QNAP dubiose Verbindungen

Bei einer Kontrolle des QNAP TS-212 bin ich auf dubiose Verbindungen gestoßen. Generell sind Verbindungen ja nichts ungewöhnliches auf einem NAS. Allerdings haben mich die ausgehenden Verbindungen skeptisch gemacht. Immer wieder tauchten dort eine Vielzahl von UDP Paketen auf. Mittels einem Man-in-the-middle Angriff hatte ich mich zwischen den NAS geschaltet. Wireshark habe ich benutzt, um den Netzwerkverkehr aufzulisten. Mit dem Filter

ip.addr == 192.168.188.140 && ((udp.port == 6889 || udp.port == 6881 ))

wurden mir nur die gewünschten Pakete angezeigt. Mir war bei den Verbindungen aufgefallen, das es sich immer um die Ports 6889 + 6881 handelt, daher habe ich den Filter auf die 2 Ports beschränkt.

Einige der Zielquellen habe ich überprüft. Dabei fand ich heraus, dass es sich um Verbindungen nach Somalia, Belarus, etc. handelt. Mir war nicht bewusst welcher Service auf dem NAS eigenständig Verbindungen nach genannten Orten aufbaut und ging schon vom Schlimmsten aus. Nach einer kurzen Recherche fand ich heraus, dass die Ports 6889 + 6881 zu Bittorrent gehören. Beruhigt hatte mich das vorerst nicht. Nach weiterer Recherche habe ich die Download-Station von QNAP als den Übeltäter ermittelt.

Download Station ist ein webbasiertes Download-Werkzeug, mit dem Sie Dateien aus dem Internet über BT, PT, Magnet-Link, HTTP/HTTPS, FTP/FTPS, Xunlei, FlashGet, qqdl und Baidu Cloud-Downloads herunterladen sowie RSS-Feeds abonnieren können. Mit der Funktion BT-Suche können Sie BT-Seeds einfach aufspüren und herunterladen und Ihr QNAP NAS in ein 24/7-Download-Center verwandeln.

https://docs.qnap.com/nas-outdated/4.2/SMB/de/index.html?download_station.htm

BT(Bittorrent)
Verbindungseinstellung:
Geben Sie die Ports für BT-Downloads an. Die Standardportnummern sind 6881 – 6889.

https://docs.qnap.com/nas-outdated/4.2/SMB/de/index.html?download_station.htm

Die Download-Station ist eine von mir nicht benutzte App, sodass ich diese ohne weiteres deinstalliert habe. Nach der Deinstallation hörten auch schon die dubiosen Verbindungen auf.

Randnotiz

Ich konnte die Download Station Verbindungen leider im Nachhinein nicht über netstat bzw. lsof festellen. Beide zeigten mir zwar Verbindungen an, aber nicht die, die ich über den MITM-Angriff sehen konnte. Dabei habe ich folgendes ausprobiert

while :; do netstat -uan | egrep '6881|6889' >> /share/Public/watch.log; done
netstat: udp        0      0 0.0.0.0:6889            0.0.0.0:*


# 18942 ist die PID vom Download Manager.
while :; do lsof -Pp 18942 | grep IPv4 >> /share/Public/watch.log; done
dsd     18942 admin   14u     IPv4    3949996      0t0       TCP *:6889 (LISTEN)
dsd     18942 admin   15u     IPv4    3949997      0t0       TCP *:4433 (LISTEN)
dsd     18942 admin   16u     IPv4    3950002      0t0       UDP *:6889
dsd     18942 admin   26u     IPv4    3950017      0t0       UDP *:6771
dsd     18942 admin   27u     IPv4    3950018      0t0       UDP localhost:6771
dsd     18942 admin   28u     IPv4    3950019      0t0       UDP localhost:46161
dsd     18942 admin   29u     IPv4    3950020      0t0       UDP NA:6771
dsd     18942 admin   30u     IPv4    3950021      0t0       UDP NAS:50750
dsd     18942 admin   31u     IPv4    3950024      0t0       UDP *:1900
dsd     18942 admin   32u     IPv4    3950025      0t0       UDP localhost:1900
dsd     18942 admin   33u     IPv4    3950026      0t0       UDP localhost:35034
dsd     18942 admin   34u     IPv4    3950027      0t0       UDP NAS:1900
dsd     18942 admin   35u     IPv4    3950028      0t0       UDP NAS:38742
dsd     18942 admin   37u     IPv4    3950056      0t0       UDP *:42835


# Die PID habe ich mit ps herausgefunden. dsd ist der Service für den Download Manager 
ps -aux | grep dsd
12004 admin       568 S   grep dsd
18942 admin      4260 S   /usr/sbin/dsd -level error -log /share/MD0_DATA/.qpkg/DSv3/log/dsd.log

Ich habe dabei ein while Endlosschleife benutzt, damit mir dauerhaft die Ergebnisse in die watch.log geschrieben werden. Zum erwünschten Ergebnis führte dies leider nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.