Mysteriöse Dateien gefunden — woher kommen die?

[gczychi]

Hallo zusammen,

heute habe ich ein interessantes Phänomen entdeckt. Aus dem Nichts tauchen eigenartige Dateien auf, in der obersten Ebene eines Shares, mit folgenden Eigenschaften:

Alle Dateien stammen aus einem Directory (=Share): /volume1/nnnn/. Alle haben Dateinamen mit genau 8 Zeichen, wahrscheinlich eine UUID. Einige Dateien sind exakt 3.276.800 Bytes groß. Einige Dateien sind ungefähr 1MB groß. Die restlichen Dateien sind völlig leer, 0 Bytes. Alle Dateien haben keine Endung. Jede Datei in der etwas steht beginnt mit "P!" (siehe unten).

Was in aller Welt kann das sein?

Besten Dank für jeden Hinweis.

/volume1/nnnn/IT Mysterious Files$ ls
total 21252
drwxrwxrwx+ 1 nnnadmin users     236 Feb  6 11:54 .
drwxrwxrwx+ 1 root     root     2184 Feb  6 12:17 ..
-rwxrwxrwx+ 1 nnnadmin users 3276800 Jan 28 09:32 0B745000
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 30 10:06 3BC29000
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 31 07:53 4BCF1000
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 29 08:19 52730000
-rwxrwxrwx+ 1 nnnadmin users 3276800 Jan 28 08:35 75F12000
-rwxrwxrwx+ 1 admin    users 1046802 Jan 29  2024 8E2D1100
-rwxrwxrwx+ 1 admin    users 1048958 Feb  2  2024 99A21100
-rwxrwxrwx+ 1 nnnadmin users 3276800 Feb  5 14:37 A0B66100
-rwxrwxrwx+ 1 nnnadmin users 3276800 Jan 28 12:01 A6B7C000
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 30 10:03 BCDF8000
-rwxrwxrwx+ 1 nnnadmin users 3276800 Jan 28 08:04 E4270000
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 29 10:49 E6C16000
-rwxrwxrwx+ 1 nnnadmin users 3276800 Jan 30 15:29 E8B4A000
drwxrwxrwx+ 1 root     users      84 Feb  6 12:06 @eaDir
-rwxrwxrwx+ 1 nnnadmin users       0 Jan 23 13:42 EBD93000

The following files in the top level directory of the nnnn share:
0B745000, 3BC29000, 4BCF1000, 52730000, 75F12000, 8E2D1100, 99A21100, A0B66100, A6B7C000, BCDF8000, E4270000, E6C16000, E8B4A000, EBD93000


Exactly 3.276.800 Bytes:
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯
head /volume1/nnnn/0B745000 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`

head /volume1/nnnn/75F12000 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`

head /volume1/nnnn/A0B66100 
P!s?????       [Content_Types].xml ?(?̗?N?0E?H?C?-j??5e?c

head /volume1/nnnn/A6B7C000 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`

head /volume1/nnnn/E8B4A000 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`

head /volume1/nnnn/E4270000 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`


Size ≈ 1MB:
¯¯¯¯¯¯¯¯¯¯¯
head /volume1/nnnn/8E2D1100 
P!??T+?o??K5@ml?k?????=???Hbo?l?y??K????W:???Қ?ei?%`?U????yt׹`

head /volume1/nnnn/IT\ Mysterious\ Files/99A21100 
P!s?????       [Content_Types].xml ?(?̗?N?0E?H?C?-j??5e?c

All other mysterious files: empty

 

[ctrlaltdelete]

Wer hat den /nnnn angelegt und wer ist Besitzer?

 

[gczychi]

Ich, der Admin. Freigegeben für 3 Benutzer.

 

[ctrlaltdelete]

Nutzt du eine Verschlüsselung?

 

[gczychi]

Nein

 

[ctrlaltdelete]

Einer der anderen User?

 

[gczychi]

Nein

 

[Ronny1978]

Ist bei dir die 2FA aktiv? Ist der Nutzer in der WebUI zu sehen? Irgendwelche Sicherheitsmeldungen in der DS?

 

[gczychi]

Nein, kein 2FA, Keine Sicherheitsmeldungen. Nutzer benutzen keine WebUI.

 

[gczychi]

Habe gerade im Papierkorb noch eine große Menge solcher Dateien gefunden. Irgend ein User muss die gelsöcht haben. Die älteste dieser Dateien ist vor ca. 1 jahr erstellt worden.

 

[Ronny1978]

Nutzer benutzen keine WebUI

Nein, ich meine, siehst DU den User in der WebUI? Gibt/gab es den Nutzer mal?

Ich, der Admin

Such mal, ob du weitere Einträge findest. Welche Freigabe hast du eingerichtet? Welche Ports sind von außen offen? Ich möchte keine Panik verbreiten, aber es ein bisschen wie "Einbruch" aus.

 

[gczychi]

Einbruch von außen oder Malware habe ich schon gecheckt, das war das Erste was auch mir in den Sinn gekommen ist. Es gibt keinerlei Auffälligkeiten im Netzwerk. Firewall läuft optimal und kein Port ist offen, der nicht benötigt würde. Das können wir ausschließen.
Außerdem scheint es diese mysteriösen Dateien schon seit mind. einem Jahr zu geben. Irgend etwas, irgend ein komisches Programm scheint diese Dateien anzulegen. Eventuell irgendwelche temporäre Dateien. Ich wüsste nur zu gerne, wer so ein Mist macht und anschließend nicht aufräumt. MS Office macht so was ähnliches, aber meistens räumen die nachher wieder auf.

 

[patrickn]

Ich würde mal das Protokoll in den Dateidienste-Einstellungen unter SMB aktivieren, falls per SMB zugegriffen wird.

 

[Ronny1978]

Welche Apps laufen bei dir auf der DS? Aber die legen eigentlich nicht einfach einen Nutzer an, den du dann nicht siehst.

Firewall läuft optimal und kein Port ist offen, der nicht benötigt würde. Das können wir ausschließen.

War das vor einem Jahr auch schon so?

kein Port ist offen, der nicht benötigt würde.

Was heißt das? Sind welche offen?

 

[gczychi]

SMB ist zwar freigeschaltet, aber wird nicht benutzt (zumindest für diesen Share). Auf diesen Share wird ausschließlich per AFP zugegriffen.

 

[patrickn]

Dann da aktivieren, da kann man es auch aktivieren, wie ich gerade sehe.

 

[dil88]

Wenn die Sache nur vor einem Jahr passiert ist und dann nicht mehr, könntest Du die Dateien in ein tmp-Verzeichnis verschieben und schauen, ob jemand schreit. Ansonsten Protokollierung probieren, aber Erinnerung setzen, damit Du die irgendwann wieder ausschaltest. Die kann ordentlich Performance kosten.

 

[NSFH]

Das sieht gar nicht nach einem Hackerangriff aus.
Eher nach einem Programm welches ständig Logdaten speichert.
Schon mal so eine Datei mit einem editor geöffnet?

 

[gczychi]

Auf der RS ist nur ssh offen. Das netzwerk an sich lässt ausschließlich VPN zu. Die Firewalleinstellungen sind älter als ein Jahr.

 

[Ronny1978]

Eher nach einem Programm welches ständig Logdaten speichert.

Mit einem Benutzer der nicht angelegt ist? Ehrlich? Dann hätte ich wieder was gelernt.