qsnatch.... es trifft leider nicht nur die anderen...

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Auch wenn ich sie vom Strom nehme? Habe sie ja durch den Wechsel an die FB einmal vom Strom genommen.

Wokann ich dasin derBox finden?
 
Zuletzt bearbeitet von einem Moderator:

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.550
Punkte für Reaktionen
1.380
Punkte
234
Der einfachste Weg für dich ist wahrscheinlich das Protokollcenter.
Dort findest du z.B. die Neuverbindungen des DDNS-Dienstes (sofern von dir genutzt).
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Info
System
2020-07-27 21:20:07
SYSTEM
[Synology Drive Server] service was started.
Info
System
2020-07-27 21:19:54
SYSTEM
IP address [169.254.130.84] and subnet mask [255.255.0.0] were assigned to the DHCP client on [ovs_eth1].
Info
System
2020-07-27 21:19:49
SYSTEM
[USB Copy] service was started.
Info
System
2020-07-27 21:19:08
SYSTEM
System started to boot up.
Info
System
2020-07-27 21:09:24
SYSTEM
[Synology Drive Server] service was stopped.
Info
System
2020-07-27 21:09:14
SYSTEM
[USB Copy] service was stopped.
Info
System
2020-07-27 21:08:30
SYSTEM
[LAN 1] link down.
Info
System
2020-07-27 21:08:25
SYSTEM
Server started counting down to shutdown.
Info
System
2020-07-27 11:43:12
SYSTEM
[LAN 1] link up.
Info
System
2020-07-27 11:43:09
SYSTEM
[LAN 1] link down.
Info
System
2020-07-27 11:21:54
SYSTEM
[LAN 1] link up.
Info
System
2020-07-27 11:21:52
SYSTEM
[LAN 1] link down.
Info
System
2020-07-27 10:29:47
SYSTEM
[LAN 1] link up.
Info
System
2020-07-27 10:29:45
SYSTEM
[LAN 1] link down.
Info
System
2020-07-27 10:29:29
SYSTEM
[LAN 1] link up.
Info
System
2020-07-27 10:29:27
SYSTEM
[LAN 1] link down.
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Leider steht zu dem Datum nichts zu den IP Daten bei mir. Aber was ist dieses USB Copy und LAN link Down und up? Das kommt immer wieder???
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Wurde jetzt eigentlich schon mal ein kompletter Virusscann auf diesem NAS durchgeführt?
Alle anderen Geräte im Haushalt komplett mit aktuellen Virenscannern durchforstet?
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.117
Punkte für Reaktionen
256
Punkte
129
Wird bei Kühlschrank und Co. nicht überall ganz einfach :)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.105
Punkte für Reaktionen
2.073
Punkte
259
Es lebe das IoT - manchmal mehr, als uns lieb ist ...
 

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Wurde jetzt eigentlich schon mal ein kompletter Virusscann auf diesem NAS durchgeführt?
Alle anderen Geräte im Haushalt komplett mit aktuellen Virenscannern durchforstet?

Bei denen die online waren an dem Tag und es möglich ist, ja....
"Leider" Ohne Ergebnis
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ich möchte übrigens noch einmal das Pi-hole als Ansatz zur Erkennung verdächtiger Aktivitäten ins Rennen schmeißen. Die Analyse über .eth-Datei erfordert einiges an Maß und Verständnis an Netzwerktechnik und deren Protokollen. Mit dem pi-hole hat man nicht nur einen super Werbeblocker, sondern auch ein gutes Analyse-Tool, um herauszufinden, welche Domains angesprochen werden. Das natürlich nur unter der Prämisse, dass die mögliche malware die Command-Server über eine Domain und nicht über eine IP ansprechen.
 
  • Like
Reaktionen: Samhain

Joogibaer

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
310
Punkte für Reaktionen
9
Punkte
18
Ich habe mir das mal angeschaut... Wenn ich das richtig verstehe ist das ein tool, was den gesamten Netzwerkverkehr aufzeichnet, also aller Geräte? Auch wenn es nur auf einem Installiert ist????
 
Zuletzt bearbeitet von einem Moderator:

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ich habe mir das mal angeschaut... Wenn ich das richtig verstehe ist das ein tool, was den gesamten Netzwerkverkehr aufzeichnet, also aller Geräte? Auch wenn es nur auf einem Installiert ist????

Das Pi-hole ersetzt den DNS-Server. Der DNS wiederum löst eine Domain in seine IP auf. Beispiel anhand deiner Fritzbox:
Die Fritzbox fungiert i.d.R. als dein DNS. Gibst du fritz.box in deinen Browser ein, so leitet er die Domain auf 192.168.178.1

Das macht man sich hier zu nutze, um über bekannte Werbe-Domains zu blockieren.
Anders herum, kannst du halt auch prüfen, welche Domains von deinem jeweiligen Client angesprochen wurden.
wMgehqB.png
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Kurzum: Alles was mit "FQDN" (Name) angesprochen wird (extern) geht über den DNS (Aufgabe: Name -> IP), somit werden dort nur Anfragen zur Namensauflösung aufgezeichnet, bzw. eben "nur" die DNS-Anfragen. Alle anderen Pakete (nach extern) gehen "direkt" zum Gateway (Router bzw. Fritzbox). Demnach "muss" man sowieso alle Pakete auf der Fritzbox mitschneiden, oder eben eine vernünftige Firewall haben, wo man schlichtweg die Protokollierung sämtlicher Pakete für bestimmte Regeln einschaltet. In diesem Fall - was das BSI Dir mitgeteilt hat (und woran sie es festgemacht haben) - gäbe es da nun folgende Möglichkeit:

"von der 93.127.233.223 Port 53226 einen Zugriff auf hXXp://j05fr.cf/qnap_firmware.xml?t=1595560100 gegeben hat." das ist das was Du als Info bekommen hast. Deine IP interessiert bei der Suche aber herzlichst wenig, der Highport ebenso (wird eh meist random genutzt, "kann" man natürlich auch noch drauf filtern (Port 53226, ausgehend), ist aber weniger sinnig finde ich). Sinnvoller wäre es - und das würde z.B. mit dem pi-Hole funktionieren: Filter auf "*.cf" (Zentralafrikanischen Republik). Könntest Du mit ziemlicher Sicherheit direkt alles in die Tonne kloppen, weil Du da bestimmt nix mit am Hut hast (es sei denn, dass der Virenscanner z.B. mal einen Mirror dort anspricht). Noch besser wäre allerdings ein URL-Filter, der auf den Part "qnap_firmware.xml" reagiert, denn der o.g. FQDN ist mit Sicherheit auch ziemlich willkürlich gewählt, also dürfte ein Block des vollen FQDN nichts bringen und ".cf" wird auch nicht die einzige Domainendung sein, die dabei genutzt wird. Somit wäre das einzige wirklich statische (muss aber auch nicht sein), der Part mit "qnap_firmware.xml". Habe aber keine Ahnung, ob das mit dem pi-Hole funktioniert, ich nutze sowas nicht :)
 
  • Like
Reaktionen: peterhoffmann

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
So wie ich das bis jetzt über die zig Beiträge mitverfolge und eigentlich viel Spekulation ( logisch, man sitzt ja nicht vor der Kiste) und eine menge Zeit durch diverses Testen darin steckt, dies aber anscheinend zu keinem Erfolg führt, sehe ich mittlerweile die einzige Möglichkeit das NAS komplett platt zu machen und über ein älteres Backup die Daten wieder zurückzuschaufeln. Denn der Zeitpunkt deiner Provider Sperre rückt näher und mit Testen und anderen Möglichkeiten sehe ich hier leider kein weiterkommen. Denn selbst wenn Du mit diversen Tools wie z.B. Pi Hole ausgemacht hast, das deine Kiste ständig irgendwo rausfunkt, was dann? Den Verursacher wird man dadurch auch nicht los.
Ich habe mir früher bei den Windows Kisten auch immer Tage/Wochenlang mit allen erdenklichen Tools einen Wolf gesucht, wenn wieder was nicht mehr funktionierte. Das habe ich mir abgewöhnt, platt machen, Backup zurück und in kurzer Zeit läuft wieder alles. Dieses Wochenlange gesuche nach irgendwelchen Fehlern bringt einen nicht weiter und kostet nur Lebenszeit und viel Nerven.

Aber dafür hat man ja ein tägliches Backup
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Dass die DS wirklich die Ursache ist, scheint aber noch nicht eindeutig belegt zu sein.
 
  • Like
Reaktionen: Samhain

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
noch nicht eindeutig
... ich würde eher sagen "überhaupt nicht belegt". Bisher sehe ich nur Fakten und Indizien, die dagegen sprechen:
  • Schadcode nicht für Synology, sondern für Qnap
  • kein Fall bei einem Synology-Gerät bekannt
  • Synology Support hat das Gerät gecheckt und nichts gefunden
  • der Haushalt vom Nutzer ist voll mit anderen Geräten
Wir drehen uns hier im Kreis, da uns die entscheidenden Infos fehlen. Genug Hinweise hat der Nutzer, er muss sie nur umsetzen. Bis zum 10.08. hat er ja noch Zeit.
 
Zuletzt bearbeitet:

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.550
Punkte für Reaktionen
1.380
Punkte
234
Problem ist ja auch, ich habe bis zum 10.08. Zeit das Problem zu behehen, sonst sperrt mich mein Anbieter...
Woher weiß denn der Anbieter, ob das Problem behoben ist? Auf welcher Grundlage wird am 10.8. entschieden?
Überwacht er den Traffic dahingehend?
Oder wartet er auf eine erneute Meldung des BSI?

Kann man vor dort ein Feedback bekommen, ob das Problem noch besteht?
 
  • Like
Reaktionen: peterhoffmann

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Vielleicht sollte man das Problem pragmatischer angehen und erst mal einer Sperre am 10.08. durch folgendes Schreiben vorbeugen:

Sehr geehrte Damen und Herren,

vielen Dank für Ihr Schreiben vom xx.07.2020.

Ich bin ihrem Hinweis:
> qsnatch: qsnatch @93.127.233.223
nachgegangen und nehme dazu folgendermaßen Stellung:

Die Malware "qsnatch" betrifft ausschließlich NAS-Geräte der Firma QNAP. Ein solches Gerät habe und hatte ich nicht.
Als NAS nutze ich ein Gerät der Firma Synology. Der Support von Synology hat mein Gerät über eine Fernwartung getestet und durchsucht. Das Ergebnis war negativ, sprich keine Auffälligkeiten.

Im Moment schließe ich ein Problem innerhalb meines privaten Netzwerkes aus. Falls weitere Auffälligkeiten ihrerseits bemerkt werden, würde ich mich über genauere Informationen freuen.

Vielen Dank für ihre Bemühungen.

Mit freundlichen Grüßen
So hat man klar signalisiert, dass man auf Einwände reagiert, sowie einen guten Willen gezeigt.
Da kann ein ISP kaum den Hahn sang- und klanglos abdrehen.
 

Syno-OS

Benutzer
Mitglied seit
23. Jun 2020
Beiträge
361
Punkte für Reaktionen
64
Punkte
28
Ich hatte so ein Problem auch mal, da sollte ein Windows Trojaner aktiv sein, bei einem Mac und DS213j, sehr unwahrscheinlich.
Die Meldung wurde durch meinen Test mit dem Mail Server ausgelöst, also musste ich da mal durch klingeln und meinen Internet Account wieder freischalten lassen...'False-Positive' Meldung war es, was ich auch hier vermute...

Ich finde IDS System mal nicht schlecht, aber den Grund heraus zu finden, wodurch der Alarm ausgelöst wurde, ist bei weitem nicht so einfach zu finden, außer ihr habt wie ich damals gerade herum gespielt...
Einfach mal beim Provider anrufen und zum Techniker durchstellen lassen, damit der euch erklärt, welche Ports / Dienste ihr prüfen sollt.

KISS (Keep It Stupid Simply, NAS - Kabel - Router, mehr nicht und NAS durch alle anderen Geräte ersetzen) hilft jetzt nur noch, da Pakete sniffen einfach unmengen an Daten liefert und wenn ihr es noch nie gemacht kommt ihr auch nicht weit, da ihr nicht mal wisst wonach ihr sucht...eine Nadel im Heuhaufen ist einfacher zu finden, da ihr wisst wie eine Nadel aussieht...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat