qsnatch.... es trifft leider nicht nur die anderen...

[Ulfhednir]

Traffic mitschneiden? Ich bin leider eher Anwender und wüsste echt nicht was du meinst Pi-Hole?
Habe alle Portweiterleitungen gekappt, bis auf die Playstation...

Die Synology habe ich wie gesagt auch gesperrt vom Internet.....

Die FritzBox bietet eine spezielle Capture-Funktion.
fritz.box/html/capture.html
Dort lässt sich eine .eth-Datei erstellen, welche sich wiederum mit Wireshark auswerten lässt. Das ist dann aber keine "Anwender"-Stufe mehr.
Ports dicht machen, wird nicht reichen -hilft dir eher bei eingehenden Anfragen, nicht jedoch wenn die Geräte "raus telefonieren".
Du kannst aber über Internet -> Filter -> Kindersicherung einzelne Geräte komplett vom Internet abschotten.

Ich würde behaupten, dass Alexa hier erstmal außen vor ist. Wenn Alexa eine bekannte Lücke hätte, gäbe es einen entsprechend "lauten" Aufschrei.

Habe alle Portweiterleitungen gekappt, bis auf die Playstation...

Ähm? Seit wann benötigt die Playstation ein Forwarding?

 

[Joogibaer]

Habe das jetzt mal per Email gemeldet.

Es ist das aktuelle Update drauf, die Signatur habe ich nciht geändert.

Was ich noch ganz spannend fand, heute morgen bin ich ja dann direkt rein, war der Meinung da stand kurz das es ein update gibt und einige Pakete umgedatet werden wüssten.

Kurze Zeit später war die Meldung aber weg...

Kann eine Malware eine aktuelle Version vorgaukeln? Ich habe echt ein ungutes Gefühl

 

[Ulfhednir]

Problem ist ja auch, ich habe bis zum 10.08. Zeit das Problem zu behehen, sonst sperrt mich mein Anbieter... Hielt es echt für Fake, aber das war Ernst gemeint

Die sollen dir mal mitteilen, wie sie darauf kommen. Welche Adressen und ggf. Ports angesprochen werden.
Wenn die bekannt wären, könnte man tatsächlich zielgerichtet über Wireshark filtern.

 

[geimist]

Kann eine Malware eine aktuelle Version vorgaukeln?

Mit Rootzugriff (was ja in so einem Fall wahrscheinlich ist), kann die so ziemlich alles machen.
Das können nicht nur böse Jungs, wie @Kurt-oe1kyw das hier scherzhaft zeigt.
Das würde dann aber wirklich dafür sprechen, dass es auf den DSM zugeschnitten wäre. Das ist wiederum für Synology nicht uninteressant.

Hast du das letzte Update die vergangen Tage selbst durchgeführt?

 

[Joogibaer]

Die FritzBox bietet eine spezielle Capture-Funktion.
fritz.box/html/capture.html
Dort lässt sich eine .eth-Datei erstellen, welche sich wiederum mit Wireshark auswerten lässt. Das ist dann aber keine "Anwender"-Stufe mehr.
Ports dicht machen, wird nicht reichen -hilft dir eher bei eingehenden Anfragen, nicht jedoch wenn die Geräte "raus telefonieren".
Du kannst aber über Internet -> Filter -> Kindersicherung einzelne Geräte komplett vom Internet abschotten.

Ich würde behaupten, dass Alexa hier erstmal außen vor ist. Wenn Alexa eine bekannte Lücke hätte, gäbe es einen entsprechend "lauten" Aufschrei.



Ähm? Seit wann benötigt die Playstation ein Forwarding?

Das habe ich gerade mal aufgemacht und werde das ganze mal schauen was ich da eingestellt bekomme...

Gegen das raus telefonieren habe ich die Diskstation komplett vom netz genommen, also per Kindersicherung getrennt meine ich...

Alexa würde ich auch ausschliessen, aber wer weiß das schon....

Playstation braucht das bei Online Spielen, also bei Spielen gegen andere 1zu1

 

[Joogibaer]

Die sollen dir mal mitteilen, wie sie darauf kommen. Welche Adressen und ggf. Ports angesprochen werden.
Wenn die bekannt wären, könnte man tatsächlich zielgerichtet über Wireshark filtern.

Das können die wohl nicht, die haben auch nur die Daten vom BSI bekommen:


Betreff: Sicherheitswarnung an Ihrem nordischnet-Anschluss

Sehr geehrter Herr,

wir kontaktieren Sie heute bezüglich an Ihrem Anschluss festgestellten Auffälligkeiten in Verbindung mit Schadsoftware.

Uns wurden folgende neue Unregelmäßigkeiten durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermittelt:

1. qsnatch: qsnatch @93.127.233.223

Hinweise zur Meldung:
Wir haben ein großes Interesse daran, dass Sie schnell wieder sicher in unserem Netz unterwegs sind. Leider darf nordischnet Ihnen aus rechtlichen Gründen keine Handlungsempfehlungen geben. Damit Sie die Meldungen dennoch besser interpretieren können, geben wir Ihnen hier einige Tipps aus unserer Erfahrung mit:

• Enthält der erste Teil der Meldung bis zum Doppelpunkt ausschließlich Nummern, so handelt es sich üblicherweise bei der Nummer um einen offenen Port in Ihrem Router (z.B. Fritz!Box)
• Finden Sie einen Gerätenamen in der Meldung, so kann es sich erneut um einen offenen Port oder eine Schadsoftware auf dem Endgerät handeln
• Erhalten Sie eine lange Beschreibung mit Versionsnummern, kann eine Internetsuche mehr Aufschluss liefern

Wir bitten Sie daher, bis zum 10.08.2020 wirksame Maßnahmen zum Schutz Ihres Anschlusses zu ergreifen. Andernfalls behalten wir uns vor, gemäß §45k Abs.1 TKG in Verbindung mit §45o Abs. 3 TKG Ihren vollständigen Anschluss unverzüglich ohne weitere Ankündigung zu sperren.

Im Falle einer solchen Sperre Ihres Anschlusses wird Ihnen das Grundentgelt weiterhin in Rechnung gestellt.

Weitere Informationen erhalten Sie unter https://www.bsi.bund.de/ sowie unter https://reports.cert-bund.de/schadprogramme.

Mit freundlichen Gru?ßen


Ihr nordischnet-Team
Technischer Support

eine Marke der GVG Glasfaser GmbH
Sedanstraße 14b
24116 Kiel

 

[Iarn]

Aber das eine Malware jetzt auf dem NAS aktiv ihr unwesen treibt kann ich mir jetzt eigentlich auch nicht vorstellen, zumal ja Linux drunter ist. Bei einer Windows Kiste würde ich die jetzt sofort aus dem Fenster kippen.

Linux ist nicht gleich Linux. QNAP und Synology haben eigene Kernel, die relativ viele selbstgestrickte Änderungen gegenüber einem meist sehr alten Urspungskernel haben.

 

[Joogibaer]

Gerade mal geschaut, das letzte Update kam am 22.07.2020? Das habe ich nicht bewusst installiert....
Also würde das dafür sprechen, dass es Malware wäre?

 

[Ulfhednir]

Gerade mal geschaut, das letzte Update kam am 22.07.2020? Das habe ich nicht bewusst installiert....
Also würde das dafür sprechen, dass es Malware wäre?

Auto-Update aktiv?

 

[Joogibaer]

Auto-Update aktiv?

War vorher definitiv aus, jetzt ist es an .....

 

[geimist]

Startest du dein NAS regelmäßig neu, oder läuft das durch?
Wenn es durchläuft, sollte es ja auch eine entsprechende Uptime (Systemsteuerung ? Info-Center ? Register "Allgemein" ? "Laufzeit" ) anzeigen (wenn das Update lediglich vorgegaukelt wird)

 

[Iarn]

Traffic mitschneiden? Ich bin leider eher Anwender und wüsste echt nicht was du meinst Pi-Hole?
Habe alle Portweiterleitungen gekappt, bis auf die Playstation...

Kein Problem, das bekommen wir hin.


Du hast eine Fritzbox oder?
Hänge mal die Syno, die Du im Verdacht hast direkt an einen Port der Fritzbox und merke Dir an welchem.

Dann öffne das Fritzbox Tool zum Mitschneiden einfach per http://fritz.box/html/capture.html

Suche im Abschnitt „Netzwerkschnittstellen“ nach der passenden Bezeichnung für eure LAN-Schnittstelle. Sie beginnt mit „eth“, gefolgt von der LAN Nummer – 1 (bspw. für LAN 1 „eth0“, für LAN 2 „eth1“ usw. -

Klick beim gewählten Eintrag eth0/1/2/3 auf Start. Es öffnet sich ein Download-Fenster mit einem Download, der nicht enden wird. Wähl hier auf jeden Fall aus, dass Du die Datei auf dem Rechner speicherst. Lass die Seite unbedingt offen.

Dann schalte die Synology mal an und lass sie laufen

Geht nun zurück zur FritzBox Aufzeichnungsseite und klick auf „Stop“. Der Download der Datei wird damit beendet und Du solltest im Download-Ordner eine Datei mit der Endung „.eth“ finden, die mit der Bezeichnung der Schnittstelle und dem aktuellen Datum versehen ist.

Du kannst die Datei entweder selbst mit Wireshark auswerten oder sie jemanden mit etwas mehr IT Wissen geben (hier posten ist vielleicht keine gute Idee, ich weiß leider nicht wieviel die Synology im Traffic preisgibt)

Selber Auswerten, das Tool Wireshark installieren Datei > Öffnen“ die heruntergeladene Datei aus. Sollte alles korrekt gelaufen sein, siehst Du eine bunte Liste an Einträgen.

Um die zu sortieren, aktiviere unter „Ansicht > Namensauflösung“ zusätzlich die Option „Netzwerkadressen auflösen“.

Dann siehst Du mit welchen Servern die Syno alles Kontakt hatte. Die Liste kannst Du meiner Meinung nach hier gefahrlos posten, da dürften keine persönlichen Daten bei sein.

PS Ulfhednir: Sorry zu spät gesehen, dass Du schon was zu dem Friotz Box Capture geschrieben hattest

 

[Joogibaer]

Startest du dein NAS regelmäßig neu, oder läuft das durch?
Wenn es durchläuft, sollte es ja auch eine entsprechende Uptime (Systemsteuerung ? Info-Center ? Register "Allgemein" ? "Laufzeit" ) anzeigen (wenn das Update lediglich vorgegaukelt wird)

Sie läuft durch....

Update hat anscheinend einen Neustart gemacht, läuft seit:

5 Tag(e) 11 Stunde 21 Minute 40 Sekunde

 

[geimist]

Das würde ja dafür sprechen, dass ein offizielles Update durchgeführt wurde.

 

[Iarn]

Wenn die NAS kompromittiert wurde, kann auch sein, dass die durchgestartet ist, weil die Malware was nachgeladen hat, was einen Neustart erfordert.

 

[Joogibaer]

Wenn die NAS kompromittiert wurde, kann auch sein, dass die durchgestartet ist, weil die Malware was nachgeladen hat, was einen Neustart erfordert.

Ja das ist es ja... Ich bin echt ein wenig ratlos. Ich finde es auch wahnsinn, dass man so eine Info bekommt, aber halt nicht weiss um was es geht...

 

[Joogibaer]

Ich

Kein Problem, das bekommen wir hin.


Du hast eine Fritzbox oder?
Hänge mal die Syno, die Du im Verdacht hast direkt an einen Port der Fritzbox und merke Dir an welchem.

Dann öffne das Fritzbox Tool zum Mitschneiden einfach per http://fritz.box/html/capture.html

Suche im Abschnitt „Netzwerkschnittstellen“ nach der passenden Bezeichnung für eure LAN-Schnittstelle. Sie beginnt mit „eth“, gefolgt von der LAN Nummer – 1 (bspw. für LAN 1 „eth0“, für LAN 2 „eth1“ usw. -

Klick beim gewählten Eintrag eth0/1/2/3 auf Start. Es öffnet sich ein Download-Fenster mit einem Download, der nicht enden wird. Wähl hier auf jeden Fall aus, dass Du die Datei auf dem Rechner speicherst. Lass die Seite unbedingt offen.

Dann schalte die Synology mal an und lass sie laufen

Geht nun zurück zur FritzBox Aufzeichnungsseite und klick auf „Stop“. Der Download der Datei wird damit beendet und Du solltest im Download-Ordner eine Datei mit der Endung „.eth“ finden, die mit der Bezeichnung der Schnittstelle und dem aktuellen Datum versehen ist.

Du kannst die Datei entweder selbst mit Wireshark auswerten oder sie jemanden mit etwas mehr IT Wissen geben (hier posten ist vielleicht keine gute Idee, ich weiß leider nicht wieviel die Synology im Traffic preisgibt)

Selber Auswerten, das Tool Wireshark installieren Datei > Öffnen“ die heruntergeladene Datei aus. Sollte alles korrekt gelaufen sein, siehst Du eine bunte Liste an Einträgen.

Um die zu sortieren, aktiviere unter „Ansicht > Namensauflösung“ zusätzlich die Option „Netzwerkadressen auflösen“.

Dann siehst Du mit welchen Servern die Syno alles Kontakt hatte. Die Liste kannst Du meiner Meinung nach hier gefahrlos posten, da dürften keine persönlichen Daten bei sein.

PS Ulfhednir: Sorry zu spät gesehen, dass Du schon was zu dem Friotz Box Capture geschrieben hattest

Habe das gerad eerstmal gemacht und geschaut im allgemeinen, das ist ja erschreckend und Wahnsinn...
Die Frage ist ja auch, ist es immer noch die selbe IP nach der ich suchen müsste????
Wahnsinn, die Welt ist einfach schlecht geworden.... Werde das gleich mal direkt in Angriff nehmen nur für den NAS

 

[Puppetmaster]

Die Welt ist nicht schlecht geworden, die Menschen werden nur immer bequemer. Alexa, TV, Kühlschrank, Waschmaschine, ... Wer das alles im Netz hat wird heutzutage eben auch schnell zum Opfer.

Bequemlichkeit contra Sicherheit. Galt schon früher, gilt auch heute.

 

[Joogibaer]

Ja das ist sicherlich richtig, aber trotzdem gibt es ja keinem das Recht es auszunutzen....

 

[Iarn]

Die Frage ist ja auch, ist es immer noch die selbe IP nach der ich suchen müsste????

Wenn Du nur die NAS an der LAN Schnittstelle der Fritzbox hängen hast, sollte die Liste alle Server umfassen, zu denen Deine Syno Kontakt hatte.

Einige werden eindeutig harmlos sein, wie Seiten von Synology oder google (für NTP) andere müsste man recherchieren, was dahinter steckt (so nutzt Synology auch gemietete Server von Amazon etc.)