DSM 6.x und darunter Malware auf wd rma hdd?

[goetz]

Hallo,

@Götz so, mit eth3 hat das scheinbar geklappt es kam ein ">" und nun?

dann ist ein Fehler in der Befehlszeile. Sollte so aussehen
tcpdump -i eth3 -n 'tcp[13] & 2!=0 and tcp port 443 and src 141.212.121.67'
Wenn nur das letzte ' fehlt dann ' und Enter eingeben und Du fliegst wieder raus.

Gruß Götz

 

[hilton_syn]

Hi zusammen,

danke Goetz habe den Tip notiert.

Aber so richtig bin ich nicht weiter gekommen.

Stand der Dinge:
- die RMA Platte ist draussen
- defekte Platte drinnen
- das NAS sendet nachwievor allerlei merkwürdige Pakete die in der Firewall landen alle habe das NAS als Absender
- immer zwei verschiedene Pakete kurz hintereinander
- das eine Paket will zum Router
- das andere zu irgendeiner Adresse draussen mit ständig wechselnden port
- anhalten kann ich es, wenn die Webdienste allesamt anhalte

- der Scan vom Sicherheitsberater hat nichts gefunden
- ein Scan vom Desktop über all shares hat nichts gefunden
- ein Scan von Antivirus Essentials hat nichts gefunden

- habe jetzt gerade die Firewall für die Webstation geöffnet
- werde jetzt einen Webdienst nach dem anderen durchlassen und mal sehen, ob ich den finden kann, der das auslöst

- kann es sein, dass irgendein Malware Kram im Wordpress, Zarafa / Maria DB steckt o.ä.??

Gäbe es irgendeinen Sinn, dass NAS zu reseten? Kann ich nach dem reset überhaupt alle Platten erst einmal secure erasen? Oder ist das witzlos, da falls da irgendein Mist drauf ist, der sich längst wieder im NAS oder sonstwo versteckt hat?

Das eine Paket sieht so aus und dort steht in der letzten Zeiel abgehackt "MS -Server- Active Sync". Deutet das auf Zarafa hin? Kann es einfach ein Bug zwischen Zarafa und 5.1 5004 sein? Es gab ja noch das andere Problem im Rahmen des DSM Upgrades, dass ein Pfad nicht mehr gemountet wird.

Date: 11/14/2014 15:52:27

The packet below

Src: nas:80 Dst: externe.ip:16881 {1781EF+} (TCP)

MAC-Header (14 Bytes)

00 a0 57 1e 93 37 00 11 32 28 9d 47 08 00 | ..W..7.. 2(.G..

IP-Packet (128 Bytes):

45 00 05 69 d4 d3 40 00 40 06 21 cd c0 a8 03 22 | E..i..@. @.!...."
5d b5 1d 6f 00 50 41 f1 bd da 54 75 6d a3 2c c2 | ]..o.PA. ..Tum.,.
50 18 00 f5 6b 2c 00 00 48 54 54 50 2f 31 2e 31 | P...k,.. HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 46 | 200 OK. .Date: F
72 69 2c 20 31 34 20 4e 6f 76 20 32 30 31 34 20 | ri, 14 N ov 2014
31 34 3a 34 38 3a 34 36 20 47 4d 54 0d 0a 53 65 | 14:48:46 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 0d 0a 4d 53 | rver: Ap ache..MS
2d 53 65 72 76 65 72 2d 41 63 74 69 76 65 53 79 | -Server- ActiveSy

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

 

[Frogman]

Wordpress könnte sein, da stehen gerne auch einmal Addins in Verdacht. Nutzt Du auch Drupal? Da gab's vor kurzem auch eine kapitale Lücke.

 

[goetz]

Hallo,
so wie jahlives bereits gesagt hat ist das ein typisches Antwortpaket und keine selbsttätige Anfrage.
Anfrage:

externer Server schickt Paket mit zufälligem Port (51472) als Source an einen Webserver (Port 80 Destination)
Antwort:

Webserver schickt Antwortpaket mit Port 80 als Source an den externen Server mit dem bereits übermittelten zufälligen Port (51472) als Destination.
Wenn Du wissen willst welche Anfrage kam mußt tcpdump zum laufen bekommen.

Gruß Götz

 

[hilton_syn]

Hallo Goetz,

ich danke Dir für die Infos. Für mich zum Verstehen: Wenn es ein typisches Antwortpaket ist, dann heißt es die Quelle ist außen?

Wegen des tcpdumps. Wen ich das korrekt eingegebe in Putty, was für einen Output kann ich dann erwarten? Läuft der dann im putty oder wo finde ich den dann?

 

[goetz]

Hallo,

dann heißt es die Quelle ist außen?

ja da die Antwort nach extern geht.
So wie der tcpdump Befehl jetzt ist rauschen die Pakete im putty einfach durch.

tcpdump -i eth3 -n 'tcp[13] & 2!=0 and tcp port 80 and src 141.212.121.67' -w /volume1/public/tcpdump.txt

sollte das Ergebnis nach public schreiben, dort kann man es dann abholen.
Ist die externe IP immer noch die selbe? putty muß offen bleiben und tcpdump wird mit <Strg><C> beendet.
Du kannst aber erst auch einmal im Router die Weiterleitung von Port 80 und 443 rausnehmen und schauen ob Ruhe im Kasten ist oder ob die DS weiterhin schnattern will.

Gruß Götz

 

[hilton_syn]

Hallo Goetz,

nun läuft's, das Verzeichnis public mußte ich noch anlegen, aber nun sagt Putty "listening". Die IP Adresse ändert sich inzwischen auch ständig. Die von der Uni Michigan haben aufgehört.

Ich habe eben feststellen können, dass bei Aufruf meiner Wordpress Seite Einträge wie wild kamen. Habe es jetzt einfach inklusive Datenbank vom NAS gelöscht.

Für den Moment ist Ruhe im Karton.

Port 80 und 443 habe ich im Router aus der Weiterleitung genommen.

Mal sehen was wird Nervt zwar total, aber ist ja irgendwie auch interessant.

Und DANKE für eure Hilfe!

 

[hilton_syn]

Wenn der Mist im Wordpress steckte werde ich den durch löschen von Wordpress und seiner DB wieder los?

 

[Frogman]

Das ist sehr wahrscheinlich - wie gesagt, da gibt's so einige Plugins, die da auch schon recht deutlich diskutiert wurden.

 

[hilton_syn]

Also aktueller Stand:

Teil 1:
- Wordpress weg > keine Änderung
- Zarafa down > keine Änderung
- Portweiterleitung 80 und 443 zum NAS aus > Intrusion detections hören auf
- ebenso hört es auf, wenn ich auf dem WinPhone den Exchange Mail Client Richtung z-Push vom NAS anhalte

> was soll mir das jetzt sagen?


Teil 2:
- WD hat sich gemeldet, die möchten "unbedingt, unbedingt, unbedingt" die Platte haben, das Thema SMART Attribute 16 und danach plötzlich tonnenweise intrusion detections ist doch nicht so koscher wie sie erst meinten
- die Platte geht jetzt an WD in USA
- Da sich weder der Datenschutzbeauftragte in SH noch das BSI für das Thema haben erwärmen können, wem soll ich sonst die Platte senden, ausser WD? Damit wird man dann aber wohl nie erfahren, was es mit dem 16er Attribut und der möglichen Malware an Bord auf sich hatte... Schade eigentlich. Ich hatte angenommen, dass insbesondere das BSI solche Dinge interessieren würden.

Teil 3:
- auf der Suche nach der Quelle des ganzen Mistes ergab sich neben dem Einbau der WD RMA Platte eine zweite Möglichkeit, die Einrichtung des CloudSync Dienstes
- zeitgleich zur "system booted up" Meldung meldete die Syno "cloud sync started"
- bei mir hat es mit der Alpha CloudSync mit OneDrive auf 5.1-5004 nicht geklappt, es blieb immer auf einer weißen Webseite stehen
- ich habe Syno gefragt, ob sie sich sicher sind, dass nicht irgendwo in dem Prozess eine Lücke ist
- Die Antwort mag ich gar nicht glauben, aber lest selbst

[QOUTE] Syno SUpport 20.11.14 15:14
Hallo Herr ,

wir greifen hier bei CloudSync auf die von den Anbietern vorgegebenen URLs zu. Wenn eine SSL-geschützte Webseite angeboten wird, wird diese natürlich von uns bevorzugt. In diesem Fall hat uns der Anbieter leider keine SSL-geschützte Seite für die Verbindung bereit gestellt, wir stehen hier jedoch seit einiger Zeit in Verhandlungen um die Sicherheit erhöhen zu können.

Mit freundlichen Grüßen,
--

[/QUOTE]

Spinn ich jetzt oder wollen Dir mir allen ernstes erzählen, dass das Setup oder das Syncen zwischen CloudSync und OneDrive über http port 80 erfolgt?!?

Das kann doch nicht ernsthaft richtig sein oder doch? Verstehe ich (hoffentlich) doch etwas falsch?!?

 

[jahlives]

also wenn die "Sache" aufhört sobald du die Portweiterleitungen rausnimmst dürfte schonmal klar sein, dass die Verbindungen von aussen initiiert sind. Das würde sich mit Scans von aussen decken wie sie an der Tagesordnung sind

 

[hilton_syn]

Ok, aber ich war bisher 0-10 intrusions detections pro Tag gewöhnt mit einer unbekannten IP als Source und als Destination.

Wenn ich alles wieder "normal" einstelle, dann bekomme ich nach einem halben Tag alle 5 Minuten eine detection... Kenne ich so bisher nicht. Könnte es denn sein, dass wie von Synology geschrieben irgendwo in dem CloudSync Prozess kein SSL genutzt wird und so jemand / mehrere meine externe DyDNS Adresse erhalten haben und daher die Anzahl der intrusion detections so groß ist?

Das andere ungewohnte ist, dass die detections überwiegend das NAS als Source haben.

Frage nun: kann ich das NAS so lassen und einfach weiter arbeiten oder sollte/muss ich das NAS einmal komplett "neu machen"?

Die Daten sind alle safe und sound auf einer externen Platte das wäre jetzt nicht der Megaaufwand. (vom NAS via Dekstop mit Virenscan auf NTFS Drive).

@jahlives: Was ist Deine Empfehlung?

 

[jahlives]

dass https im Vergleich zu http soviel sicherer sein soll stimmt nur teilweise und setzt voraus, dass die Zertifikate genau geprüft werden können. Port 80 (http) kann man auch nur dann mitlesen wenn man als Man in the Middle zwischen den beiden Endpunkten einer Verbindung sitzt. Auf den ersten Blick hilft hier SSL, aber nur dann wenn man das Zertifikat der Gegenseite verifizieren kann. Denn sonst könnte ein Man in the Middle die SSL Verbindung von dir auf sich selber terminieren und dann von sich eine SSL Verbindung zum Ziel aufbauen. Das würde man nur bemerken wenn man das Zertifikat verifizieren kann. Das klingt aber einfacher als es ist. So hat das Bsp einer CA vor ein paar Jahren gezeigt, dass man sehr wohl auch vertrauenswürdige Zerts für Google ausstellen kann, solange man ein in den Browsern vertrauenswürdiges Zertifikat zum Signieren verwendet. Es gibt mittlerweile mit TLSA und DNSSec Möglichkeiten die Fingerabdrücke der SSL Zertifikate im DNS zu hinterlegen, was dann dem Client ermöglicht festzustellen ob er wirklich mit der richtigen Gegenseite spricht. Nur sind diese beiden Dinge noch nicht sehr verbreitet.
Lange Rede kurzer Sinn: nur weil die Cloud über SSL syncen würde steigert das nicht unbedingt die Sicherheit.
Auch sind Intrusion Detection Systeme nicht immer zuverlässig und können durchaus false positives generieren. Das ist wie bei einem Virenscanner, der auchmal falsch liegen kann. Ich kann dir nur sagen, dass Scans aus dem Internet völlig normal sind heutzutage. Nicht jeder Scan ist die NSA & Co Zudem glaube ich eher, wenn es die NSA wäre, dann würdest du das nicht bemerken.

 

[hilton_syn]

Danke jahlives, Dein Wissen beeindruckt mich mal wieder! Ja NSA denke ich auch, würde sich so nicht bemerkbar machen.

D.h. dann Nerven behalten und abwarten? Geht die Anzahl der detections irgendwann wieder runter oder bleibt das dann jetzt so?

Und bitte nochmal die Frage: kann ich das NAS so lassen oder doch lieber "neu machen"?

 

[jahlives]

ob du das NAS nochmal neuistallieren solltest kannst nur du beantworten. IT-Sicherheit ist ein Stückweit immer auch Paranoia
Ich kann dir nur sagen was ich denke: da kommt mir es schon "verdächtig" vor, dass diese Rejects der Intrusion Protection erst angefangen zu haben scheinen, als du die "neuen" Platten eingebaut hast. Scheinbar sind es aber eingehende Verbindungen und nicht Verbindungen von deinem Netz aus. Das spricht für mich doch eher für Scans und die wären absolut normal sobald man Ports am Router nach innen weiterleitet bzw geöffnet hat.
Man muss sich halt immer fragen, welche Dienste man im Netz wirklich anbieten oder nutzen will. Soviel wie nötig und so wenig wie möglich ist eine gute Maxime ;-)
(Open)-VPN ist eine gute Methode Dienste von ausser erreichbar zu machen, zumindest solange das keine öffentlich erreichbaren Dienste sein sollen. Ich würde die Logs der Intrusion Protection im Auge behalten und verdächtige IPs via Firewall sperren. Automatische Logfileauswertung und Sperrung kann auch etwas bringen. fail2ban ist ein sehr gutes Tool dafür.

 

[hilton_syn]

Ok, mein Level an Paranoia ist so, dass ich es gerne neu machen möchte.

Was ist der beste Weg, um das sauber zu tun?

Restknopf oder Systemsteuerung > aktualisieren > auf werkseinstellungen zurücksetzen > Neuinstallation?

 

[goetz]

Hallo,
Resetknopf installiert nur DSM neu, die Daten auf der Datenpartition bleiben erhalten. Werkseinstellung löscht alles. Du kannst aber auch jede Platte an einen Rechner hängen und alle Partitionen löschen.

Gruß Götz

 

[hilton_syn]

ok, dann ist der Weg klar.

Puh extern wipen. Das wipen im NAS ("secure erase") hat für eine 4 TB Platte alleine 1,5 Tage gedauert... Ich hatte mir eigentlich vorgenommen, dann alle 4 HDDs im NAS zu wipen. Da bleibt dann wohl ein Restrisiko, dass im Zweifelsfall noch was nachbleibt oder?