "s" bei https vergessen. Also hatte ich zwei Möglichkeiten:

1. Dem Paar mitteilen, dass der Link fehlerhaft ist und sie 150 Leute benachrichtigen müssen

2. Port 80 zu öffnen und auf SSL zu verzichten.

Ich dachte mir der einfachheit halber öffne ich Port 80, wäre ja schließlich nicht die einzige Webseite, die über diesen Port erreichbar ist

So, nun zur Frage: Seit der Öffnung des Ports mehren sich komische Anfragen in meinem Apache-Log. Hab natürlich schon ein wenig gegoogelt und bei mittlerweile von meiner Panik wieder etwas runter, nur würde ich das gerne von den Experten hier nochmal begutachten lassen, da ich in diesem Gebiet sicher nicht als Experte zu bezeichnen bin

Hier mal ein Paar Beispiele:

93.206.171.121 - - [05/Aug/2010:19:58:09 +0200] "\xda\xbd{\xa3\x85P\x01]\t\xc4\x8f\xd2\x03\x1bt\xab\xa7\x02\x8d\xe0\x9d\t\xd3\x19\b7\x16\xd7\x12\xc3\xaa\x85\r\x03\xe3\xf3]\xcf\xba\xa4\x0c" 400 289
202.130.32.19 - - [04/Aug/2010:10:47:37 +0200] "GET //phpmyadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1" 404 293
58.218.204.110 - - [04/Aug/2010:18:01:00 +0200] "GET http://216.245.205.74/judge.php HTTP/1.1" 404 271
221.12.156.181 - - [05/Aug/2010:23:53:55 +0200] "GET http://www.baidu.com/ HTTP/1.1" 200 520

Nun ist ja bei den ersten 3 Beispielen ein 40X Fehlercode vom Apache gemeldet worden, von daher sind da meine Sorgen nicht so groß, aber beim letzten wurde mit dem Code 200 ja Erfolg gemeldet. Muss ich jetzt Panik kriegen?

Für alle Antworten bedanke ich mich schon jetzt vielmals im Voraus !

Gruß

pennywise

Hi, hatte dir auf deinen ersten Eintrag geantwortet: http://forum.qnapclub.de/viewt…ntrusion+detection#p58510

Ich kopiere das Log jede Nacht um 4:29 Uhr um, so kann ich es später noch einsehen

Moin,
wenn dir zumindest die Apache-Logs reichen habe ich HIER http://forum.qnapclub.de/viewt…&hilit=crontab+cat#p57021 selbst ein Lösung gestrickt, weil mich die Logs auch stark interessieren

So, habs selbst hinbekommen. Es lag anscheinend am 'cp' Befehl. Jetzt leite ich den Inhalt der Log-Datei in eine andere Datei mit 'cat' um. Und siehe da: Es funktioniert

#!/bin/sh
cat /mnt/ext/opt/apache/logs/access_log>>/share/Qweb/data/apachelog.txt
exit 0

Ja, Rechte stehen auf 755

Manuelle Ausführung funktioniert ja auch