Solved
Sicherheitslücken oder Konfigurationsfehler
6 years ago
Guten Tag,
ich habe ab und zu EMail Nachrichten vom Telekom Sicherheitsteam erhalten, das mein System von Malware infiziert sei.
Ich benutze aber für den Rechner den ich zum Surfen in meinem Netzwerk verwende einen Laptop mit Anti Viren Software
und führe in regelmäßigen Abständen auch Scans mit der Malware Software von MalwareBytes durch.
Die Prüfungen verliefen bisher immer ohne Probleme und Funde.
Wie soll ich mit diesen Hinweisen umgehen ?
Zeitpunkt: 09.08.2019 15:58:19 MESZ
Infektion: nymaim
Zeitpunkt: 14.10.2019 15:07:26 MESZ
Infektion: shylock
Zeitpunkt: 23.10.2019 15:31:01 MESZ
Infektion: shylock
Und heute erhalte ich einen Nachricht:
Sehr geehrte Kundin,
Sehr geehrter Kunde,
zu Ihrem Internetzugang haben wir Hinweise auf Sicherheitslücken oder Konfigurationsfehler erhalten,
die einen Angriff auf Ihr System und/oder einen Missbrauch Ihres Systems für Angriffe auf Dritte ermöglichen.
Ersteres gefährdet gegebenenfalls die Integrität und Authentizität Ihrer Daten.
IP-Adresse: 12.345.678.90
Zeitpunkt: 30.10.2019 01:02:22 MEZ
Offener Dienst: http (8080/tcp)
Weitere Angaben:
server: http server 1.0
Wie soll ich diesen Hinweis verstehen?
Die Uhrzeit ist mit 1:02h angegeben?
In meinem Netzwerk befindet sich ein NAS das permanent über eine Portfreigabe im Router von Außen zu erreichen ist.
Aber das ist doch nicht ungewöhlich?
Ich bin nun etwas verunsichert, wie ich mit diesen gelegentlichen Meldungen
umgehen soll und bitte um Aufkärung
991
19
This could help you too
in
343
1
4
in
414
3
1
in
78
4
0
6 years ago
@Langjähriger Kunde
Lade mal bitte den vollständigen Header der Mail hoch, ohne deine Mailadresse und Zugangsnummer.
Es kann sich um Spam oder eine echte Mail handeln.
9
Answer
from
6 years ago
Im Header steht:
Von: Telekom Sicherheitsteam
An: MeineAnschlusskennung@t-online.de
<span class="senderText messageListCE cmp_parsed_listemail" data-cmp_parsed_email="abuse@telekom.de" data-ce-class="ListEmails"> Telekom Sicherheitsteam </span>
Answer
from
6 years ago
Der vollständige Header wird benötigt.
Stand dort wirklich deine Anschlusskennung?
Answer
from
6 years ago
Received: from mailin83.aul.t-online.de ([172.20.26.83]) by ehead20a01.aul.t-online.de (Dovecot) with LMTP id RNU/FAbUwF0OewAAosDvpw; Tue, 05 Nov 2019 02:44:38 +0100
Received: from mailout41.telekom.de ([194.25.225.151]) by mailin83.aul.t-online.de with (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384 encrypted) esmtp id 1iRntc-43ryP00; Tue, 5 Nov 2019 02:44:36 +0100
Received: from qdec94.de.t-internal.com ([10.171.255.41]) by MAILOUT41.dmznet.de.t-internal.com with ESMTP/TLS/ECDHE-RSA-AES256-GCM-SHA384; 05 Nov 2019 02:40:36 +0100
Received: from qde969.de.t-internal.com (HELO rc2002.telekom.de) ([10.105.204.209]) by QDEC94.de.t-internal.com with ESMTP; 05 Nov 2019 02:44:35 +0100
Received: by rc2002.telekom.de (Postfix, from userid 50263) id 8819D707A12B8; Tue, 5 Nov 2019 02:44:15 +0100 (CET)
Dkim-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=telekom.de; i=@telekom.de; q=dns/txt; s=dtag1; t=1572918037; x=1604454037; h=content-transfer-encoding:mime-version:date:from:to: subject:message-id; bh=FldauUFsKKRh1wnMm9cj1dpZgtq6ZlgkQQpqqM29ZNw=; b=ZaKo2xJ6Mldvp2bgdy7TMOZIEMaVxOqX+rv/2cDOfHBJjWgSp4iyiFBR +bm7gfdhoEc7g4kUexdTRLgqCpgY8UigleD0iOKXsU/aXCLdA73ZzsbuH u1EJcKt69NZ6Moztrz/asHHe6uPAYDGYBxufr4jpDWkyxUxV4rr7QExDe NaFPGDlpKPOvhcwW//NU3YEMft7/N+Gg1d2YNCER3g23mcl8VhYtF6oLf ReqIaAWypHzh9mc2bD/Xd0ZY2fnY6Au8zKoX8n2MzSACbkibdO2SHJD1M SeuQD2u65/n5k1VYvTi9S2tCRDNwxDCaUcfSx7VZQ5pTmpe9zyGTT+J3W A==;
Ironport-Sdr: ws7nBOeJ/ROGLZHeRmfWe/d1DsO67EJfKqLAEXWXgU2WKoM4S07rVJy+fjmC9HBgSniFfg4XPF gYQjl9GMN+pQ==
X-IRONPORT-AV: E=Sophos;i="5.68,269,1569276000"; d="scan'208";a="534775683"
X-MGA-SUBMISSION: MDE0k0Te5+IP/fD1JNzWJsjNYLZm04r4l34ZmbICa99CGyPEE5vfsLs3z0GgjA5sef0csg+AXET6UwKpQd0XyyxzLDFNggxAZMf1Ure4g5oXmnJk98k+AoRFoN1Ez36pbUPfSXcLHH5DgSB/MVz6BfaAT2CuS0TDkLc+5GheSMZiOw==
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable
Content-Type: text/plain; charset=utf-8
Mime-Version: 1.0
X-MAILER: MIME::Lite 3.030 (F2.84; T1.38; A2.12; B3.13; Q3.13)
Message-Id: <20191105014415.8819D707A12B8@rc2002.telekom.de>
X-TOI-SPAM: u;0;2019-11-05T01:44:38Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: d9face99-117c-4729-8d7a-7edd906105ef
X-ENVELOPE-TO: <HIER STEHT MEINE RICHTIGE ZUGANGSNUMMER@wafel>
Authentication-Results: mailin83.aul.t-online.de; dkim=pass (2048-bit key) header.d=telekom.de header.i=@telekom.de header.b=ZaKo2xJ6
Subject: Ticket-Nummer: FRD-R-2528828, Wichtige Sicherheitswarnung zu Ihrem Internetzugang, Zugangsnummer: HIER STEHT MEINE RICHTIGE ZUGANGSNUMMER
X-TDRESULT: feb8e846-d674-402a-b71a-3c2bc1e37567;ded23906-d0f9-44a4-ad40-8f2e7498fd4c;1;0;1;0
Sender: "Telekom Sicherheitsteam" <abuse@telekom.de>
RecipientsTo: <HIER STEHT MEINE RICHTIGE ZUGANGSNUMMER@wafel>
Unlogged in user
Answer
from
6 years ago
In meinem Netzwerk befindet sich ein NAS das permanent über eine Portfreigabe im Router von Außen zu erreichen ist.
In meinem Netzwerk befindet sich ein NAS das permanent über eine Portfreigabe im Router von Außen zu erreichen ist.
Und damit ein hervorragendes Ziel für einen Angriff.
wie ich mit diesen gelegentlichen Meldungen umgehen soll und bitte um Aufkärung
wie ich mit diesen gelegentlichen Meldungen
umgehen soll und bitte um Aufkärung
Das steht bestimmt auch in der Nachricht von Abuse.
2
Answer
from
6 years ago
Hast du die IP abgeändert, oder steht die wirklich so drin?
Answer
from
6 years ago
Die habe ich abgeändert.
Meine IP ist natürlich eine andere
Unlogged in user
Answer
from
6 years ago
In meinem Netzwerk befindet sich ein NAS das permanent über eine Portfreigabe im Router von Außen zu erreichen ist. Aber das ist doch nicht ungewöhlich?
In meinem Netzwerk befindet sich ein NAS das permanent über eine Portfreigabe im Router von Außen zu erreichen ist.
Aber das ist doch nicht ungewöhlich?
Das ist nicht ungewöhnlich, die Frage ist aber nur wie du dein NAS abgesichert hast.
Nur mal so 3 Standard-Dinge die gemacht sein sollten
4
Answer
from
6 years ago
Admin-User gelöscht? Admin User ist bei der QNAP noch vorhanden. Das Passwort hat mehr als 10 Stellen.
Admin User ist bei der QNAP noch vorhanden. Das Passwort hat mehr als 10 Stellen.
Egal ob 10 Stellen oder nicht, lösch ihn einfach, ist besser
Answer
from
6 years ago
Dein NAS ist
mit ziemlicher Wahrscheinlichkeitinfiziert.=> https://www.bleepingcomputer.com/news/security/qsnatch-malware-infects-thousands-of-nas-devices-steals-credentials/
=> https://www.heise.de/security/meldung/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschand-4573483.html
=> https://twitter.com/certbund/status/1189889491001073664 / https://twitter.com/certbund/status/1189890405749460992
=> https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
=> https://www.qnap.com/de-de/security-advisory/nas-201911-01
Answer
from
6 years ago
Schau ich gleich nach und nehme die Portfreigabe raus....
Unlogged in user
Answer
from
Accepted Solution
accepted by
6 years ago
Dein NAS ist
mit ziemlicher Wahrscheinlichkeitinfiziert.=> https://www.bleepingcomputer.com/news/security/qsnatch-malware-infects-thousands-of-nas-devices-steals-credentials/
=> https://www.heise.de/security/meldung/Malware-QSnatch-attackiert-QNAP-Netzwerkspeicher-auch-in-Deutschand-4573483.html
=> https://twitter.com/certbund/status/1189889491001073664 / https://twitter.com/certbund/status/1189890405749460992
=> https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
=> https://www.qnap.com/de-de/security-advisory/nas-201911-01
0
Unlogged in user
Ask
from