Intrusion detections "von innen nach außen" nach HDD Wechsel

[hilton_lan]

Hallo,

folgendes ist passiert:
- kaputte WD HDD (Enterprise class, weniger als ein Jahr alt...) im NAS
- per RMA angeforderte Austauschplatte kommt als recertified hdd
- heute um 9:54 Festplatte gewechselt und NAS neu gestartet
- exakt 1 Minute später beginnt sich im 30-60 Minuten Takt das Firewall Log zu füllen
- intrusion detection ausgehend vom NAS immer im Paar, einmal von port 80 einmal port 443
- bis dato hatte ich NULL solcher Art von detections

Nachricht Typ1:
Date: 11/12/2014 16:41:28

The packet below

Src: interne.ip.des.nas:80 Dst: externe.IP.des.nas:16658 {1781EF+} (TCP)

MAC-Header (14 Bytes)

00 a0 57 1e 93 37 00 11 32 28 9d 47 08 00 | ..W..7.. 2(.G..

IP-Packet (128 Bytes):

45 00 05 1d 81 c3 40 00 40 06 74 50 c0 a8 03 22 | E.....@. @.tP..."
5d b5 1e 48 00 50 41 12 37 2f 08 97 f8 c2 45 3b | ]..H.PA. 7/....E;
50 18 00 f5 c9 72 00 00 48 54 54 50 2f 31 2e 31 | P....r.. HTTP/1.1
20 32 30 30 20 4f 4b 0d 0a 44 61 74 65 3a 20 57 | 200 OK. .Date: W
65 64 2c 20 31 32 20 4e 6f 76 20 32 30 31 34 20 | ed, 12 N ov 2014
31 35 3a 33 37 3a 35 31 20 47 4d 54 0d 0a 53 65 | 15:37:51 GMT..Se
72 76 65 72 3a 20 41 70 61 63 68 65 0d 0a 4d 53 | rver: Ap ache..MS
2d 53 65 72 76 65 72 2d 41 63 74 69 76 65 53 79 | -Server- ActiveSy

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

Nachricht Typ 2:
Date: 11/12/2014 16:47:16

The packet below

Src: interne.ip.des.nas:443 Dst: 141.212.121.67:60097 (TCP) > Adresse bei der Uni Michigan in USA = NSA or sub ?!?

MAC-Header (14 Bytes)

00 a0 57 1e 93 37 00 11 32 28 9d 47 08 00 | ..W..7.. 2(.G..

IP-Packet (44 Bytes):

45 00 00 2c 00 00 40 00 40 06 6f ea c0 a8 03 22 | E..,..@. @.o...."
8d d4 79 43 01 bb ea c1 e5 39 25 2e d9 6a 45 e1 | ..yC.... .9%..jE.
60 12 39 08 7d fb 00 00 02 04 05 b4 | `.9.}... ....

matched this filter rule: intruder detection
filter info: packet received from invalid interface LAN-1

because of this the actions below were performed:
drop
send syslog message
send SNMP trap
send email to administrator

Was ich mich nun frage
1) ist das nur Zufall, dass mit Einbau einer 2nd hand refurbished Platte plötzlich intrusion detections von innen nach außen vom NAS auftreten?
2) Kann man sich vorstellen, dass eine WD RMA 2nd hand Platte Malware verseucht zum Kunden kommt?

Hat einer eine Idee / Meinung?

Was kann / soll ich tun??

[Der-Dodo]

Hi,

Was für ein Nas? Hören die Einträge auf wenn du das Nas vom Netz trennst?

Die IP scheint hierzu gehören: http://wwweb.eecs.umich.edu/fjgroup/

Wäre zumindest nicht das erste Mal das Hardware verseucht vom Hersteller kommt.

[hilton_lan]

Synology rs814+

Im Moment kann ich es nicht trennen, da es das Raid gerade repariert - wegen hdd Wechsel.

Die Ip habe ich auch gefunden und mich bei abuse@ beschwert.

Kommt das ernsthaft vor, dass die Platten verseucht verschickt werden.

Werde mal das nas trennen nach Reparatur und die hdd zurueck tauschen, falls es dann nicht weg ist. Andere Ideen?

[Der-Dodo]

Zieh doch das Netzwerkkabel raus. Das ist für die Raiderstellung ja irrelevant.
Edit: Oder nimm das Gateway raus.

Zum Thema verseuchter Hardware hier kurz ein Treffer bei Google:
http://www.t-online.de/computer/sicherh ... ticks.html

Gab aber diverse Fälle in letzter Zeit, nicht nur USB Sticks.

[hilton_lan]

Also es ist tatsächlich so wie befürchtet.

Trennung des NAS vom WAN macht keinen Unterschied, die Firewall lief zuletzt im 1-2 Minutentakt mit Intrusions vom NAS Richtung WAN voll.

Nachdem die Reparatur des RAIDs abgeschlossen war habe ich die RMA Platte von WD wieder gegen die originale kaputte getauscht und siehe da, keine Intrusions mehr.

[hilton_lan]

War zu schön um wahr zu sein. Ich hatte auch noch die Firewalleinstellungen im NAS geändert. Dadurch waren die ports 80 und 443 zu. Nachdem sie wieder offen waren, ging es wieder los...

[Hagen2000]

Ich würde nicht an eine "verseuchte" Festplatte glauben. Der RAID-Controller wird ja die Festplatte beim Spiegeln ohnehin komplett überschreiben mit den Daten der andere(n) Festplatte(n).
Eigentlich schauen die Pakete wie Antworten des HTTP-Servers des NAS aus, die aus irgendwelchen Gründen in der Firewall hängen bleiben. Offenbar versucht jemand von außen auf den Web-Server des NAS zuzugreifen.

Trennung des NAS vom WAN macht keinen Unterschied...

Wie ist das gemeint? Hängt das NAS direkt an der WAN-Schnittstelle und nicht im LAN? Oder gibt es ein Port-Forwarding?
Es wäre hilfreich, wenn Du eine genauere Beschreibung der Infrastruktur samt eingerichteter Forwarding-Regeln usw. hier beschreiben würdest.

[hilton_lan]

Hallo,

vielen Dank für Deine Antwort!

Ich bin inzwischen auch soweit zu glauben, dass es nicht die HDD war. Ja ich denke auch, dass es Antwort Pakete vom Webserver sind.

Also zur Infrastruktur:
- FTTH Glasfaser
- Lancom 1781ef+ Router
- TP Link Switch
- Synology RS814+ NAS

Das NAS ist in der DMZ und mit dem Lan Port für Webtraffic in einem eigenen VLAN.

Und genau, das NAS hängt nicht im WAN, sondern in der DMZ und kriegt die relevanten ports 80,433 usw per port forwarding vom Router. Wenn ich das forwarding ausstelle, dann hören die intrusions auf. Sobald ich es wieder anschalte geht's wieder los. Das NAS hat noch eine simple eigene Firewallfunktion im Sinne von welche Dienste dürfen durch und das über welche ports. Normal habe ich das alles auf Standard bzw. aus, da ja der Router die Firewall hat.

Könnte das neu aufsetzen des NAS etwas ändern? Könnte es vorstellbar sein, dass irgendein Schadscript im Mailserver oder im Zarafa hängt? Ich hatte auch Wordpress und Drupal drauf, aber deinstall hat es nicht geändert.