qsnatch.... es trifft leider nicht nur die anderen...

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.234
Punkte für Reaktionen
324
Punkte
109
Was mich nur wundert, das der BSI dem Provider bescheid gibt.
Normalerweise überwachen die Provider ihr Netze selber.
Freund von mir hatte eine Mitteilung vom Abuse-Team der Telekom bekommen das von seiner IP-Adresse regelmäßig ein BOT-Netz kontaktet wurde. Und das sein Anschluss nur eingeschränkt klappt bis er sich meldet das er das Problem behoben hat. Hat er auch gemacht und nach 3 Tagen war sein Anschluss wieder uneingeschränkt nutzbar.
Ein PC hatte sich was eingefangen. :)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Was ja auch seltsam ist, ist der ip Wechsel. Hast du da eine dynamische ip? Wer weiß ob es dann wirklich alles zusammen passt was der Provider da ausgewertet hat.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Das würde mir Hoffnung machen und die grauen Haare würde ich dafür gerne in Kauf nehmen wenn bei mir nichts ist :)

Ich habe gerade mit dem BSI telefoniert und eine Emailadresse von denen erhalten. Da habe ich die Mail hingeschickt und die sollen, so sagte man mir am Telefon, das betroffene Gerät benennen können und mir übermitteln. Bin gespannt welcher Schock mich dann ereilt :) Am besten eine MAC Adresse die mir nicht gehört :)
 
  • Like
Reaktionen: Tuxnet

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Wie gut, dass man von aussen (auch als ISP) keine MAC-Adresse sehen "kann", sobald Du von irgendwas hinter dem Router sprichst ;)

@rest: Der ISP soll nicht in der Lage sein, eine selbst vergebene IP korrekt zuzuordnen? Ernsthaft? Glaubt ja wohl selbst nicht... ?

Ein CGN macht da übrigens keinen großen Unterschied und nur mal so als Klätschchen auf's Hinterköpfchen: Die ISPs sind dazu "verpflichtet" vom Staat, dass sie sowas können "müssen", oder meint ihr, dass sich die z.B. Polizei bei irgendwelchen Geschichten die IP-Adressen aus dem Hintern zieht und dann bei "irgendwem" vor der Tür steht? Ich bin definitiv kein Verschwörungstheoretiker, aber bitte ... wenn es geht, ein kleines bisschen weniger naiv... ;)
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Natürlich müssen sie das können. Ob es in der Realität dann immer sauber gemacht wird und auch funktioniert, kann/muss/will ich nicht beurteilen.
Da es trotzdem vom Menschen gemacht wurde, können auch da Fehler passieren. :unsure:
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Weiß jetzt auch nicht, worüber man hier redet. Wir leben leider (oder gottlob) in keiner idealen Welt. Es passieren ständig Fehler und die können jeden treffen. Da kann man ISP sein, oder BaFin oder EY heißen, oder auch Synology (warum bin ich nochmal hier? :unsure:)
Natürlich lautet die Prämisse bei vorangegangener Vermutung, dass hier ein Fehler passiert ist.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Die Antwort vom BSI kam sofort:

Sehr geerhter Herr XXX,



bei der Malware "QSnatch" handelt es sich um eine Schadsoftware für QNAP NAS Geräte.



QNAP hat hierzu ein Security Advisory mit Hinweisen zur Behebung veröffentlicht:

https://www.qnap.com/de-de/security-advisory/nas-201911-01



Mit freundlichen Grüßen

das Team CERT-Bund


ICH HABE ABER KEIN QNAP Gerät...... Oder läuft das auf anderen System von denen ich nichts weiß?
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Jetzt kam gerade noch eine Ergänzung:
Guten Tag Herr XXXX,



uns wurde gemeldet, dass es am 2020-07-25 um 05:36:25 UTC von der 93.127.233.223 Port 53226 einen Zugriff auf hXXp://j05fr.cf/qnap_firmware.xml?t=1595560100 gegeben hat.

Dieser Zugriff deutet darauf hin, dass ein System in dem Netz mit QSnatch infiziert ist.

Leider liegen uns keine weiteren Informationen vor.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.550
Punkte für Reaktionen
1.380
Punkte
234
dass es am 2020-07-25 um 05:36:25 UTC
Ein genauer Zeitpunkt - das ist doch schonmal was.
Guck doch mal in dein Log der FritzBox(?)/Router, ob dir zu diesem Zeitpunkt auch diese IP zugewiesen war.
Gibt es bei dir eine Zwangstrennung (davor oder danach)?
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Super Idee, gerade mal geschaut, aber da finde ich so gar nichts zu im Menu? Trotz erweiterter Ansicht?
 
Zuletzt bearbeitet von einem Moderator:

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.550
Punkte für Reaktionen
1.380
Punkte
234
System ? Ereignisse ? DropDown-Menü: Internetverbindung
(es sei denn, du hast noch ein Modem für einen nativen Glasfaseranschluss davor. Dann müsstest du da gucken, sofern möglich)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
System -> Ereignisse -> Internetverbindung

too slow...
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Die gehen nur bis zum 27.07. zurück????
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Hast die Fritz am 27. neu gestartet? Das löscht das Log.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.550
Punkte für Reaktionen
1.380
Punkte
234
Die Ereignisse werden bei einem FritzBox-Neustart gelöscht. Schade …
Ich lasse mir solche Infos täglich per PushMail zuschicken.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Das kann leider sein... Verdammt :(
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Die DS loggt das aber ggf. auch. Schau mal da ins Log.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat