qsnatch.... es trifft leider nicht nur die anderen...

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
Habe das gerad eerstmal gemacht und geschaut im allgemeinen, das ist ja erschreckend und Wahnsinn...
Da sieht man lediglich alles, wovon der normale Anwender halt nichts mitbekommt. Es ist nicht alles schlecht, nur weil so viel Sachen im Paketmitschnitt zu sehen sind. Die Eingrenzung hat dir @Iarn ja schon an die Hand gegeben.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Mal zwischendurch ein Dickes Danke an Euch alle hier.... Es ist toll wie man von Euch unterstützt wird.

Ich werde heute abend mal die DS umbauen und an die FB hängen und dann mal wieder freigeben.... Mal sehen was passiert....

Gerade eben habe ich mal nur die Internetleitung mitgeschrieben, da war die besagte IP nicht bei, was ja für die Diskstation spricht....
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
Gerade eben habe ich mal nur die Internetleitung mitgeschrieben, da war die besagte IP nicht bei, was ja für die Diskstation spricht....
Du meinst die IP aus #26?
Das wird wohl die IP deines Anschlusses sein, oder irre ich mich?
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Du meinst die IP aus #26?
Das wird wohl die IP deines Anschlusses sein, oder irre ich mich?

ok? dachte das wäre die, die das ganze verursacht :( Meine aktuelle fängt auf jeden Fall mit 212. an...
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
Deine IP (=dein Anschluss) verursacht ja auch aus Sicht des BSI das Problem ;)

Interessanter wäre es jetzt herauszufinden, wo deine DS so hintelefoniert.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
DNSWatch > Reverse DNS Lookup für 93.127.233.223

Suche nach PTR Eintrag für 223.233.127.93.in-addr.arpa. bei F.ROOT-SERVERS.NET. [192.5.5.241] ...dauerte 2 ms
Suche nach PTR Eintrag für 223.233.127.93.in-addr.arpa. bei d.in-addr-servers.arpa. [200.10.60.53] ...dauerte 201 ms
Suche nach A Eintrag für tinnie.arin.net. bei F.ROOT-SERVERS.NET. [192.5.5.241] ...dauerte 1 ms
Suche nach A Eintrag für tinnie.arin.net. bei d.gtld-servers.net. [192.31.80.30] ...dauerte 1 ms
Suche nach A Eintrag für tinnie.arin.net. bei u.arin.net. [204.61.216.50] ...dauerte 1 ms
Suche nach PTR Eintrag für 223.233.127.93.in-addr.arpa. bei tinnie.arin.net. [199.212.0.53] ...dauerte 89 ms
Suche nach A Eintrag für ns1.purteldns.de. bei F.ROOT-SERVERS.NET. [192.5.5.241] ...dauerte 1 ms
Suche nach A Eintrag für ns1.purteldns.de. bei s.de.net. [195.243.137.26] ...dauerte 7 ms
Suche nach A Eintrag für ns1.purteldns.de. bei ns2.purteldns.de. [185.39.86.4] ...dauerte 2 ms
Suche nach PTR Eintrag für 223.233.127.93.in-addr.arpa. bei ns1.purteldns.de. [185.39.85.4] ...dauerte 15 ms
DomainTypTTLAntwort
223.233.127.93.in-addr.arpa.PTR360093-127-233-223.access.ham.german-local.net.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Wenn Du nur die NAS an der LAN Schnittstelle der Fritzbox hängen hast, sollte die Liste alle Server umfassen, zu denen Deine Syno Kontakt hatte.

Einige werden eindeutig harmlos sein, wie Seiten von Synology oder google (für NTP) andere müsste man recherchieren, was dahinter steckt (so nutzt Synology auch gemietete Server von Amazon etc.)


So, jetzt habe ich eine Bunte Liste mal von 5 Minuten gemacht :)

Nach was suche ich jetzt??? :)
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Am besten suchst Du nach allem was nicht Synology, Dein Provider oder Google ist.
Wenn Du Dienste am Laufe hast wie Plex oder ähnliches schalte sie am besten ab weil Du sonst zuvidl durchwühlen musst. Im Zweifel postete die Server hier im Forum. Vermutlich wird die schon jemand zuordnen können ob harmlos oder nicht.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Die Aufzeichnung von 3-5 Minuten ergab 14474 Einträge????

Kann ich das irgendwie noch sinnvoller anzeigen? Das kann sich doch keiner anschauen, oder?
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Sind das jetzt vom drüber schauen alles verschiedene Einträge oder immer der gleiche. Du müsstest die eigentlich sortieren können (habe gerade keinen PC bei der Hand, kann das nicht verifizieren).

Falls es auch nur annähernd verschiedene sind, dann ist Deine Syno eine Spam Schleuder geworden. Mehr als 20 verschiedene Serve sollte eine nicht- kompromittierte Synology ohne Drittpakte nicht aufrufen.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Gerade noch mal mit dem Anbieter gesprochen.... Die genannte IP Adresse ist meine gewesen....
Und zwar am 23.07.2020, theoretisch der Tag vor dem Softwareupdate?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Die Aufzeichnung von 3-5 Minuten ergab 14474 Einträge????

Kann ich das irgendwie noch sinnvoller anzeigen? Das kann sich doch keiner anschauen, oder?

*hust*
Ich hatte bereits geschrieben, dass Wireshark kein Tool für "Anwender". Das ist eher etwas für Hardcore-Netzwerk-Spezialisten-Nerds.
Letzt genannter bin ich auch nicht.

Du kannst dir entsprechende Filter mit Wireshark einstellen:
https://wiki.wireshark.org/DisplayFilters
Wenn man wüsste, welches Protokoll qsnatch verwendet, um eine Verbindung zum command-Server aufzubauen oder sich auszubreiten, könnte man einen entsprechenden Protokollfilter verwenden. Damit reduziert sich die Zahl der Einträge deutlich.

Nachtrag: Die Finnen hatten zu qnap eine Analyse durchgeführt:
The retrieval method is "HTTP GET https://<generated-address>/qnap_firmware.xml?=t<timestamp>", and this request is a strong indicator of compromise.
Quelle: https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices

Ich würde daher versuchen darüber zu filtern.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Joogibaer

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Es geht ja hier um die Destinations???

Was ich auch nicht verstehe, da sind zig Einträge der Frit Box auf gelistet etc.

Gibt es hier jemanden der sowas "lesen" kann?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.475
Punkte für Reaktionen
1.087
Punkte
194
Es geht ja hier um die Destinations???

Was ich auch nicht verstehe, da sind zig Einträge der Frit Box auf gelistet etc.

Gibt es hier jemanden der sowas "lesen" kann?

Die FritzBox dürfte als DNS-Server fungieren. Also sind Destinations nicht zwangsweise ungewöhnlich.
Es kann aber auch sein, dass die Malware das Kennwort der Fritte knacken möchte...

Aber Hand auf's Herz - wenn sich herauskristallisiert, dass dein NAS kompromittiert ist, dann wirst du das Ding ohnehin platt machen müssen.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Danke für die ehrlichen Worte...

Die Frage ist ja nur und das besprach ich auch eben mit dem Anbieter, ich kann doch gar nicht wissen welches Gerät betroffen ist und auch welche Daten.

Angenommen ich würde die DS plattmachen und meine Daten vorher sichern... Dann sichere ich die doch auch wieder mit drauf?

Angenommen ich würde eine Datensicherung vor dem 23.07. einspielen, dürfte das doch auch nichts bringen, oder???
 

Frieseba

Benutzer
Mitglied seit
27. Nov 2011
Beiträge
465
Punkte für Reaktionen
20
Punkte
24
Kannst du die DS nicht ausschalten und dein Anbieter beobachtet, ob weiterhin der besagte Traffic aktiv ist? Würde eher so vorgehen, bevor du dir die Mühe machst.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ich habe die DS jetzt nur noch auf Lokal gestellt in der Hoffnung das nichts mehr passiert.
Sie kann nicht mehr raustelefonieren und ist nicht mehr erreichbar von aussen.

Mein Anbieter sagt, sie dürfen und können keinen Service leisten, sie leiten nur die Infos vom BSI weiter....

Diese Emails kommen wohl auch nicht täglich.

Ich habe halt auch ein wenig Kummer und Sorgen um meine Daten, denke das ich die auch noch mal lokal auf einer USB sichern werde.

Ich habe extra schon 2 NAS Systeme die sich spiegeln, aber sicher ist wohl sicher...
 
Zuletzt bearbeitet von einem Moderator:

Frieseba

Benutzer
Mitglied seit
27. Nov 2011
Beiträge
465
Punkte für Reaktionen
20
Punkte
24
Synology hast du schon kontaktiert? Denke, die hätten ein gesteigertes Interesse.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ticket ist erstellt und ich bin gespannt wie schnell die sich melden....
 
  • Like
Reaktionen: geimist und Frieseba


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat