qsnatch.... es trifft leider nicht nur die anderen...

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Nicht das wir uns falsch verstehen... Ich fahre seit Jahren 2 mal täglich ein Backup auf eine Synology in einem anderen Haus...
Also eine Backup Strategie liegt schon vor. Ja es stimmt, es ist viel Schnick schnack im Haus, da bin ich bei dir.
Ich besorge mir die meisten Daten auch nur über VPN, aber einige Lösungen gingen bisher nicht anders, bzw. ja man war zu faul es umzusetzen. Mail etc. läuft über outgescourcte Anbieter... Daher bin ich ja ehrlich gesagt wirklich überrascht gewesen das es passiert. Aber sicherlich auch selber schuld, da ichvieles nutze was nicht sein muss.

Sicherlich können es viele Geräte im Haus sein, das mag sein. Mich irritiert nur mein Nachbar, selbe Fehlermeldung und nicht so viele Geräte...., halt aber die Synology...

Daher halt die Vermutung... Ich bin gespannt was die Jungs von Synology sagen wenn sie mit meiner Kiste durch sind, die scheinen sich dessen ja anzunehmen...
 
Zuletzt bearbeitet von einem Moderator:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.151
Punkte
288
gibt es irgendeine konkrete Information darüber dass qsnatch auf etwas anderem läuft als qnap NAS?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Hab ich vorhin schon kurz gecheckt und nix gefunden, von daher gehe ich mal nicht davon aus. Ich würde es auch nicht mehr qsnatch nennen und auch ISP/BSI machen es nur anhand von Erkennungsmustern fest. Nur weil mitunter die gleichen CC-Server von und über die gleichen Ports angesprochen werden, muss es kein qsnatch sein (aber vermutlich aus gleicher Schmiede).
 
  • Like
Reaktionen: Ulfhednir

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ich wäre ja froh wenn wir am Ende sagen, MENSCH es ist der Kühlschrank :) Aber da ist immer noch mein Nachbar, der halt nur die Syno hat....
 
Zuletzt bearbeitet von einem Moderator:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Vor falschen Rückschlüssen kann ich nur eindringlich warnen! Das ist halt wie "Ups, der Kühlschrank ist kaputt und in China ist grade ein Sack Reis umgefallen, da ist bestimmt jetzt der Sack Reis Schuld, dass der Kühlschrank nicht mehr geht". Da "muss" das eine nichts mit dem anderen zu tun haben, kann, aber muss nicht. Vielleicht habt ihr beiden auch nur die gleichen Handy-Apps, oder den gleichen Kühlschrankhersteller, oder beide Kinder, die die gleichen Webseiten besuchen, weiss der Geier. Möglichkeiten gibt es halt viele... Eine andere wäre: Smarthome telefoniert nach Hause und DORT auf dem Server liegt die Malware die sich grade via Auto-Update auf die Smarthome-Geschichten lädt. Kann man also drehen und wenden wie man will... der Syno-Support wird halt einen Systemcheck machen und nach Auffälligkeiten suchen, aber vermutlich keinen Paketmitschnitt von ein paar Tagen...
 
  • Like
Reaktionen: Joogibaer

Samhain

Benutzer
Mitglied seit
12. Apr 2020
Beiträge
84
Punkte für Reaktionen
8
Punkte
14
... interessant wird es, wenn der Syno Support nichts findet. Denn dann geht die Suche weiter und dann wird's strange ;)
... ich tippe auf einen Fehlalarm durch das BSI ... das wäre sicherlich nicht das erste Mal ...
... wie wäre die Variante mal das BSI anzusprechen. DIE haben doch was gefunden und sollten sich erklären können
 
  • Like
Reaktionen: peterhoffmann

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.151
Punkte
288
ich finde auch, wenn eine Behörde was findet, soll sie auch inder Lage sein zu sagen was genau und zu der Aussage dann auch stehen.
Mit dem ISP der nicht kann, nicht will, aber irgendetwas übermittelt was nicht nachprüfbar ist, das ist sehr unproduktiv.
 
  • Like
Reaktionen: peterhoffmann

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Fällt mir ja manchmal auch recht schwer (wie ja bekannt sein dürfte), aber... richtig lesen hilft:

"Heute morgen erhielt ich eine Email vom Telefonanbieter, BSi hätte Auffälligkeiten festgestellt, Meldung qsnatch..."

Festgemacht wird sowas logischerweise an bestimmten Verhaltensmustern (z.B. bestimmte CC-Server über bestimmte Ports ansprechen, etc.), mehr dazu gibt es hier direkt vom BSI (allerdings nur allgemeiner Natur und nicht qsnatch-spezifisch).
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Ich zitiere mal von dort:
Die von den Sinkhole-Betreibern gelieferten Daten enthalten üblicherweise zu jedem protokollierten Zugriff einen Zeitstempel, die Quell-IP-Adresse, den aufgerufenen schädlichen Domainnamen und eine Bezeichnung des damit verbundenen Schadprogramms, welches den Domainnamen für die Kontaktaufnahme zu einem Kontrollserver verwendet. Häufig sind auch die IP-Adresse der Sinkhole sowie die Quell- und Ziel-Portnummern der Verbindung in den Daten enthalten.
Ich verstehe, dass man seitens vom BSI keine weiteren Infos hat, da ja nur der Zugriff als Info vorhanden ist. Der Zugriff selber ist meist spezifisch und kann damit einem Schadcode zugeordnet werden.
Hier ist es natürlich merkwürdig, da es qsnatch sein soll, aber der Nutzer kein QNAP-Gerät besitzt. Nur aufgrund der Eigenschaft (NAS) nun auf das Synology-Gerät zu schließen, halte ich für falsch.
Für mich sind daher alle Geräte im Netzwerk gleich stark verdächtig bzw. unverdächtig.
All das macht es natürlich nicht leichter den Störer zu ermitteln.

Genug Ansätze, z.B. das Mitschneiden vom Traffic über die Fritzbox, sind genannt worden. Nun müssen sie nur noch umgesetzt werden. Die Fritzbox bietet da auch genug Spielraum, da man u.a. auch nach Schnittstellen selektieren kann.

Andere (leichtere!) Lösungsansätze habe ich im Moment nicht.
 
  • Like
Reaktionen: blurrrr

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.377
Punkte
234
Hier ist es natürlich merkwürdig, da es qsnatch sein soll, aber der Nutzer kein QNAP-Gerät besitzt. Nur aufgrund der Eigenschaft (NAS) nun auf das Synology-Gerät zu schließen, halte ich für falsch.
Ich kenne die Funktionsweise von qnsatch nicht, aber ich könnte mir vorstellen, dass es für schlechte Menschen leichter ist, diese Bösware für Synology zu modifizieren, als etwas gänzlich neues zu kreieren. Die Verhaltensweisen wären in diesem Fall wohl ähnlich. Um so interessanter ist es aus meiner Sicht, diesem Fall auf den Grund zu gehen.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
... interessant wird es, wenn der Syno Support nichts findet. Denn dann geht die Suche weiter und dann wird's strange ;)
... ich tippe auf einen Fehlalarm durch das BSI ... das wäre sicherlich nicht das erste Mal ...
... wie wäre die Variante mal das BSI anzusprechen. DIE haben doch was gefunden und sollten sich erklären können

Genauso ist es gekommen:


Thank you for contacting Synology support.


I have run some commands to check the NAS and also the security advisor did not report any malware.


It could confirm the NAS system partition is normal.


For the storage partition, I also check the 2 volumes but cannot find any encrypted files.


According to this message, "qsnatch: qsnatch @93.127.233.223", it seems the issue is on the IP "93.127.233.233".


This Synology NAS external IP address is "93.127.226.234", not exactly the same IP.





There is another possibility that the infected device is another device, e.g. Windows PC or QNAP NAS.


The "qsnatch" is actually the ransomware to infect the QNAP NAS.


https://www.qnap.com/zh-tw/security-advisory/nas-201911-01


You could check the other devices and if other devices have been infected, please disconnect them from the NAS to prevent further infection.





Hope this helps.


Take care and have a good day,
Technical Support


Devin Wu
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Naja, verschlüsselte Files wird man wohl auch eher nicht finden, denn so arbeitet der Virus ja offenbar nicht. Und dass die öffentliche IP sich ändern kann, dass ist dem Spezialisten wohl auch nicht bekannt.

Ich finde es nach wie vor sehr mysteriös. Auch bin ich noch nicht überzeugt, dass a) die DS infiziert ist, oder überhaupt ein Gerät in deinem Netz. Aber das lässt sich aus der Ferne noch weitaus schwerer beurteilen als vor Ort.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ich schätze deine Beiträge seit meinem ersten Problem hier und hoffe so sehr, dass du auch hier wieder recht hast....

Allerdings ist es reine Spekulation
 
Zuletzt bearbeitet von einem Moderator:

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Danke für die Blumen, aber ich tappe hier auch vollkommen im Dunklen. Die ganze Kiste ist höchst merkwürdig. Alleine schon, dass ausgerechnet dein Nachbar auch betroffen sein soll. Das wäre schon ein großer Zufall.
Was euch aber offenbar eint ist der Internet-Anbieter bei dem ihr beide Kunde seid.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ja, das ist ja das verrückte...
 
Zuletzt bearbeitet von einem Moderator:

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
623
Punkte
174
Ich werfe mal noch eine Schnappsidee in den Raum ...
Dein ISP will Dich und Deinen Nachbarn evtl. los werden? :rolleyes:
Und das macht er, indem er eine Gefährdung seines Netzes von euren Anschlüssen aus auf's Tablett bringt?
Da würde es schon Sinn machen, keine Unterstützung anzubieten.

Ich hab schon Pferde kotzen sehen, halte es aber nicht für depperten Blödsinn, das der ISP sowas in die Welt setzt. :unsure:
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Braver Zahler und komplett unauffäliig... Ist ein regionaler ANbieter der Monopol hat hinsichtlich Glasfaser hier auf dem Land, schliesse ich mal aus
 
Zuletzt bearbeitet von einem Moderator:

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
623
Punkte
174
War auch nur ne Schnappsidee ...
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Weiß ich doch :)
 
Zuletzt bearbeitet von einem Moderator:

maulsim

Benutzer
Mitglied seit
24. Mai 2016
Beiträge
553
Punkte für Reaktionen
46
Punkte
48
Andere Schnaps Idee wäre DS Lite und es hängen noch mehr Leute auf der IPv4?
 
  • Like
Reaktionen: AndiHeitzer


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat