Qnap über Apache Server gehackt
 

Hallo zusammen,

leider ist mir folgendes Problem heute aufgefallen:

Ich nutze einen Qnap TS-251+ mit der neuesten Firmware. Vor einiger Zeit habe ich mir das Tool "eTicket" aufgespielt, um es auszuprobieren und kennenzulernen. Das Tool nutzt den Qnap Apache Server. Im Zuge dessen auch im Router ein Portforwarding über Port 80 auf den besagten Qnap eingestellt und Dyndns aktiviert. Danach natürlich vergessen beides zu deaktivieren :heulen:

Heute hatte ich auf einmal eine Nachricht in meinen Emails über ein erstelltes Ticket. Daraufhin habe ich mich auf meinen Qnap verbunden um nachzuschauen was da los ist... ich kam allerdings nicht mehr auf die Admin Seite des "eTicket" ...hmm komisch dachte ich mir. Auf den Router verbunden um den Portforward zu entfernen und dort ist mir aufgefallen, dass über UPNP viele weitere Forwards eingestellt wurden! Terendo Tunneling und Torrent auf verschiedene Ports!!!

Mein Qnap wurde wohl über Apache kompromittiert. UPNP wurde gleich auf dem Router deaktiviert und der Qnap heruntergefahren.

Meine Frage:
War es dem Angreifer möglich meine Daten von dem Qnap zu saugen oder wurde meine Leitung "nur" als Torrentserver missbraucht? Logdateien die mir einen Anhaltspunkt geben würden konnte ich auch über SSH nicht finden.

Hat jemand eine Idee oder kann mir helfen? Vielen Dank!

Die QNAP Dinger laufen doch mit nem Linux oder...ich verschieb dich mal dahin, denn in diesem Bereich darf nur das Malwareteam helfen (antworten) und zudem wird hier nur Windows bereinigt.