QNAP-NAS Sicherheit

verstaerker · 17. August 2019

ich benutze mein QNAP NAS um Dateien freizugeben und meine eigene "Cloud" zu betreiben

heute hab ich mal QNAPs Malware-Remover installiert. Der hat diverse Dateien entfernt und am Ende sogar eine kritische Sicherheitswarnung ausgesprochen.
Ich hab alle Passwörter geändert.

Ich möchte allen, die auch ein NAS betreiben, dazu raten so einen offiziellen Malware-remover mal rüberlaufen zu lassen!

verstaerker · 22. August 2019

bei Befall diese Schritte befolgen

Since update to QTS 4.3.5 Live Update cannot be performed - Page 9 - QNAP NAS Community Forum

offebaescher · 22. August 2019

danke

Jean Pierre · 23. August 2019

verstaerker schrieb:
Ich möchte allen, die auch ein NAS betreiben, dazu raten so einen offiziellen Malware-remover mal rüberlaufen zu lassen!

Danke für den wertvollen Hinweis! :supi:

Betreibe ein QNAP zwar nur im Intranet, aber Sicherheit kann ja nicht schaden, auch nicht intern.

verstaerker · 23. August 2019

ich musste mein NAS mit dem cleanme-script von QNAP cleanen ... der installierte Malware-Remover hats nicht geschafft.

Jetzt ist alles wieder sauber. Sicherheit erhöht. Ich werd vermutlich nur noch über VPN zugreifen. Mal sehen ob ich das öffentliche Teilen von selektiven Inhalten wieder benutze - vermute darüber wurde mein NAS gefunden und attackiert.

noir · 24. August 2019

Doofe frage: Woher weißt Du, dass das Ding wieder sauber ist? Faustregel bei sowas ist eigentlich: Platte wechseln oder zumindest formatieren und neu aufsetzen da der Angreifer als root alle anderen Vorgänge beeinflussen kann.

Und was ist eigentlich mit den Daten die da so drauf waren? Irgendwas kritisches dabei? Und sind die weiterhin sauber?

Davon abgesehen: Könntest Du auf der Hardware Dein eigenes Betriebssystem laufen lassen? QNAP ist nicht grad durch sichere Software bekannt. Debian + Nextcloud ist schnell gemacht.

verstaerker · 24. August 2019

zumindest der Malwarebytes-Remover zeigt mir nichts mehr an.
Ich wüsste nicht wie derzeit da jemand reinkommen sollte.

Ich hab ganz sicher keine Lust "mal schnell" Debian und Nextcloud selbst aufzusetzen.
Ich bin da wirklich nicht firm und würde sicher Tage daran sitzen.

khz · 24. August 2019

Kali Linux (formerly known as BackTrack) is a Debian-based distribution with a collection of security and forensics tools. It features timely security updates, support for the ARM architecture, a choice of four popular desktop environments, and seamless upgrades to newer versions.

DistroWatch.com: Kali Linux

News and feature lists of Linux and BSD distributions.

distrowatch.com

?
<EDIT>https://distrowatch.com/search.php#advanced Distribution category > [X] NAS

1. OpenMediaVault (117)
OpenMediaVault is a Network-Attached Storage (NAS) solution based on Debian GNU/Linux. It contains services like SSH, (S)FTP, SMB/CIFS, DAAP media server, rsync, BitTorrent and many more. Thanks to a modular design it can be enhanced via plugins. OpenMediaVault is primarily designed to be used in home environments or small home offices, but is not limited to those scenarios. It is a simple and easy-to-use out-of-the-box solution that will allow everyone to install and administrate a Network-Attached Storage without deeper knowledge.

2. XigmaNAS (146)
XigmaNAS (formerly NAS4Free) is an embedded open-source NAS (Network-Attached Storage) distribution based on FreeBSD. XigmaNAS supports sharing across multiple operating systems, including Windows, Apple and UNIX-like systems. XigmaNAS is easy to set up in most home and enterprise environments and will allow to manage and share large amounts of data easily across a network. XigmaNAS also incorporates many different streaming features for sharing multimedia with other devices on the network. XigmaNAS includes ZFS v28 (RAIDZ, RAIDZ2 and RAIDZ3) Software RAID (0,1,5), Disk Encryption, S.M.A.R.T / Email Reports, and it supports the following protocols: CIFS (samba), FTP, NFS, TFTP, AFP, RSYNC, Unison, iSCSI (initiator and target), HAST, CARP, Bridge, UPnP, and BitTorrent. All are highly configurable by using a web interface.

3. EasyNAS (168)
EasyNAS is a storage management system for home or small office. It uses openSUSE Leap as a base with the Btrfs advanced file system. EasyNAS is managed through a web-based interface and offers such features as on-line growing of file systems, snapshots and copy-on-write.

4. FreeNAS (171)
FreeNAS is a tiny FreeBSD-based operating system which provides free Network-Attached Storage (NAS) services (CIFS, FTP and NFS).

5. Rockstor (212)
Rockstor is a specialist CentOS-based Linux distribution designed for Network Attached Storage (NAS) and private cloud storage solutions. It is based on popular open-source technologies, such as the Btrfs file system and Docker for automating the deployment of applications inside software containers. In addition to standard NAS features like file sharing via NFS, Samba, SFTP and AFP, advanced features such as online volume management, CoW Snapshots, asynchronous replication, compression, and bitrot protection are also supported. Rockstor provides additional applications, including ownCloud, Syncthing, OpenVPN and Plex. These applications (called "Rock-ons") are powered by a Docker-based application hosting framework. The Rockstor user interface, written in JavaScript, makes it simple to manage the server from within a web browser.

Star Labs
Star Labs - Laptops built for Linux. View our range including the Star Lite, Star LabTop and more. Available with a choice of Ubuntu, Linux Mint or Zorin OS pre-installed with many more distributions supported. Visit Star Labs for information, to buy and get support.

Parted Magic
Parted Magic - a complete hard disk management solution Disk Partitioning • Disk Cloning • Data Rescue • Disk Erasing • Benchmarking

Werbung

Werbung

</EDIT>

noir · 24. August 2019

khz schrieb:
DistroWatch.com: Kali Linux

News and feature lists of Linux and BSD distributions.

distrowatch.com

?

Was ist damit?

Das ist primär eine Distri für Menschen die $dinge hacken wollen. Für Tätigkeiten außer Hacking ist die nicht vorgesehen. Mal ein Zitat aus der Anleitung:

[...] Kali is a Linux distribution specifically geared towards professional penetration testers and security specialists, and given its unique nature, it is NOT a recommended distribution if you’re unfamiliar with Linux or are looking for a general-purpose Linux desktop distribution for development, web design, gaming [...]

Zum Thema Debian und Qnap: Wird wohl bei manchen Geräten unterstützt.

verstaerker schrieb:
zumindest der Malwarebytes-Remover zeigt mir nichts mehr an.
Ich wüsste nicht wie derzeit da jemand reinkommen sollte.

Heißt ja nicht gleich, dass das Ding zumindest keine Schwachstellen mehr hat. (Wenn wir von ausgehen der Angreifer wollte sich nicht im System vergraben was ich nicht beurteilen kann) Da läuft ganz bestimmt ein Linux drauf und auch für ein Linux gibt's ca. monatlich Sicherheitsupdates. Wenn das Ding nicht mehr aus dem Internet erreichbar ist, ist die Angriffsfläche aber schon mal deutlich geringer.

verstaerker schrieb:
Ich hab ganz sicher keine Lust "mal schnell" Debian und Nextcloud selbst aufzusetzen.
Ich bin da wirklich nicht firm und würde sicher Tage daran sitzen.

Kann ich gut nachvollziehen. Ist aber gut machbar und es gibt viele Anleitungen für die einzelnen Themen. Als Belohnung gibt's immer hin das volle Featureset von Nextcloud und dessen Plugins was inzwischen schon sehr mächtig ist.
Trotzdem: Bringt ja nichts wenn Du es vielleicht mit Mühe und Not hingefrickelt bekommst und es dann nie mehr anfassen willst. Hab ich auch schon hinter mir sowas...

verstaerker · 24. August 2019

noir schrieb:
Heißt ja nicht gleich, dass das Ding zumindest keine Schwachstellen mehr hat. (Wenn wir von ausgehen der Angreifer wollte sich nicht im System vergraben was ich nicht beurteilen kann) Da läuft ganz bestimmt ein Linux drauf und auch für ein Linux gibt's ca. monatlich Sicherheitsupdates. Wenn das Ding nicht mehr aus dem Internet erreichbar ist, ist die Angriffsfläche aber schon mal deutlich geringer.

das kann ich nicht beurteilen - ich hab mir aber mehr Mühe mit allem gegeben.
Derzeit teste ich eine openVPN Verbindung. Das klappt gut soweit.
Gibts da Sicherheit-Besonderheiten/Bedenken?

noir schrieb:
Trotzdem: Bringt ja nichts wenn Du es vielleicht mit Mühe und Not hingefrickelt bekommst und es dann nie mehr anfassen willst. Hab ich auch schon hinter mir sowas...

Ja genau.

khz · 24. August 2019

Bzg. Kali war eine fragende Antwort auf

verstaerker schrieb:
Ich wüsste nicht wie derzeit da jemand reinkommen sollte.

. Mit dieser Distribution könntest du eventuell dein NAS testen.

Z. B.

openmediavault - The open network attached storage solution

openmediavault is the next generation network attached storage (NAS) solution based on Debian Linux. It contains services like SSH, (S)FTP, SMB/CIFS, AFS, UPnP media server, DAAP media server, RSync, BitTorrent client and many more.

www.openmediavault.org

war ein Vorschlag bzg.

verstaerker schrieb:
Ich hab ganz sicher keine Lust "mal schnell" Debian und Nextcloud selbst aufzusetzen.
Ich bin da wirklich nicht firm und würde sicher Tage daran sitzen.

50/50%

QNAP-NAS Sicherheit

verstaerker

*****

verstaerker

*****

offebaescher

neu hier

Jean Pierre

wie Waldi

verstaerker

*****

noir

( ͡° ͜ʖ ͡°)

verstaerker

*****

khz

||||||||||

DistroWatch.com: Kali Linux

noir

( ͡° ͜ʖ ͡°)

DistroWatch.com: Kali Linux

verstaerker

*****

khz

||||||||||

openmediavault - The open network attached storage solution

Neueste Beiträge

News