qsnatch.... es trifft leider nicht nur die anderen...

[Joogibaer]

Auch wenn ich sie vom Strom nehme? Habe sie ja durch den Wechsel an die FB einmal vom Strom genommen.

Wokann ich dasin derBox finden?

 

[geimist]

Der einfachste Weg für dich ist wahrscheinlich das Protokollcenter.
Dort findest du z.B. die Neuverbindungen des DDNS-Dienstes (sofern von dir genutzt).

 

[Joogibaer]

Info

System

2020-07-27 21:20:07

SYSTEM

[Synology Drive Server] service was started.

Info

System

2020-07-27 21:19:54

SYSTEM

IP address [169.254.130.84] and subnet mask [255.255.0.0] were assigned to the DHCP client on [ovs_eth1].

Info

System

2020-07-27 21:19:49

SYSTEM

[USB Copy] service was started.

Info

System

2020-07-27 21:19:08

SYSTEM

System started to boot up.

Info

System

2020-07-27 21:09:24

SYSTEM

[Synology Drive Server] service was stopped.

Info

System

2020-07-27 21:09:14

SYSTEM

[USB Copy] service was stopped.

Info

System

2020-07-27 21:08:30

SYSTEM

[LAN 1] link down.

Info

System

2020-07-27 21:08:25

SYSTEM

Server started counting down to shutdown.

Info

System

2020-07-27 11:43:12

SYSTEM

[LAN 1] link up.

Info

System

2020-07-27 11:43:09

SYSTEM

[LAN 1] link down.

Info

System

2020-07-27 11:21:54

SYSTEM

[LAN 1] link up.

Info

System

2020-07-27 11:21:52

SYSTEM

[LAN 1] link down.

Info

System

2020-07-27 10:29:47

SYSTEM

[LAN 1] link up.

Info

System

2020-07-27 10:29:45

SYSTEM

[LAN 1] link down.

Info

System

2020-07-27 10:29:29

SYSTEM

[LAN 1] link up.

Info

System

2020-07-27 10:29:27

SYSTEM

[LAN 1] link down.

 

[Joogibaer]

Leider steht zu dem Datum nichts zu den IP Daten bei mir. Aber was ist dieses USB Copy und LAN link Down und up? Das kommt immer wieder???

 

[peterhoffmann]

LAN link Down und up

https://www.synology-forum.de/threads/lan-1-link-up.99250/

 

[Speicherriese]

Wurde jetzt eigentlich schon mal ein kompletter Virusscann auf diesem NAS durchgeführt?
Alle anderen Geräte im Haushalt komplett mit aktuellen Virenscannern durchforstet?

 

[tproko]

Wird bei Kühlschrank und Co. nicht überall ganz einfach

 

[Synchrotron]

Es lebe das IoT - manchmal mehr, als uns lieb ist ...

 

[Joogibaer]

Wurde jetzt eigentlich schon mal ein kompletter Virusscann auf diesem NAS durchgeführt?
Alle anderen Geräte im Haushalt komplett mit aktuellen Virenscannern durchforstet?

Bei denen die online waren an dem Tag und es möglich ist, ja....
"Leider" Ohne Ergebnis

 

[Ulfhednir]

Ich möchte übrigens noch einmal das Pi-hole als Ansatz zur Erkennung verdächtiger Aktivitäten ins Rennen schmeißen. Die Analyse über .eth-Datei erfordert einiges an Maß und Verständnis an Netzwerktechnik und deren Protokollen. Mit dem pi-hole hat man nicht nur einen super Werbeblocker, sondern auch ein gutes Analyse-Tool, um herauszufinden, welche Domains angesprochen werden. Das natürlich nur unter der Prämisse, dass die mögliche malware die Command-Server über eine Domain und nicht über eine IP ansprechen.

 

[Joogibaer]

Ich habe mir das mal angeschaut... Wenn ich das richtig verstehe ist das ein tool, was den gesamten Netzwerkverkehr aufzeichnet, also aller Geräte? Auch wenn es nur auf einem Installiert ist????

 

[Ulfhednir]

Ich habe mir das mal angeschaut... Wenn ich das richtig verstehe ist das ein tool, was den gesamten Netzwerkverkehr aufzeichnet, also aller Geräte? Auch wenn es nur auf einem Installiert ist????

Das Pi-hole ersetzt den DNS-Server. Der DNS wiederum löst eine Domain in seine IP auf. Beispiel anhand deiner Fritzbox:
Die Fritzbox fungiert i.d.R. als dein DNS. Gibst du fritz.box in deinen Browser ein, so leitet er die Domain auf 192.168.178.1

Das macht man sich hier zu nutze, um über bekannte Werbe-Domains zu blockieren.
Anders herum, kannst du halt auch prüfen, welche Domains von deinem jeweiligen Client angesprochen wurden.

 

[blurrrr]

Kurzum: Alles was mit "FQDN" (Name) angesprochen wird (extern) geht über den DNS (Aufgabe: Name -> IP), somit werden dort nur Anfragen zur Namensauflösung aufgezeichnet, bzw. eben "nur" die DNS-Anfragen. Alle anderen Pakete (nach extern) gehen "direkt" zum Gateway (Router bzw. Fritzbox). Demnach "muss" man sowieso alle Pakete auf der Fritzbox mitschneiden, oder eben eine vernünftige Firewall haben, wo man schlichtweg die Protokollierung sämtlicher Pakete für bestimmte Regeln einschaltet. In diesem Fall - was das BSI Dir mitgeteilt hat (und woran sie es festgemacht haben) - gäbe es da nun folgende Möglichkeit:

"von der 93.127.233.223 Port 53226 einen Zugriff auf hXXp://j05fr.cf/qnap_firmware.xml?t=1595560100 gegeben hat." das ist das was Du als Info bekommen hast. Deine IP interessiert bei der Suche aber herzlichst wenig, der Highport ebenso (wird eh meist random genutzt, "kann" man natürlich auch noch drauf filtern (Port 53226, ausgehend), ist aber weniger sinnig finde ich). Sinnvoller wäre es - und das würde z.B. mit dem pi-Hole funktionieren: Filter auf "*.cf" (Zentralafrikanischen Republik). Könntest Du mit ziemlicher Sicherheit direkt alles in die Tonne kloppen, weil Du da bestimmt nix mit am Hut hast (es sei denn, dass der Virenscanner z.B. mal einen Mirror dort anspricht). Noch besser wäre allerdings ein URL-Filter, der auf den Part "qnap_firmware.xml" reagiert, denn der o.g. FQDN ist mit Sicherheit auch ziemlich willkürlich gewählt, also dürfte ein Block des vollen FQDN nichts bringen und ".cf" wird auch nicht die einzige Domainendung sein, die dabei genutzt wird. Somit wäre das einzige wirklich statische (muss aber auch nicht sein), der Part mit "qnap_firmware.xml". Habe aber keine Ahnung, ob das mit dem pi-Hole funktioniert, ich nutze sowas nicht

 

[Speicherriese]

So wie ich das bis jetzt über die zig Beiträge mitverfolge und eigentlich viel Spekulation ( logisch, man sitzt ja nicht vor der Kiste) und eine menge Zeit durch diverses Testen darin steckt, dies aber anscheinend zu keinem Erfolg führt, sehe ich mittlerweile die einzige Möglichkeit das NAS komplett platt zu machen und über ein älteres Backup die Daten wieder zurückzuschaufeln. Denn der Zeitpunkt deiner Provider Sperre rückt näher und mit Testen und anderen Möglichkeiten sehe ich hier leider kein weiterkommen. Denn selbst wenn Du mit diversen Tools wie z.B. Pi Hole ausgemacht hast, das deine Kiste ständig irgendwo rausfunkt, was dann? Den Verursacher wird man dadurch auch nicht los.
Ich habe mir früher bei den Windows Kisten auch immer Tage/Wochenlang mit allen erdenklichen Tools einen Wolf gesucht, wenn wieder was nicht mehr funktionierte. Das habe ich mir abgewöhnt, platt machen, Backup zurück und in kurzer Zeit läuft wieder alles. Dieses Wochenlange gesuche nach irgendwelchen Fehlern bringt einen nicht weiter und kostet nur Lebenszeit und viel Nerven.

Aber dafür hat man ja ein tägliches Backup

 

[Puppetmaster]

Dass die DS wirklich die Ursache ist, scheint aber noch nicht eindeutig belegt zu sein.

 

[peterhoffmann]

noch nicht eindeutig

... ich würde eher sagen "überhaupt nicht belegt". Bisher sehe ich nur Fakten und Indizien, die dagegen sprechen:

• Schadcode nicht für Synology, sondern für Qnap
• kein Fall bei einem Synology-Gerät bekannt
• Synology Support hat das Gerät gecheckt und nichts gefunden
• der Haushalt vom Nutzer ist voll mit anderen Geräten

Wir drehen uns hier im Kreis, da uns die entscheidenden Infos fehlen. Genug Hinweise hat der Nutzer, er muss sie nur umsetzen. Bis zum 10.08. hat er ja noch Zeit.

 

[geimist]

Problem ist ja auch, ich habe bis zum 10.08. Zeit das Problem zu behehen, sonst sperrt mich mein Anbieter...

Woher weiß denn der Anbieter, ob das Problem behoben ist? Auf welcher Grundlage wird am 10.8. entschieden?
Überwacht er den Traffic dahingehend?
Oder wartet er auf eine erneute Meldung des BSI?

Kann man vor dort ein Feedback bekommen, ob das Problem noch besteht?

 

[Speicherriese]

Interessant wäre auch, ob durch einen Provider Wechsel alles wieder in Ordnung wäre.

 

[peterhoffmann]

Vielleicht sollte man das Problem pragmatischer angehen und erst mal einer Sperre am 10.08. durch folgendes Schreiben vorbeugen:

Sehr geehrte Damen und Herren,

vielen Dank für Ihr Schreiben vom xx.07.2020.

Ich bin ihrem Hinweis:
> qsnatch: qsnatch @93.127.233.223
nachgegangen und nehme dazu folgendermaßen Stellung:

Die Malware "qsnatch" betrifft ausschließlich NAS-Geräte der Firma QNAP. Ein solches Gerät habe und hatte ich nicht.
Als NAS nutze ich ein Gerät der Firma Synology. Der Support von Synology hat mein Gerät über eine Fernwartung getestet und durchsucht. Das Ergebnis war negativ, sprich keine Auffälligkeiten.

Im Moment schließe ich ein Problem innerhalb meines privaten Netzwerkes aus. Falls weitere Auffälligkeiten ihrerseits bemerkt werden, würde ich mich über genauere Informationen freuen.

Vielen Dank für ihre Bemühungen.

Mit freundlichen Grüßen

So hat man klar signalisiert, dass man auf Einwände reagiert, sowie einen guten Willen gezeigt.
Da kann ein ISP kaum den Hahn sang- und klanglos abdrehen.

 

[Syno-OS]

Ich hatte so ein Problem auch mal, da sollte ein Windows Trojaner aktiv sein, bei einem Mac und DS213j, sehr unwahrscheinlich.
Die Meldung wurde durch meinen Test mit dem Mail Server ausgelöst, also musste ich da mal durch klingeln und meinen Internet Account wieder freischalten lassen...'False-Positive' Meldung war es, was ich auch hier vermute...

Ich finde IDS System mal nicht schlecht, aber den Grund heraus zu finden, wodurch der Alarm ausgelöst wurde, ist bei weitem nicht so einfach zu finden, außer ihr habt wie ich damals gerade herum gespielt...
Einfach mal beim Provider anrufen und zum Techniker durchstellen lassen, damit der euch erklärt, welche Ports / Dienste ihr prüfen sollt.

KISS (Keep It Stupid Simply, NAS - Kabel - Router, mehr nicht und NAS durch alle anderen Geräte ersetzen) hilft jetzt nur noch, da Pakete sniffen einfach unmengen an Daten liefert und wenn ihr es noch nie gemacht kommt ihr auch nicht weit, da ihr nicht mal wisst wonach ihr sucht...eine Nadel im Heuhaufen ist einfacher zu finden, da ihr wisst wie eine Nadel aussieht...