qsnatch.... es trifft leider nicht nur die anderen...

Frieseba

Benutzer
Mitglied seit
27. Nov 2011
Beiträge
465
Punkte für Reaktionen
20
Punkte
24
Überfliege hier gerade mit dem Handy das Thema, daher vielleicht übersehen.... Andere Geräte (PC, Raspberry, Receiver mit gepachten Linux) kannst du ausschließen?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.866
Punkte für Reaktionen
1.152
Punkte
288
Frage: ist es wirklich qsnatch?
was auch immer ich lese im Netz, qsnatch ist etwas was in dem Betriebssystem von Qnap läuft. konnte bis jetzt nichts finden von qsnatch auf syno
 

BigRonin

Benutzer
Mitglied seit
08. Mai 2015
Beiträge
1.156
Punkte für Reaktionen
131
Punkte
89
Entschuldigt wenn ich mich hier zu Wort melde.
Ich lese bzw. verfolge solche Geschichten recht aufmerksam und die ganze Sache scheint mir doch ziemlich undurchsichtig zu sein.

- Bis heute gibt es keine Erklärung wie überhaupt die Infektion gelingt / stattfindet.
- Bis heute scheinbar nur NAS von Qnap betroffen.

- Einen einzigen Hinweis (Indiz) für eine Infektion sei die Abfrage einer zufälligen Adresse:
"HTTP GET https://<generated-address>/qnap_firmware.xml?=t<timestamp>"

Ich habe Tante Google mehrfach bemüht zu dem Thema:
- Seit Anfang 2020 ist es diesbezüglich sehr ruhig geworden.
- Einen einzigen aktuellen Beitrag zu dem Thema hab ich hier gefunden:
https://www.zdnet.com/article/cisa-...-have-been-infected-with-the-qsnatch-malware/

Auch hier ist die Rede ausschliesslich von Qnap Geräten, jedoch vermeintlich von 2 (auch Zeitlich) unterschiedlichen Angriffen.
Wenn es zwischenzeitlich den Hackern gelungen sein sollte, einen Weg gefunden zu haben über andere Wirte (PC, Handy usw.) das Ziel zu infizieren bzw. mit einem Command-Server zu kommunizieren ... sollte man doch annehmen, das dies inzwischen in den Medien bekannt wäre.

Dem verlinkten Beitrag nach, ist qsnatch nach wie vor aktive.

Für / in Wireshark würde ich mal nach „qnap_firmware.xml?=t“ filtern / suchen.

Wenn dazu kein Treffer zu finden ist, würde ich stark davon ausgehen das die Synology Diskstation unschuldig ist. Das ist auch wie die Suche nach der Nadel im Heuhaufen.

Würde nur bleiben, alle anderen Geräte im Haushalt nacheinander abzuklopfen, ob ein Geraät dabei ist, der qsnatch-ähnliche Anfrage verschickt ... das ist ja fast aussichtslos ... ich würde mich nicht auf die DiskStation versteifen und erstmal die Supportanfrage abwarten.

Das hilft natürlich wenig, wenn der Provider droht den Internetzugang zu kappen. Ich weiss nicht wie ich reagieren würde.

Beim BSI gibt es eine Interessanten Beitrag :
https://www.bsi.bund.de/DE/Themen/C...nfektionen/schadprogramminfektionen_node.html

Die Beschreibung wie man dort Infektionen erkennen will.
Der Beschreibung nach ist das Vorgehen nicht unbedingt Zuverlässig und könnten, wenn auch wenig wahrscheinlich, durch den Aufruf einer dieser Sinkholes zu einem Fehlalarm führen (meiner Meinung nach).

In dem Zusammenhang, ist es auch nicht ausgeschlossen, das ein Scherzbold bewusst solche Sinkholes anspricht ... das wäre schon perfiede.

Ich drücke dem TE die Daumen das der Sachverhalt sich im Nachgang als Fehlalarm erweist.
 
  • Like
Reaktionen: Joogibaer

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Erstmal Danke an euch alle, ich habe meinen ehemaligen Nachbarn mal angehauen, IT Administrator und zufällig auch Inhabe einer Synology DS. Da ich das wusste hatte ich ihn mal gefragt was ich machen kann.

"Lustiger" Weise hatte er das selbe Problem im Mai diesen Jahres und bekam auch diese Email...

Auch er hat, das es sich eigentlich nur auf NAS einrichtet nur auf die DS gestürzt, auch andere Geräte im Haus, was Android etc. anbelangt. Er hat wie ich, da die Boardmittel nichts hergeben auch nicht die DS neu aufgesetzt sondern einfach nur lokal gelassen, also wie ich den Innternetzugang gesperrt für dieses Gerät.

Seit dem keine Warnung mehr und keine Probleme, daher würde ich, da wir beide die selbe Mail bekommen haben und er auch eineSyno hat, dass auch darauf schieben?
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
So, Synology möchte die Zugangsdaten haben für den Account und ich soll die Fernwartung an machen....
SSH und Control Panel etc...


Hi Customer,


Thank you for contacting Synology support.


Do you have any Synology NAS or Synology router?


We could help you to check this issue remotely.





Remote Access Instructions


===============================================================


For DSM 5.0 and above:


1. Please provide the Support Identification Key in Support Center to us, enable remote access and press Apply.


2. Enable SSH service in Control Panel > Terminal & SNMP


3. Tell us your temporary password for the 'admin' account on your Synology NAS.


Note 1: Other user accounts with admin privilege won't work except DSM6.x.


Note 2: The temporary password should not be too simple and must contain numbers and letters.


Note 3: If you have set up 2-step authentication for the provided account, Please temporarily disable it.


Please also enable Auto Block in Control Panel > Security to enhance system security


Ist das normal?????

Bin jetzt irgendwie vorsichtig geworden....
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@Joogibaer
Für mich passt das Puzzle vorne und hinten nicht.
Das fängt schon mit dem qsnatch, welches nur QNAP betrifft, aber nicht Synology.
Der ISP "darf" und "kann" keine Hilfe geben? Richtig ist: Er "will" nicht.
Der Nachbar ist IT-Admin, hat selber eine Syno, ist auch vom Problem betroffen und hat keine Lösung gefunden? Ist er Admin von der VTECH-Abteilung für Kinderlaptops bei Smyths oder warum findet er nichts?!
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Vielleicht ist der ISP ja auch die Seuchenschleuder.
Wäre nach aktueller Lage der Schilderungen m.E. min. genauso wahrscheinlich.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
So, Synology möchte die Zugangsdaten haben für den Account und ich soll die Fernwartung an machen....
SSH und Control Panel etc...
Ist doch schön, dass sie sich schon gemeldet haben.
Natürlich wollen / müssen die auf deine DS draufschauen - das ist ja Sinn der Sache ;)
Dieses Verfahren ist beim Synologysupport geläufig.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
@Joogibaer
Für mich passt das Puzzle vorne und hinten nicht.
Das fängt schon mit dem qsnatch, welches nur QNAP betrifft, aber nicht Synology.
Der ISP "darf" und "kann" keine Hilfe geben? Richtig ist: Er "will" nicht.
Der Nachbar ist IT-Admin, hat selber eine Syno, ist auch vom Problem betroffen und hat keine Lösung gefunden? Ist er Admin von der VTECH-Abteilung für Kinderlaptops bei Smyths oder warum findet er nichts?!

Er ist Admin bei einer großen Windtechnikfirma... Hat aus meiner Sicht schon viel Ahnung, aber halt nichts gefunden...

Das der ISP nicht will, habe ich mir auch schon gedacht, aber die haben auch keine Daten mehr, als das was sie mir geliefert haben, so deren Aussage...

Ich habe Synology jetzt mal den Zugang geöffnet? Hoffe das war kein Fehler???

Das der ISP das Problem ist glaube ich ehrlich gesagt nicht, ich habe beim gleichen ISP noch eine Backupstation bei meinen Eltern stehen und bis heute auch keine Probleme gehabt, allerdings.... Bis heute, mal sehen was komt
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Vielleicht ist der ISP ja auch die Seuchenschleuder.
Wäre nach aktueller Lage der Schilderungen m.E. min. genauso wahrscheinlich.

Wenn der Nachbar auch noch den gleichen ISP hat, wäre das durchaus denkbar.
Lese auch von Anfang an mit, aber so ganz Stimmig scheint mir das noch nicht wirklich...
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@Joogibaer ,wenn du drauf besteht lassen sie sich auch oft auf eine Teamviewer Verbindung ein. Dann musst halt anwesend sein zu dem Termin.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
623
Punkte
174
Teamviewer ist ja recht und schön, aber dann auch dran denken, dass es 'unchristliche' Zeiten sein können ;)
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.798
Punkte
314
Wieso "unchristlich"? Wenn morgen um 8 Uhr der Büroalltag in Taipei beginnt ist es bei uns schon 2 Uhr Morgens, Tag is kurz^^
 

D_Espero

Benutzer
Mitglied seit
29. Mrz 2017
Beiträge
69
Punkte für Reaktionen
9
Punkte
8
Caschy schreibt heute auch über qsnatch.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Nur mal so am Rande: Da des Admins Aufgaben sehr vielseitig sein können und in einer "großen" Firma die Bereiche auch eher aufgeteilt werden, hat es "rein garnichts" zu sagen, ob ein "Admin" am Werk ist oder nicht. Entweder hat man das Know-How mit solchen Dingen entsprechend vernünftig umzugehen, oder eben nicht. Konkrete (sinnvolle) Vorschläge kamen hier schon (z.B. Paketmitschnitte, sei es auf der Syno selbst, der Fritzbox selbst, oder bei managed Switchen via Portmirror), wenn man allerdings nicht in der Lage ist, diese entsprechend umzusetzen (oder die Ergebnisse zu interpretieren - was ja auch keine Schande ist für ungelernte Leute), dann wäre ein Reset/Restore wohl der einfachste und schnellste Weg. Fraglich ist halt, ob zum Zeitpunkt des zurückgespielten Backups die Malware schon auf dem Gerät vorhanden war. Mittel und Wege gibt es in "jedem" Fall.

Theoretisch sind es sowieso nur 2 Möglichkeiten: a) genau ergründen wollen, warum wie wo was passiert ist (sehr viel Arbeit), oder b) schleunigst wieder einen brauchbaren Zustand erreichen (Reset+Restore).

Da kann man jetzt auch soviel um den heissen Brei reden wie man will, es wird nichts an den Tatsachen ändern, ganz einfache Kiste. Mitunter ändert sich aber doch eine Kleinigkeit zum positiven: Vielleicht stellt man nicht mehr jeden ****** direkt ins Netz und überlegt sich daher das nächste mal einfach 2 mal, ob manche Dinge sein müssen oder nicht (und man somit die Probleme z.B. einfach anderen überlasst, als Beispiel Web-/Mailhosting). So schön das auch alles sein mag, von den Gefahren, welche da mit einher gehen, wird euch der "Hersteller" (welcher ausschliesslich am Verkauf interessiert ist) mit Sicherheit eher weniger etwas erzählen (ist wie beim Autoverkäufer, der wird euch auch nichts von irgendwelchen Unfallmöglichkeiten und Folgeschäden erzählen, maximal wie schnell die Karre fährt). Eigentlich ist es somit auch kein Problem des Herstellers, sondern ein Problem der Denkweise der Benutzer... :censored:;)
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
@Joogibaer ,wenn du drauf besteht lassen sie sich auch oft auf eine Teamviewer Verbindung ein. Dann musst halt anwesend sein zu dem Termin.
Habe denen das jetzt frei geschaltet, wenn ist es ja jetzt eh egal.. Mir geht es ja nur drum, wenn da jetzt was drauf ist und ich auch noch den ssh und alles öffne, dann feuer frei
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Nur mal so am Rande: Da des Admins Aufgaben sehr vielseitig sein können und in einer "großen" Firma die Bereiche auch eher aufgeteilt werden, hat es "rein garnichts" zu sagen, ob ein "Admin" am Werk ist oder nicht. Entweder hat man das Know-How mit solchen Dingen entsprechend vernünftig umzugehen, oder eben nicht. Konkrete (sinnvolle) Vorschläge kamen hier schon (z.B. Paketmitschnitte, sei es auf der Syno selbst, der Fritzbox selbst, oder bei managed Switchen via Portmirror), wenn man allerdings nicht in der Lage ist, diese entsprechend umzusetzen (oder die Ergebnisse zu interpretieren - was ja auch keine Schande ist für ungelernte Leute), dann wäre ein Reset/Restore wohl der einfachste und schnellste Weg. Fraglich ist halt, ob zum Zeitpunkt des zurückgespielten Backups die Malware schon auf dem Gerät vorhanden war. Mittel und Wege gibt es in "jedem" Fall.

Theoretisch sind es sowieso nur 2 Möglichkeiten: a) genau ergründen wollen, warum wie wo was passiert ist (sehr viel Arbeit), oder b) schleunigst wieder einen brauchbaren Zustand erreichen (Reset+Restore).

Da kann man jetzt auch soviel um den heissen Brei reden wie man will, es wird nichts an den Tatsachen ändern, ganz einfache Kiste. Mitunter ändert sich aber doch eine Kleinigkeit zum positiven: Vielleicht stellt man nicht mehr jeden ****** direkt ins Netz und überlegt sich daher das nächste mal einfach 2 mal, ob manche Dinge sein müssen oder nicht (und man somit die Probleme z.B. einfach anderen überlasst, als Beispiel Web-/Mailhosting). So schön das auch alles sein mag, von den Gefahren, welche da mit einher gehen, wird euch der "Hersteller" (welcher ausschliesslich am Verkauf interessiert ist) mit Sicherheit eher weniger etwas erzählen (ist wie beim Autoverkäufer, der wird euch auch nichts von irgendwelchen Unfallmöglichkeiten und Folgeschäden erzählen, maximal wie schnell die Karre fährt). Eigentlich ist es somit auch kein Problem des Herstellers, sondern ein Problem der Denkweise der Benutzer... :censored:;)

Ich habe die Vorschläge ja auch befolgt, nur wenn man nicht weiß, nach was man sucht, ist es auch schwer... Klar, ich könnte sofort das Backup machen und gut... Wenn ich wüsste die Malware wäre nicht drauf, Leute das Ding wäre hier nie gelandet... Aber da es anscheinend etwas ist, was alle betreffen kann ist es hier auch gelandet. Ich nutze schon relativ wenige Möglichkeiten der maschine, umso überraschter war ich ja auch...
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
auch noch den ssh und alles öffne, dann feuer frei
Das hast du ja meines Wissens nicht im Router geöffnet. Der SSH-Dienst muss halt laufen, damit sie über ihre Supportsession darauf zugreifen können. Das war früher anders …
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.866
Punkte für Reaktionen
1.152
Punkte
288
Caschy schreibt heute auch über qsnatch.

ja das schreiben viele, qsnatch selber ist ja nichts neues und lange bekannt.
Nur habe ich bis jetzt keinerlei Info gefunden dass die auch auf anderen Systemen wie zum Bsp Syno vorkommt.
Darum frage ich mich wie all die Info von Behörde oder wem auch immer zustande kommt.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Najo, wenn man sich sicher ist, dass es die Syno ist... Ansonsten bleiben ja auch nur noch "....von Alexa, über KNX Server über Handys, Tablets, selbst Waschmaschine und Kühlschrank sind im Wlan verbunden wegen Homematic...."

Und "jetzt sofort das Backup machen"... ja ne, "jetzt" ist es schon VIEL zu spät, sowas macht man "vorher" (bevor ein Schaden entsteht). "Alle" betreffen kann es übrigens nicht. Ich kenne eine Menge Leute, die das Ding ausschliesslich "intern" und wenn extern "nur" via VPN ansprechen. Bei mir läuft die Syno hinter 2 Firewalls und ist "nur" Datengrab - ich halte nix von irgendwelchem fancy Schnickschnack den ich nutzen "muss", nur weil es vorhanden ist. Das Ding macht hier "intern" was es soll und fertig. Ich spreche die Syno auch nicht von ausserhalb via VPN an (auch wenn ich die Möglichkeit dazu hätte). Frage ist halt immer, ob es sein "muss"(!), dass Dinge bestimmte von aussen erreichbar sind und, ob man sich ggf. den Ärger nicht durch Outsourcing ersparen kann (Thema Web/Mail z.B.).

Der springende Punkt ist halt, dass sich schlichtweg etwas an der Denkweise ändern muss, ansonsten ist sowieso "niemandem" geholfen. Das ist wie mit Leuten die gänzlichst auf Backups verzichten (und davon gibt es ETLICHE)... Crash, großes Geschrei, bis man irgendwo einen blöden Studi findet (darf ja auch nix kosten), der sich dann tagelang damit abmüht, irgendwelche Dateien wieder zusammenzukratzen und teils klappt es sogar. Ergebnis? Nix gelernt, wozu Geld für teures Backup ausgeben, läuft doch wieder alles, wir brauchen kein Backup. Zugegebenermaßen trägt dieses Forum schon gut dazu bei, dass sich der ein oder andere Syno-Inhaber dann doch mal Gedanken zur Backupstrategie gemacht hat...


@Joogibaer: - bevor Du das hier falsch verstehst - das ist nichts gegen Dich, das ist ein ganz allgemeines Problem, von welchem Du allerdings auch betroffen zu sein scheinst.

@Ulfhednir: "Hardcore-Netzwerk-Spezialisten-Nerds" würde ich das jetzt nicht unbedingt nennen, sowas gehört zum Admin-Alltag, quasi wie dem Bäcker sein Teigschaber (oder so).

EDIT: Vielleicht auch mal interessant zu lesen für die/den ein oder andere/n: Attacking a Synology NAS (NCC Group, 2017) und das ist nicht das einzige Whitepaper welches existiert (mal ganz von all den Exploit-Datenbanken (Google: exploit list), wo dann z.B. solche Dinge auftauchen "Synology DiskStation Manager - smart.cgi Remote Command Execution" (vom 25.5.2020)), kurzum: es wird "immer"(!) irgendwelche Fehler geben, nur eine Frage der Zeit bis sie gefunden und ausgenutzt werden.
 
Zuletzt bearbeitet:


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat