Sie waren beide zur Nachtzeit. In etwa um 03:00 Uhr rum. Aber beim ersten Mal hab ich das mehr oder weniger abgetan und mir, nachdem ich in den Logs nichts erkennen konnte + nichts an den Daten + AV / MW scan unauffällig waren, nichts weiter bei gedacht. Ist auch schon eine Weile (3-4 Monate) her.
Hab hier nochmal meine Crontab eingefügt, auch darin ist augenscheinlich nichts, was sich nicht erlären ließe oder qnap-eigen ist.
# m h dom m dow cmd
0 3 * * 0 /etc/init.d/idmap.sh dump
0 3 * * * /sbin/clean_reset_pwd
0-59/15 * * * * /etc/init.d/nss2_dusg.sh
30 7 * * * /sbin/clean_upload_file
0-59/10 * * * * /etc/init.d/storage_usage.sh
30 3 * * * /sbin/notice_log_tool -v -R
0-59/20 3 * * * /sbin/adjust_time
*/10 * * * * /sbin/config_cache_util 0
0 2 * * * /sbin/qfstrim
30 3 * * * /sbin/storage_util --ironwolf_disk_health_test dev_id=00000001
30 3 * * * /sbin/storage_util --ironwolf_disk_health_test dev_id=00000002
30 3 * * * /sbin/storage_util --ironwolf_disk_health_test dev_id=00000003
52 9,21 * * * /sbin/notify_update --nc 1>/dev/null 2>&1
0 1 * * * /etc/init.d/flush_memory.sh >/dev/null 2>&1
0 4,16 * * * /sbin/hwclock -s
10 5 * * * /share/CACHEDEV1_DATA/.qpkg/HybridBackup/rr2/scripts/insight/insight.sh -runall >/dev/null 2>&1
0 4 * * * /sbin/auto_update 1>>/dev/null 2>>/dev/null
10 15 * * * /usr/bin/power_clean -c 2>/dev/null
*/10 * * * * bash /usr/local/sbin/sa_notice_checker.sh;#_SA_SecurityCounselor_SA_cloud_schedule_task_SA_
00 03 * * * sh /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/MalwareRemover.sh scan;#_QSC_:MalwareRemover:malware_remover_schedule:None:d::
0 3 * * * /etc/init.d/qnetlog_backup.sh
30 * * * * /etc/init.d/qnetlog_check.sh
00 02 * * * sh /share/CACHEDEV1_DATA/.qpkg/MalwareRemover/Upgrade.sh;#_QSC_:MalwareRemover:malware_remover_upgrade:None:d::
0 23 */1 * * /sbin/qpkg_cli -U 1>/dev/null 2>/dev/null
* * * * * /var/cache/netmgr/lock_timer.sh
* 4 * * * /usr/sbin/logrotate /etc/config/mariadb_mc.logr
50 7 * * * /sbin/qpkg_cli --check_license 0 > /dev/null 2>/dev/null
0 0 * * * /usr/local/sbin/qulog-archive local_event retention 0 >/dev/null 2>&1
0 1 * * * /usr/local/sbin/qulog-archive remote_event retention 0 >/dev/null 2>&1
0 2 * * * /usr/local/sbin/qulog-archive local_access retention 0 >/dev/null 2>&1
0 3 * * * /usr/local/sbin/qulog-archive remote_access retention 0 >/dev/null 2>&1
0 4 * * * (source /etc/init.d/qulog.sh dummy; check_mariadb) >/dev/null 2>&1
0 4 * * * /etc/init.d/wsd.sh restart
* 4 * * * /usr/sbin/logrotate /etc/config/mc_logr.conf
0 3 * * * /sbin/vs_refresh
4 3 * * 3 /etc/init.d/backup_conf.sh
0 2 * * 0 /usr/local/medialibrary/bin/mymediadbcmd checkRepairDB >/dev/null 2>&1
0 1 * * 1 /etc/init.d/antivirus.sh scan 1
0 0 * * * /etc/init.d/antivirus.sh archive_log
44 0 */1 * * /etc/init.d/antivirus.sh update_db
0 12 * * * /mnt/ext/opt/LicenseCenter/bin/qlicense_tool local_check
0 0 * * * /usr/local/sbin/qsh nc.archive >/dev/null 2>&1
0 1 * * * (source /etc/init.d/nc.sh dummy; check_mariadb) >/dev/null 2>&1
40 11 * * * /mnt/ext/opt/QcloudSSLCertificate/bin/ssl_agent_cli
35 7 * * * /sbin/qsyncsrv_util -c > /dev/null 2>/dev/null
0 0 * * * /sbin/qsyncsrv_tool --fix > /dev/null 2>/dev/null
0 6 * * 5 /usr/local/bin/python /share/CACHEDEV1_DATA/.qpkg/SecurityCounselor/bin/security_advisor --check_all;#_SA_SecurityCounselor_SA_security_counselor_schedule_task_SA_
0 8 * * 1,0,3,2,5,4,6 bash /usr/local/sbin/sc_scan_interval_checker.sh;#_SA_SecurityCounselor_SA_scan_interval_checking_schedule_task_SA_
* * * * * /share/CACHEDEV1_DATA/.qpkg/qufirewall/QuFirewall.sh update_event update
* * * * * /share/CACHEDEV1_DATA/.qpkg/qufirewall/QuFirewall.sh crontab_function
Alles anzeigen
Die App-Updates habe ich extra so eingestellt weil ich sonst zu häufig mit veralteten und daher anfälligen Versionen arbeiten würde.
Leider machen ja alle NAS hersteller nicht immer durch positive Schlagzeilen auf sich aufmerksam und meistens liegt es dann an älteren Versionen von XYZ-Station.
Das ist auch der Grund weshalb es bei mir keine UPnP Freigaben mehr zum NAS gibt, seitdem ich die ID aus der Konfiguration genommen habe. Insbesondere im Zusammenhang mit dem letzten Hack habe ich die Router-seitige UPnP konfiguration nochmals überprüft und jetzt nochmals verifiziert. Der UPnP Erkennungsdiest im NAS war bis grade noch eingeschaltet, an diesen habe ich nicht gedacht, aber jetzt ebenfalls deaktiviert.
Ich habe über das Helpdesk Programm bei QNAP eine Meldung eröffnet.
Folgende Kernel-Log-Einträge machen mich etwas skeptisch:
2022-03-06 03:24:17 +01:00 <6> [1599422.570170] fbdisk: module unloaded.
2022-03-06 03:25:16 +01:00 <6> [1599480.788218] device eth0 left promiscuous mode
2022-03-06 03:25:16 +01:00 <6> [1599480.792847] qvs0: port 1(eth0) entered disabled state
2022-03-06 03:25:17 +01:00 <6> [1599482.096428] interfaces: qvs0 flags = 1002, old flags = 1003
2022-03-06 03:25:17 +01:00 <6> [1599482.242621] interfaces: bond0 flags = 1403, old flags = 1402
2022-03-06 03:25:17 +01:00 <6> [1599482.248506] 8021q: adding VLAN 0 to HW filter on device bond0
2022-03-06 03:25:17 +01:00 <6> [1599482.328787] interfaces: bond1 flags = 1403, old flags = 1402
2022-03-06 03:25:17 +01:00 <6> [1599482.334705] 8021q: adding VLAN 0 to HW filter on device bond1
Nicht, dass ich nachher hier doch noch irgendwelche Schadsoftware drauf laufen habe.
Ich könnte mir aber auch vorstellen, dass das ggf. mit der Firewall o.ä. zusammenhängt.
Einen schleichenden Hardwaredefekt mag ich ebenfalls nicht ausschließen. Ich habe das NAS seit 09/2017 im Betrieb.