DS218+ Ständiger Upload meiner Daten irgendwohin ins Internet...

[d2tom]

Hallo zusammen,

brauche dringend ein wenig Unterstützung, komme einfach nicht mehr weiter. Irgendeine Anwendung lädt andauernd irgendwelche Daten meiner DS218+/DSM 7 irgendwohin. Passiert alle 20-30 Sekunden und bis zu 2,4MBit/s Upload. Dann stoppt es und nach 20-30 Sekunden wieder ein Upload. So ähnlich, als wenn ich einzelne Bilder irgendwo hochlade und davon habe ich auf der Festplatte 2TB Daten.



So sieht das ganze in der Fritzbox aus. Trenne ich das Internet (Lan) zu der Firtzbox, ist kein Datenverkehr mehr da, somit konnte ich es auf die DS eingrenzen. Dachte zuerst an ein anderes Smarthome Gerät. Dann habe ich in der DS festgestellt, dass dort ebenfalls immer wieder einige Daten irgendwo hochgeladen werden.

• Hab angefangen, die Anwendungen im Paketzentrum abzuschalten - der Upload ging weiter.
• Hab die Kameras abgeschaltet und damit die Uploadfunktion zu Surveillance Station - der Upload ging weiter.
• Hab fast alles was man in der DS anklicken kann, abgeschaltet und abgewartet ob es aufhört - der Upload ging weiter.
• Hab in der DS Routerkonfiguration fast alles ausprobiert - der Upload ging weiter.
• Hab unter Info-Center - Dienste, alle Dienste abgeschaltet und die Firewall Regeln geändert - der Upload ging weiter.
• Dann habe ich bei Fritzbox unter Diagnose - Sicherheit alle von mir geöffneten Port geschlossen - der Upload ging weiter.
• Da ist mir aber aufgefallen, das im Heimnetz/Fritzbox-Dienste sehr viele offene Ports sind (seit dem ich die DS habe, kamen immer neue dazu)
• Da ich nicht weiter wusste, habe ich bei der DS (Netzwerk) Datenfluss-Steuerung einfach alle Ports auf 1Kb/s reduziert.

Jetzt war der Upload endlich weg. bzw DS lädt weiter, aber halb nur 1Kb/s.
Dann habe ich stundenlang versucht den Port zu finden und konnte es auf den Portbereich 30000-65000 eingrenzen.
Also ist der Verursacher in diesem Portbereich.



Meine Frage an Euch. Schiebe ich umsonst Panik, das meine Daten irgendwo hochgeladen werden oder ist das irgendein DS Dienst?
Kann man das nicht irgendwie rausbekommen, mit einem Netzwerkscanner oder sieht man irgendwo in Protokollen, wohin was rausgeht?

Sitze seit 7 Stunden davor und weiß nicht mehr weiter

Vor allem sind in der Fritzbox so viele Ports von der DS geöffnet worden, das mich das ganze sehr verunsichert.

Ah ja, wollte gerade das Antivirus runterladen und konnte es nicht, da das Paketzentrum nicht geladen wurde. Nach dem ich die Datenfluss-Steuerung wieder kurz entfernt habe, konnte ich das Paket runterladen und er scannt jetzt. Das wird aber mehrere Stunden dauern. Die Ports sind wieder auf 1kb/s begrenzt, wusste nicht wie man es sonst noch sperren kann.

Edit. Von Aussen bin ich "Safe!" aber das bringt mir ja nichts, wenn ich einen Verursacher auf der DS habe, der irgendwo sendet.



lg tom

 

[lopo_ch]

Schau mal mit Wireshark:
https://www.ip-insider.de/erste-schritte-mit-wireshark-a-631469/Damit solltest Du den Netzwerkverkehr mit Quelle und Ziel live betrachten können.
Firewall auf der DS hast Du an?

 

[Thonav]

Ports auf der Fritze erst mal alle schließen.
Dann hier mal posten, welche da offen sind.
In der Systemsteuerung unter Externer Zugriff/Routerkonfiguration alles deaktivieren.
Die DS soll nicht selbständig Ports der Fritze freigeben!
Berichte….

 

[NEWDS]

verwendest du HyperBackup (Backup in die Cloud bzw. anderes NAS im Internet)?
Wenn ja schau mal im Protokoll in HyperBackup, ob die Versionsrotation läuft. Das führt bei mir auch immer zu diesen Upload peaks.

 

[Fusion]

Geht ja um ausgehenden Verkehr.

Damit ist die Firewall auf der Syno und die Fritzbox eigentlich raus, weil die nur eingehenden Verkehr filtern.

Wireshark oder/und Packet-Capture auf der Fritzbox sind wohl die Ansatzpunkte.
Zusätzlich kann man auch mal die laufenden Prozesse auf der NAS im Resourcen-Monitor oder auf der Konsole beobachten.

 

[peterhoffmann]

Konsole beobachten

@d2tom
SSH einschalten, Putty runterladen und einloggen (IP der DS, User: "admin", Passwort vom "admin").
Mit dem Befehl "top" kannst du die laufenden Prozesse einsehen.
Alternativ kannst du auch "htop" verwenden. Der zeigt dir u.a. auch welcher Prozess wieviel liest und schreibt.

 

[blurrrr]

Guckste einmal nach den laufenden Prozessen und guckste mal mit netstat o.ä. nach, was da wo lauscht. So einen Blödsinn wie uPnP machen wir auch direkt aus. Ansonsten halt - Paketmitschnitt...

 

[d2tom]

Hallo Leute,

bin gerade wieder zu Hause und werde mich gleich ran setzen und Eure Tipps umsetzen.
Klasse Forum, vielen Dank an alle für die Tipps!! Ihr seit Super ?

Edit: Hier schon mal ein paar Infos.

In meinem Email Postfach waren viele solcher Mails heute, nach dem ich den Datefluss (Port 30000-65535) auf 1kb/s begrenzt habe.



Dieser Antivirus Essential ist übrigens gerade nach 12 Stunden bei ca 6%, das kann noch Tage dauern bis er fertig ist.



Ich lasse zusätzlich den Kaspersky im Netzwerk drüber laufen.

 

[d2tom]

So, ich versuche alle Beträge jetzt nach und nach abzuarbeiten.

Firewall auf der DS hast Du an?

Danke für Deine Hilfe. Firewall ist an, aber hier geht es um die ausgehende Pakete. damit spielt das keine Rolle. Von aussen ist die DS Safe. Portscan haben es bestätigt, der Verursacher ist also auf der DS und wenn das kein Synology Dienst ist, dann vielleicht eine Backdoor oder Trojaner....oder DS telefoniert nach Hause zu Synology und sendet Daten?

Danke für den Tipp mit Wireshark. Programm ist drauf und läuft, wobei ich mir unsicher bin, wie ich es einstellen muss. Das Programm ist auf meinem WIN PC drauf, es überwacht anscheinend alle Ein/Ausgehende Pakete aber wie soll ich es einstellen, dass es nur die DS überwacht? DS ist per LAN mit der Fritzbox verbunden und der PC per Wlan mit der Fritzbox. Bräuchte hier etwas mehr Input von Dir.

Einige Daten im Programm sind blau, hellblau und ab und zu ein roter Eintrag. Wir schlimm ist das dann, weil er ROT ist? zb:
33 5.676337 208.95.112.1 (hier meine IP) TCP 56 80 ? 63965 [RST, ACK] Seq=1 Ack=1 Win=9300 Len=0
Das bringt die Info zu der IP: https://ipinfo.io/208.95.112.1 aber es kommen pro Sekunde zig neue Daten rein / hunderte/minute

 

[d2tom]

Ports auf der Fritze erst mal alle schließen.
Dann hier mal posten, welche da offen sind.
In der Systemsteuerung unter Externer Zugriff/Routerkonfiguration alles deaktivieren.
Die DS soll nicht selbständig Ports der Fritze freigeben!
Berichte….

Danke für Deine Hilfe. Die Ports die geöffnet sind, habe ich hier schon mal gepostet: https://www.synology-forum.de/attachments/2021_04_10-009-png.61026/ der Verursacher sitzt also in diesem Portbereich drin und sendet, sobald ich die Begrenzung in der Datenfluss-Steuerung der DS abschalte. Die Ports in der Fritzbox, kann ich nicht schließen, bzw wüsste nicht wo man sie schließt. Es sind Ports, die nicht von mir eingerichtet wurden und es sind auch keine Standartports wie https, Mail, ssh, oder ftp sondern (wie Du siehst) in hohen Bereich, selbst geöffnete.

Diese werden bei der Fritzbox 7490 unter:

Diagnose-Sicherheit: ​

Heimnetz​

FRITZ!Box-Dienste​

Übersicht der geöffneten Ports für den Zugriff aus dem Heimnetz

aufgeführt. In den Netzwerkeinstellungen der Fritzbox gibt es keine Einstellungen dazu. In den Feigaben, sind nur die 6 Port geäffnet, die ich benötige um au meine Kamera und DS von außerhalb zu zugreifen.

Ich will aber unbedingt den Verursacher finden, also selbst wenn wir den Port finden - weiss ich immer noch nicht, was meine Daten, wohin sendet. Bei geschlossenem Port, wird das zwar sofort unterbunden, aber sowas kann mir oder jedem anderem noch mal passieren.

Sobald ich den Datenfluss deaktiviere, wird wieder fleißig von der DS irgendwo hochgeladen.

 

[blurrrr]

Erstell auf der Syno einen Paketmitschnitt, den kannst Du Dir dann mit Wireshark auf Deinem Rechner anschauen (das mitschneiden von Paketen auf Deinem Rechner dürfte herzlichst wenig bringen). Am besten die Ausgabe-Datei direkt als <Dateiname>.pcap benennen (dann kann Wireshark da direkt was mit anfangen) und in einen gemeinsamen Ordner schreiben lassen, wo Du vom Rechner aus direkt dran kommst. Das wäre der "einfache" Weg.

Alternative halt durchschleifen via SSH-Session und direkt am Client abgreifen, das ist aber komplizierter. Ich würde es erstmal mit dem Mitschnitt laufen lassen (da auch kurz mal die Limitierung rausnehmen, damit das Ding für 1 Minute oder so halt wieder voll durchknattern kann, dann gibt es auch genug Pakete zum angucken). Danach Limitierung wieder rein und Dump durchforsten.

 

[d2tom]

verwendest du HyperBackup (Backup in die Cloud bzw. anderes NAS im Internet)?
Wenn ja schau mal im Protokoll in HyperBackup, ob die Versionsrotation läuft. Das führt bei mir auch immer zu diesen Upload peaks.

Danke für Deine Hilfe. Das sind die Sachen die bei mir laufen:



und das alle installierten Dienste/Apps (wobei ich einige deaktiviert habe um zu schauen o es daran liegt):

 

[d2tom]

Geht ja um ausgehenden Verkehr.

Damit ist die Firewall auf der Syno und die Fritzbox eigentlich raus, weil die nur eingehenden Verkehr filtern.

Wireshark oder/und Packet-Capture auf der Fritzbox sind wohl die Ansatzpunkte.
Zusätzlich kann man auch mal die laufenden Prozesse auf der NAS im Resourcen-Monitor oder auf der Konsole beobachten.

Danke für Deine Hilfe.

Du hast es schon richtig erkannt, es geht um ausgehende Pakete und damit ist die Firewall erstmal egal.
Wireshark ist drauf und läuft, aber mir fehlen einfach die Erfahrungen, wo und was man da einstellen soll.

Gier sind alle Dienste die laufen und Prozesse (nur die oberen, aktiven)

 

[d2tom]

@d2tom
SSH einschalten, Putty runterladen und einloggen (IP der DS, User: "admin", Passwort vom "admin").
Mit dem Befehl "top" kannst du die laufenden Prozesse einsehen.
Alternativ kannst du auch "htop" verwenden. Der zeigt dir u.a. auch welcher Prozess wieviel liest und schreibt.

Vielen Dank für Deine Hilfe. Putty runtergeladen und eingeloggt, das kam raus:



Allerdings verstehe ich nur Bahnhof davon. Was ist jetzt davon gefährlich oder der Verursacher? Hab es vor Putty wieder kurz in der Datenfluss-Steuerung deaktiviert, damit er/es wieder sendet.

 

[d2tom]

Guckste einmal nach den laufenden Prozessen und guckste mal mit netstat o.ä. nach, was da wo lauscht. So einen Blödsinn wie uPnP machen wir auch direkt aus. Ansonsten halt - Paketmitschnitt...

Danke für Deine Hilfe. Die laufende Prozesse habe ich oben gepostet, weiß aber nicht viel damit anzufangen.

Die beiden Optionen waren bei mir aktiviert. hab es gerade deaktiviert. Fritzbox wird neugestartet. Nur wenn die Fritzbox jetzt dadurch alle Ports sperrt, werde ich den Verursacher der Sache ja nicht rausfinden. Dann habe ich auf der DS zb. einen Trojaner, der da trotzdem still und leise sitzt und wartet auf die nächste Port-Freigabe bzw derjenige, der es dort irgendwie deponiert hat, kann vielleicht über anderen noch geöffneten Port wieder ein neues aufmachen, oder nicht? Also ich kenne mich nicht als zu gut damit aus, aber das würde ich als Hacker zb machen.



uPnP ist deaktiviert und Fritzbox neugestartet. Hab die Datenfluss-Steuerung deaktiviert und DS sendet weiter.



Nach dem deaktivieren, kam direkt eine Meldung:



Diese Ports sind noch in der Fritzbox geöffnet, obwohl uPnP deaktiviert.

Erstell auf der Syno einen Paketmitschnitt, den kannst Du Dir dann mit Wireshark auf Deinem Rechner anschauen (das mitschneiden von Paketen auf Deinem Rechner dürfte herzlichst wenig bringen). Am besten die Ausgabe-Datei direkt als <Dateiname>.pcap benennen (dann kann Wireshark da direkt was mit anfangen) und in einen gemeinsamen Ordner schreiben lassen, wo Du vom Rechner aus direkt dran kommst. Das wäre der "einfache" Weg.

Alternative halt durchschleifen via SSH-Session und direkt am Client abgreifen, das ist aber komplizierter. Ich würde es erstmal mit dem Mitschnitt laufen lassen (da auch kurz mal die Limitierung rausnehmen, damit das Ding für 1 Minute oder so halt wieder voll durchknattern kann, dann gibt es auch genug Pakete zum angucken). Danach Limitierung wieder rein und Dump durchforsten.

Das verstehe ich leider nicht genau, bzw wüsste nicht, wie man es macht.

DS sendet weiter, sobald ich die Datenfluss-Steuerung deaktiviere (immer nur ein paar Sekunden bis 2.4Mbit/s und dann kurze Pause)

 

[d2tom]

Wie kann ich die Ports in der DS oder Fritzbox sperren?

Da ich gleich 8 Std im Auto sitze und in 1 Woche wieder zurück bin, wäre mir die Datenfluss-Steuerung mit dem 1kb/s trotzdem zu wenig Sicherheit. Muss mich dann in 1 Woche damit noch mal beschäftigen.

 

[AndiHeitzer]

Eine Schnapsidee von mir ...

Dem Screenshots nach zu urteilen ist das ein DSM7 ...
Da schaut es mit den Erfahrungswerten eher knapp aus.

Bei den installierten erkenne ich 'Active Insight', was ein Monitoringtool oder Client sein dürfte und definitiv nach Hause telefoniert.
Genauer kann ich das nicht beschreiben, auf einer virtuellen DSM7-Kiste lässt sich das nicht einrichten und/oder testen.

 

[blurrrr]

https://www.synology.com/de-de/beta/DSM70Beta/ActiveInsight und jo, das könnte gut was sein... die Daten werden da auf der Syno abgegrabbelt und an den Monitoring-Dienst geschickt - je nach Datenmenge und zeitlichen Abständen, kann da schon ein bisschen was zusammenkommen. Haben jetzt aber auch erstmal einen Paketmitschnitt erstellt, da kann sich der TO erstmal mit Wireshark durchwühlen und sich die Statistiken mal anschauen, damit lässt sich dann auf jeden Fall sagen, was genau Sache ist - ist jetzt aber sowieso erstmal eine Woche nicht an der Syno, von daher wird es dann wohl erst nächste Woche weitergehen ??

 

[Eddy68]

Eine Schnapsidee von mir ...

Dem Screenshots nach zu urteilen ist das ein DSM7 ...
Da schaut es mit den Erfahrungswerten eher knapp aus.

Bei den installierten erkenne ich 'Active Insight', was ein Monitoringtool oder Client sein dürfte und definitiv nach Hause telefoniert.
Genauer kann ich das nicht beschreiben, auf einer virtuellen DSM7-Kiste lässt sich das nicht einrichten und/oder testen.

Absolut keine Schnapsidee - das kann wirklich sehr gut sein!
DSM 7 hat d2tom ja bereits im Eingangspost bestätigt.
Ich habe die Beta nicht im Einsatz, aber irgendwo kann man doch sicher sehen, ob Active Insight aktiviert ist..?

 

[d2tom]

Guten morgen zusammen.

Erstmal vielen lieben Dank an @blurrrr für die Hilfe heute Nacht. Ohne dich hätte ich das mit dem putty nicht geschafft. Paketmitschnitt habe ich jetzt, aber kann es leider nicht auswerten, da ich keinen PC vor Ort habe, nur ein tablet und unter Android kenne ich keine Anwendung die das lesen kann.

Ihr hab alle Rechte, das kann auch an dem Dienst Active Insight liegen, ich habe es laufen und laut der Beschreibung wird jede Minute ein paar Daten dort hingeschickt. Kann es erstmal nicht testen, bin nicht mehr zu Hause. Nächste Woche Freitag oder Samstag schaue ich mir das genauer an. Es werden jemand kennt eine android app wie fireshark.

Die synology ports habe ich heute Nacht noch gesperrt.

Wenn Euch noch etwas einfallen sollte, könnt ihr mir gerne weitere Vorschläge unterbreiten.

Vielen Dank an alle bisher

Ah ja, der antivirus ist fertig.