Pomoc Dziwne połączenia NAS z internetem

badziewiak

Enterprise Admin...
Q's Architect
3 Marzec 2015
778
165
43
49
Gliwice
QNAP
TVS-871
Ethernet
1 GbE
Nieużywany NAS przestał usypiać dyski. Skoro telefony mają wycięte wi-fi, tablet wyłączony, pc wyłączony, to może coś z zewnątrz miesza? Odpaliłem na routerze iftop i co zobaczyłem?
upload_2016-3-27_15-6-20.png


Były nawet jakieś ruskie adresy. Download station nieaktywne. Co NAS chce od tych adresów? Wyłączyłem upnp na routerze, zrestartowałem router i dalej to samo.
 
Aktualizacje podane na forum to aktualne pliki firmware. Jednak dla ekip forum są podawane wcześniej przed Live update, aby nie zajechać serwerów :)
... także nie wiem czy Ci coś pomoże inicjacja. Na Twoim miejscu zweryfikowałbym sobie wystawione porty na zewnątrz.
 
Zatem wygląda mi to na zainfekowany system, bo brak otwartych portów.
Po ponownej inicjalizacji jest spokój:

upload_2016-3-27_16-17-11.png


Ale jeszcze nie zainstalowałem żadnego plugina.
A może po prostu jestem inwigilowany? Na moim telefonie wyskoczył komunikat "aktualizacja karty sim". Sam już nie wiem, router działa na openwrt sprzed kilku lat, więc obecna władza nie wstrzyknęła mu żadnego backdoora, czyli powinien skutecznie wycinać próby wtargnięcia.
 
Na gargoyle też to mam:
upload_2016-3-27_22-48-23.png


Fakt jest faktem, że przeinstalowałem system na NAS i się uspokoiło. Co to było i skąd, nie mam pojęcia.
Tytułem uzupełnienia: Odpaliłem antywirusa na NAS i ile "wirusów" mi znalazł ten Clam :lol:
Kod:
Infected files: /Archiwum/PC/Stery/realtek_hd_
audio/realtek_hd_audio_6.0.1.7534/Vista/FMAPP.exe
/Lapek/Lapek_samsung/Users/zzz/Downloads/FlashPlayer__4369_i1315521619_il18.exe
/Lapek/Lapek_samsung/Users/zzz/Downloads/FlashPlayer__4369_i1315518910_il18.exe
/zzz/gmail/emaile/[URL='http://zzz@gmail.com/2013/3/22/595338560-13968.eml/hhh/gmail/emaile/xxx@gmail.com/Maildir/Others/cur/595338560-13968.eml/ddd/Downloads/Lenovo/BCM']xxx@gmail.com/2013/3/22/595338560-13968.eml
/zzz/gmail/emaile/xxx@gmail.com/Maildir/Others/cur/595338560-13968.eml
/zzz/Downloads/Lenovo/BCM[/URL] GPS Driver for Windows 8.1 (32-bit), Windows 10 (32-bit) - Yoga Tablet 2 1051FL/b2wd10gp01.exe
/zzz/@Recycle/LenovoSD/Stery/Lenovo/BCM GPS Driver for Windows 8.1 (32-bit), Windows 10 (32-bit) - Yoga Tablet 2 1051FL/b2wd10gp01.exe
/zzz/LenovoSD/Stery/Lenovo/BCM GPS Driver for Windows 8.1 (32-bit), Windows 10 (32-bit) - Yoga Tablet 2 1051FL/b2wd10gp01.exe
/zzz/TabletSD/Stery/Lenovo/Windows8.1/BCM GPS Driver for Windows 8.1 (32-bit), Windows 10 (32-bit) - Yoga Tablet 2 1051FL/b2wd10gp01.exe
Normalnie ze śmiechu dupę mi urwało. No ale to darmowe przecież.
Aktualizacje podane na forum to aktualne pliki firmware.
Potwierdzam. Odkopałem ten pobrany z forum, zrobiłem sume kontrolną SHA-1. To samo zrobiłem z pobranym plikiem z TVS-871 :: Pobierz :: QNAP. Sumy identyczne.

upload_2016-4-10_20-32-20.png
 
  • Lubię to
Reakcje: nightcom
Przypadkiem sesja TCP nie trwa 10min od odtwarcia, a UDP 2min? To może słady wczesniej otwieranej sesji? Generalnie od jakiegos czasu nie przejmuje się takimi kwestiami ponieważ moje serwery oferują zbyt dużo usług, aby je analizować. Jedyne co używam dla bezpieczeństwa to ich wirtualizowanie oraz pomiar obciążenia w tym DeDOS attacki.