franc
Goto Top

Buffalo LS-Duo - admin Login geht nicht mehr

Hallo

ohne dass ich etwas geändert hätte, kann ich mich plötzlich nicht mehr mit Benutzer "admin" auf meiner LinkStation Duo anmelden.
Weder in der Web-GUI, wo man über den Browser das meiste einstellen kann, noch per FTP oder SMB.
Neustart änderte nichts.

Das gilt auch nur für den Benutzer "admin", das Passwort für Web-GUI, FTP und SMB ist dort das selbe.
Mit einem anderen Benutzer komme ich aber noch rein, also in die WebGUI, per SMB und auch FTP.
Per SSH komme ich auch noch rein, hier sogar als admin mit dem admin-Passwort.

Das Editieren des Benutzers "admin" ist im WebGUI nicht möglich, die Schaltfläche 'Benutzer bearbeiten' von admin ist deaktiviert, obwohl ich mit einem Benutzer aus der Admin-Gruppe angemeldet bin im WebGUI:
graphic_11_04_2020 11_03_06
Die Admingruppe kann ich auch nicht bearbeiten:
graphic_11_04_2020 11_14_36
Ich weiß aber nicht, ob das vielleicht nur als angemeldeter admin geht, kann ich ja nicht ausprobieren, weil ich mich als admin nicht anmelden kann.

Ich hatte natürlich sofort den Verdacht, dass der NAS gehackt wurde, aber netstat zeigt immerhin keine laufenden Verbindungen nach außen an.
Ich hatte in der FritzBox den Fernzugriff per WebGUI, FTP und SSH (immerhin auf anderen Ports) weitergeleitet, kann ich also nicht ausschließen, dass der NAS gehackt wurde und der Hacker das admin-Passwort geändert hat.

Wie kann ich das denn in der LS-Duo auf Kommandozeile ändern, das admin-Passwort, weiß das jemand?

Danke

franc


--

Buffalo LinkStation Duo: LS-WXL504 mit GaryT FW 1.69, also: 1.69-junwei (DTCP-IP:1.65-20130731) und 2 x 3 TB RAID1

PS.: habe die Frage jetzt anders zu geordnet, nicht Hardware: NAS u.a., sondern Sicherheit: Viren u. Trojaner

Content-Key: 564588

Url: https://administrator.de/contentid/564588

Printed on: December 4, 2022 at 13:12 o'clock

Member: franc
franc Apr 11, 2020, updated at Apr 16, 2020 at 12:18:03 (UTC)
Goto Top
Nachtrag: der Verdacht mit dem Hacken verdichtet sich:
Heute nacht um 1:26 wurde allerdings die /etc/passwd geändert, das spricht leider doch stark für einen erfolgreichen Angriff, weil da hab ich tief geschlafen ace-sad"
Die /etc/passwd habe ich also gleich mal gesichert (passwd.bak) und per:
zurück gesetzt.
nmap zeigt mir zwei verdächtige offene Ports 8873 und 8888:

und dann:
und:
und sogleich dann:
Als admin angemeldet im WebGUI kann ich jetzt auch das admin Passwort ändern.
In der Fritzbox gleich auch die Portforwards geschlossen, das ist scheints ein Fehler!
Falls ich da von der Ferne drauf muss, kann ich immer noch VPN machen.

Im Syslog (messages) von heute nacht steht:

Jetzt muss ich noch irgendwie nach schlafenden oder halbschlafenden bösen Tools auf dem NAS suchen, also automatisch startende Programme und dergl.
Der offene 8888 Port mit:
ist verdächtig, das wurde schon einst mal von einem Buffalo-Experten bemerkt:
BuffaloXMLRPCServer.pyc
https://web.archive.org/web/20121109100124/http://forum.nas-hilfe.de/buf ...
Member: Alchimedes
Alchimedes Apr 12, 2020 at 15:12:11 (UTC)
Goto Top
Hallo franc,

Du solltest auch nach Dateien suchen die :
a) Zuletzt geändert wurden
b) Deren Permissions geändert wurden.

Auch das Durchsuchen der Lastlog Dateien sowie wtmp , btmp etc. macht Sinn.

Beste Gruesse
Member: franc
franc Apr 12, 2020 at 15:37:04 (UTC)
Goto Top
Danke, werde ich noch machen.
Ausgehend vom Datum 11.04.2020 um 1:26 Uhr hatte ich auch schon ein paar Ordner durchsucht (mit ls -alt oder -altr)

Ich habe möglicherweise Glück gehabt, dass ich zeitgleich (und ausnahmsweise) einen JDownload2 Download Auftrag laufen habe, der seit ein paar Tagen (und auch zum kritischen Zeitpunkt) immer wieder alle paar Stunden einen Reconnect durchführt und dem Router die Internetverbindung unterbricht für eine neue IP. Das könnte nützlich gewesen sein, also dass dem Angreifer die Verbindung unterbrochen wurde, hoffentlich vor Installation eines entsprechenden Angrifftools...
Member: Alchimedes
Alchimedes Apr 12, 2020 updated at 15:56:52 (UTC)
Goto Top
Hallo,

in der Regel erstellen die Angreifer einen neuen User da Sie wissen das rootpw geaendert wird nachdem der Angriff erkannt wurde.
Ich nutze bei meinen Linuxservern audit, das verhindert zwar nicht den Angriff , dokumentiert aber alle Dateienaenderungen.

Gruss
Member: Toby-ch
Toby-ch Apr 13, 2020 at 07:56:50 (UTC)
Goto Top
@franc

Guten Morgen

Ich hab einmal ein wenig recherchiert, deine Firmware
GaryT FW 1.69, also: 1.69-junwei
https://gadgets.tomatosoft.hu/buffalo-plex-firmware-1-69-junwei-released ...

Stammt aus dem Jahre 2014 und ist somit 6 Jahre alt... und deine Einstellungen sind ja nicht schlecht "WebGUI, FTP und SSH (immerhin auf anderen Ports)" Das Passwort wird auch 16 Zeichen oder mehr gehabt haben inkl. Sz. was ein knacken mit BF in die Jahre zieht ( 139 Billionen Jahren)
Somit könnt es nicht sein das da im System eine Sicherheitslücke schlummert, die nicht gepatscht ist?

Gruss Toby
Member: franc
franc Apr 14, 2020 updated at 11:58:16 (UTC)
Goto Top
Doch das ist gut möglich, dass das System einen Schwachpunkt hat ace-sad"

Ich habe erst mal in /etc nach der genauen Uhrzeit gesucht:

das ergibt nichts, aber in var finde ich eine CGI-Session:
Also angeschaut:
und da steht drin:
Also war der Angriff von 101.165.119.40 und scheints hat das (gar nicht aktivierte) guest Konto ein Problem ace-sad"
Mir ist noch nicht klar, über welchen Port das rein kam, also welcher der Portforwardings und dann eben welcher betreffende Dienst jetzt konkret schuld war...
Kommt offenbar Australien, die IP. Kurz davor auch schon eine Session aus Tralien (217.138.205.200) auch guest.
Member: Alchimedes
Alchimedes Apr 17, 2020 at 13:03:48 (UTC)
Goto Top
Hallo ,

ich hatte gerade gesehen das bei dem nmap scan der port 22 als offen steht.
Du sagtest doch das Du den auf einen anderen Port gelegt hast ?

Oder hast Du das ueber den Router geloest ?

Bei Deinem Suchergebnis sehen wir auch das das eine Rootsession war.
Du hast bestimmt das root pw geaendert ?

Gruss
Member: franc
franc Apr 20, 2020 updated at 17:09:26 (UTC)
Goto Top
Zitat von @Alchimedes:

Hallo ,

ich hatte gerade gesehen das bei dem nmap scan der port 22 als offen steht.
Du sagtest doch das Du den auf einen anderen Port gelegt hast ?

Oder hast Du das ueber den Router geloest ?

Ja, das mache ich immer so: von außen auf einem anderen Port, aber intern dann auf den originalen Port (also 22).

Bei Deinem Suchergebnis sehen wir auch das das eine Rootsession war.
Du hast bestimmt das root pw geaendert ?

Nein. Der Angreifer hatte ja das Passwort nicht, sondern nur geändert. Das hat er wohl mit dem Buffalo Tool erreicht (acp_commander.jar).
Ich lasse fürderhin alle Portforwardings deaktiviert, ich denke das reicht.
Member: Toby-ch
Toby-ch Apr 22, 2020 at 19:45:23 (UTC)
Goto Top
Zitat von @franc:
Ich lasse fürderhin alle Portforwardings deaktiviert, ich denke das reicht.

Nja aus irgend einem Grund wirst du ja dein NAS ins WAN ( Internet) durchgereicht haben. Das würde ich sicherlich unterbinden, so das von aussen niemand mehr drauf zugreifen kann. Evtl ist für die VPN eine Option.

Weiter würde ich mir einmal Gedanken machen um evtl. ein Neus NAS fällig sein könnte?
Member: franc
franc Apr 26, 2020 at 11:38:56 (UTC)
Goto Top
Zitat von @Toby-ch:
...
Nja aus irgend einem Grund wirst du ja dein NAS ins WAN ( Internet) durchgereicht haben. Das würde ich sicherlich unterbinden, so das von aussen niemand mehr drauf zugreifen kann. Evtl ist für die VPN eine Option.

Ich dachte ich könnte das Nutzen, wenn ich mal woanders bin, um meine Bildergalerien anderen zu zeigen bei Bedarf.
Allerdings habe ich es in Jahren so gut wie nie gemacht. Mittlerweile gibt es sowieso Google Foto, wo man auch alles aus der Vergangenheit ansehen kann.
VPN habe ich auch, über die Fritzbox, das werde ich zukünftig einfach nutzen, falls ich es wirklich mal brauche.


Weiter würde ich mir einmal Gedanken machen um evtl. ein Neus NAS fällig sein könnte?
Hatte ich neulich tatsächlich erwogen, aber so ein neuer NAS (ich dachte da an einen Synology NAS) kostet gut 300.- ohne Platten!
Der Buffalo geht aber eigentlich zuverlässig, gibt also letztlich keinen rechten Grund für ein neues System.
Member: Toby-ch
Toby-ch Apr 26, 2020 at 20:38:12 (UTC)
Goto Top
Zitat von @franc:
Hatte ich neulich tatsächlich erwogen, aber so ein neuer NAS (ich dachte da an einen Synology NAS) kostet gut 300.- ohne Platten!
Der Buffalo geht aber eigentlich zuverlässig, gibt also letztlich keinen rechten Grund für ein neues System.

Nja Wie alt ist das Nas ich denke so nach 5 - 6 Jahren ist das Ganze amortisiert.. Klar für eine Synology mit einer Intel CPU die auch ein Bisschen Power hat sind 800 - 1000€ fällig ohne Platten..
Alternative einen Eigenbau obwohl mir da spontan keine Software einfällt die an den Komfort des DSM ran kommt.
Gerade die Vorteil bei einer Synology ist der integrierte DNS (Synology ID) So ist deine DS über die Synology DNS erreichbar ohne das Ports durchkriecht werden müssen, und für dein Fotos:
https://www.synology.com/de-de/dsm/feature/moments

Ps Ich bin kein Mitarbeiter von Synology Ich finde die Produkte einfach gut.. Das selbe gibt es sicherlich auch von Qnap...
Member: franc
franc Apr 27, 2020 at 05:26:14 (UTC)
Goto Top
Ja, ich finde Synology auch gut! Ich habe vor vielen Jahren mal eine DS verbaut und seitdem ist das mein Standard für Büro-NAS.
Meine Buffalo LS war noch davor, ist über 10 Jahre alt und technisch völlig überholt. Aber es genügt eigentlich. Zuverlässig und stabil.

Ich hatte davor auch eine Weile an ein NAS im Eigenbau mit einem Rasp 4 gedacht, aber das hat mir letztlich wg. des fehlenden SATA nicht so gefallen.
Ich hatte mir dann schließlich 2 neue 2TB Platten gekauft und aus dem davor 2x500GB RAID0 (mit 1TB Speicher) ein 2x2TB RAID1 gemacht (mit 2 TB Speicher).

Den integrierte DNS von Synology hatte ich übrigens nie recht im Einsatz. Mittlerweile nutze ich es aber für eine DS, die über Kabel-Internet nur IPv6 hat, das funktioniert dann nur über den QuickConnect, das geht zuverlässig bisher.
Aber es gibt ja den DNS von FritzBox, den nutze ich häufig, darüber mache ich auch VPN.
Member: westerhever
westerhever May 31, 2021 at 08:22:20 (UTC)
Goto Top
Hallo Franc,
bin beim Googeln auf dein Problem mit dem nicht mehr funktionierenden AdminPW bei der Buffalo Linkstation gestoßen und vermute nun das gleiche Problem bei mir.
Deshalb habe ich mich hier angemeldet und kontaktiere dich.
Bin leider kein so ein Profi, wie ihr alle hier und scheitere bereits beim Zugriff auf den Betriebssystembereich der NAS. Habe das schon mal mit dem APC Commander gemacht, aber der findet das NAS nicht, ebenso wie der Buffalo NAS- Navigator. Ich kann aber über die noch bestehenden Netzlaufwerkverbindungen problemlos auf den gesamten Speicherbereich zugreifen - nur an den Admin komme ich nicht mehr ran. Wie bist du denn zu deinem etc/pw-file gekommen, um das veränderte Dateidatum zu checken?
Würde mich über eine Hilfestellung sehr freuen. Danke schon mal vorab.
LG Uwe
Member: franc
franc May 31, 2021 at 09:40:02 (UTC)
Goto Top
Hast du denn root Zugriff überhaupt?
Hast du die LS denn schon mal neu gestartet?
Member: westerhever
westerhever May 31, 2021 updated at 14:29:55 (UTC)
Goto Top
Danke Franc für die schnelle Rückmeltung. Ja root Zugriff hab ich. Neustart hab ich mich erstmal zurückgehalten, bin noch beim Sichern der Daten, da komme ich ja noch ran. Sollte in etwa 1 h erledigt sein.
Kommandozeile konnte ich in jungen Jahren mal ein paar Kommandos unter Windows. Linux leider nix.
Vielleicht kannst mir mal die drei Zeilen schicken, die mich zum Datum der Passwortdatei bringen.
Was nach nem Neustart passiert weiss ja keiner. Da wäre ich super beruhigt, wenn das Datum nicht aus den letzten Wochen wäre.
Vielleicht können wir auch mal kurz telefonieren?
Nochmal Tausend Dank
LG Uwe
Member: westerhever
westerhever May 31, 2021 at 11:42:30 (UTC)
Goto Top
Hallo Franc,
alles wieder OK. Hatte mich zwischenzeitlich mit ein paar Kommandos vertraut gemacht und gesehen, dass die passend Datei vom Mai 2000 ist... und war beruhigt. Hab dann das NAS neu gestartet und alles war wieder bestens.
Sorry für den Trubel und nochmal Danke für die schnelle Antwort.
Meine leistungsfähigen Zeiten in der Hit liegen schon ne Weile zurück, bin jetzt 67, und die letzten Jahre waren ich ziemlich weit weg von der Kommandozeile.
Achja eine Frage hab ich dann doch noch.
Bin gestern über mein Problem gestolpert, weil ich was für einen Bekannten nachschauen wollte, der die gleiche Linkstation hat (LS-WXL4.0TL/R1). Bei ihm blinkt es nur noch 6x rot beim Hochfahren. Lt. Manual... an den Support wenden... da kann man sich aber ohne Kaufbeleg nicht mal mehr registrieren.
Fällt dir dazu was ein?
Danke, Uwe
Member: franc
franc May 31, 2021 at 14:22:01 (UTC)
Goto Top
Das ist ja gut, dass es wieder geht face-smile
Ja, Neustart hilft oft.


Nein, keine Ahnung was dieser Blink Code heißt.
Vielleicht findet man das irgendwo, was das genau heißt...
Die Festplatten sind es nicht?
Ansonsten kann ja wenig kaputt gehen glaube ich.

Ich empfehle dir noch, deine Telefonnummer hier raus zu nehmen, das kann ja jeder lesen, da wäre ich vorsichtig.
Wobei du bei mir keine Angst haben musst, ich telefoniere nicht so gerne ;)
Member: westerhever
westerhever May 31, 2021 at 14:34:27 (UTC)
Goto Top
Danke für den Hinweis mit der Telefonnummer - ist raus - da du ja ohnehin nicht gern telefonierst face-smile
Was das Blinken betrifft, ist auch geklärt, hab den Support ohne Kaufbeleg erreicht. Da hilft nur Firmware-Wiederherstellung. Hab ein Anleitung für den Vorgang erhalten. Schau'n wir mal.
Nochmal Danke und Tschüss
Uwe