Apr 11, 2020, updated at 13:12:39 (UTC)

7891

Buffalo LS-Duo - admin Login geht nicht mehr

Hallo

ohne dass ich etwas geändert hätte, kann ich mich plötzlich nicht mehr mit Benutzer "admin" auf meiner LinkStation Duo anmelden.
Weder in der Web-GUI, wo man über den Browser das meiste einstellen kann, noch per FTP oder SMB.
Neustart änderte nichts.

Das gilt auch nur für den Benutzer "admin", das Passwort für Web-GUI, FTP und SMB ist dort das selbe.
Mit einem anderen Benutzer komme ich aber noch rein, also in die WebGUI, per SMB und auch FTP.
Per SSH komme ich auch noch rein, hier sogar als admin mit dem admin-Passwort.

Das Editieren des Benutzers "admin" ist im WebGUI nicht möglich, die Schaltfläche 'Benutzer bearbeiten' von admin ist deaktiviert, obwohl ich mit einem Benutzer aus der Admin-Gruppe angemeldet bin im WebGUI:

Die Admingruppe kann ich auch nicht bearbeiten:

Ich weiß aber nicht, ob das vielleicht nur als angemeldeter admin geht, kann ich ja nicht ausprobieren, weil ich mich als admin nicht anmelden kann.

Ich hatte natürlich sofort den Verdacht, dass der NAS gehackt wurde, aber netstat zeigt immerhin keine laufenden Verbindungen nach außen an.
Ich hatte in der FritzBox den Fernzugriff per WebGUI, FTP und SSH (immerhin auf anderen Ports) weitergeleitet, kann ich also nicht ausschließen, dass der NAS gehackt wurde und der Hacker das admin-Passwort geändert hat.

Wie kann ich das denn in der LS-Duo auf Kommandozeile ändern, das admin-Passwort, weiß das jemand?

Danke

franc

--

Buffalo LinkStation Duo: LS-WXL504 mit GaryT FW 1.69, also: 1.69-junwei (DTCP-IP:1.65-20130731) und 2 x 3 TB RAID1

PS.: habe die Frage jetzt anders zu geordnet, nicht Hardware: NAS u.a., sondern Sicherheit: Viren u. Trojaner

Please also mark the comments that contributed to the solution of the article

Content-Key: 564588

Url: https://administrator.de/contentid/564588

Printed on: April 19, 2024 at 05:04 o'clock

18 Comments

Latest comment

Nachtrag: der Verdacht mit dem Hacken verdichtet sich:
Heute nacht um 1:26 wurde allerdings die /etc/passwd geändert, das spricht leider doch stark für einen erfolgreichen Angriff, weil da hab ich tief geschlafen

Die /etc/passwd habe ich also gleich mal gesichert (passwd.bak) und per:

passwd admin

zurück gesetzt.
nmap zeigt mir zwei verdächtige offene Ports 8873 und 8888:

root@NAS:/etc# nmap localhost

Starting Nmap 5.35DC1 ( http://nmap.org ) at 2020-04-11 11:35 CEST
Nmap scan report for localhost (127.0.0.1)
Host is up (0.00013s latency).
rDNS record for 127.0.0.1: localhost.localdomain
Not shown: 990 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
80/tcp   open  http
139/tcp  open  netbios-ssn
443/tcp  open  https
445/tcp  open  microsoft-ds
548/tcp  open  afp
873/tcp  open  rsync
8873/tcp open  unknown
8888/tcp open  sun-answerbook

und dann:

root@NAS:/etc# fuser -n tcp 8873
8873/tcp:             2257
root@NAS:/etc# ps | grep 2257
 2257 root       3676 S   /usr/sbin/inetd
 6356 root       3420 S   grep 2257

und:

root@NAS:/etc# fuser -n tcp 8888
8888/tcp:             2283
root@NAS:/etc# ps | grep 2283
 2283 root      27244 S   /usr/bin/python /usr/local/sbin/BuffaloXMLRPCServer.pyc --skip-auth
 6902 root       3420 S   grep 2283

und sogleich dann:

kill 2257
kill 2283

Als admin angemeldet im WebGUI kann ich jetzt auch das admin Passwort ändern.
In der Fritzbox gleich auch die Portforwards geschlossen, das ist scheints ein Fehler!
Falls ich da von der Ferne drauf muss, kann ich immer noch VPN machen.

Im Syslog (messages) von heute nacht steht:

Apr 11 00:00:02 NAS syslogd 1.5.0: restart.
Apr 11 00:21:01 NAS ntpdate[5855]: step time server 192.53.103.108 offset 0.110284 sec
Apr 11 00:21:01 NAS linkstation: [Success] Sync to ntp server
Apr 11 01:22:29 NAS speedy_backend: pam_unix(login:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=  user=admin
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [obscure]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [min=4]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [max=20]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [obscure]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [min=4]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): unrecognized option [max=20]
Apr 11 01:26:00 NAS passwd[14586]: pam_unix(passwd:chauthtok): password changed for admin
Apr 11 01:26:00 NAS root[11813]: [Web] User admin parameter was changed 
Apr 11 01:26:00 NAS root[11813]: [Web] User_quota admin parameter was changed 
Apr 11 03:21:02 NAS ntpdate[22358]: step time server 192.53.103.108 offset 0.107921 sec
Apr 11 03:21:02 NAS linkstation: [Success] Sync to ntp server
Apr 11 03:38:43 NAS proftpd[1023]: 192.168.0.100 (196.52.43.130[196.52.43.130]) - FTP session opened. 
Apr 11 03:38:44 NAS proftpd[1023]: 192.168.0.100 (196.52.43.130[196.52.43.130]) - FTP session closed. 
Apr 11 04:05:01 NAS nmbd[3374]: [2020/04/11 04:05:01.756428,  0] nmbd/nmbd.c:128(nmbd_sig_hup_handler) 
Apr 11 04:05:01 NAS nmbd[3374]:   Got SIGHUP dumping debug info. 
Apr 11 04:05:01 NAS nmbd[3374]: [2020/04/11 04:05:01.764966,  0] nmbd/nmbd_workgroupdb.c:276(dump_workgroups) 
Apr 11 04:05:01 NAS nmbd[3374]:   dump_workgroups() 
Apr 11 04:05:01 NAS nmbd[3374]:    dump workgroup on subnet   192.168.0.100: netmask=  255.255.255.0: 
Apr 11 04:05:01 NAS nmbd[3374]:   ^IWORKGROUP(2) current master browser = FRITZ-NAS 
Apr 11 04:05:01 NAS nmbd[3374]:   ^IWILLI(1) current master browser = NAS 
Apr 11 04:05:01 NAS nmbd[3374]:   ^I^INAS 40049a03 (LinkStation) 

Jetzt muss ich noch irgendwie nach schlafenden oder halbschlafenden bösen Tools auf dem NAS suchen, also automatisch startende Programme und dergl.
Der offene 8888 Port mit:

/usr/bin/python /usr/local/sbin/BuffaloXMLRPCServer.pyc --skip-auth

ist verdächtig, das wurde schon einst mal von einem Buffalo-Experten bemerkt:
BuffaloXMLRPCServer.pyc
https://web.archive.org/web/20121109100124/http://forum.nas-hilfe.de/buf ...

Hallo franc,

Du solltest auch nach Dateien suchen die :
a) Zuletzt geändert wurden
b) Deren Permissions geändert wurden.

Auch das Durchsuchen der Lastlog Dateien sowie wtmp , btmp etc. macht Sinn.

Beste Gruesse

Danke, werde ich noch machen.
Ausgehend vom Datum 11.04.2020 um 1:26 Uhr hatte ich auch schon ein paar Ordner durchsucht (mit ls -alt oder -altr)

Ich habe möglicherweise Glück gehabt, dass ich zeitgleich (und ausnahmsweise) einen JDownload2 Download Auftrag laufen habe, der seit ein paar Tagen (und auch zum kritischen Zeitpunkt) immer wieder alle paar Stunden einen Reconnect durchführt und dem Router die Internetverbindung unterbricht für eine neue IP. Das könnte nützlich gewesen sein, also dass dem Angreifer die Verbindung unterbrochen wurde, hoffentlich vor Installation eines entsprechenden Angrifftools...

Hallo,

in der Regel erstellen die Angreifer einen neuen User da Sie wissen das rootpw geaendert wird nachdem der Angriff erkannt wurde.
Ich nutze bei meinen Linuxservern audit, das verhindert zwar nicht den Angriff , dokumentiert aber alle Dateienaenderungen.

Gruss

@franc

Guten Morgen

Ich hab einmal ein wenig recherchiert, deine Firmware
GaryT FW 1.69, also: 1.69-junwei
https://gadgets.tomatosoft.hu/buffalo-plex-firmware-1-69-junwei-released ...

Stammt aus dem Jahre 2014 und ist somit 6 Jahre alt... und deine Einstellungen sind ja nicht schlecht "WebGUI, FTP und SSH (immerhin auf anderen Ports)" Das Passwort wird auch 16 Zeichen oder mehr gehabt haben inkl. Sz. was ein knacken mit BF in die Jahre zieht ( 139 Billionen Jahren)
Somit könnt es nicht sein das da im System eine Sicherheitslücke schlummert, die nicht gepatscht ist?

Gruss Toby

Doch das ist gut möglich, dass das System einen Schwachpunkt hat

Ich habe erst mal in /etc nach der genauen Uhrzeit gesucht:

cd /etc
ls -alR | grep "Apr 11 01:26"  

das ergibt nichts, aber in var finde ich eine CGI-Session:

cd /var
root@NAS:/var# ls -alR | grep "Apr 11 01:26" 
-rw-r-----  1 root root   243 Apr 11 01:26 cgisess_c61f7878e4815ab728de116eddd52543
root@NAS:/var# find . -name 'cgisess_c61*' 
./session/cgisess_c61f7878e4815ab728de116eddd52543

Also angeschaut:

root@NAS:/var# less session/cgisess_c61f7878e4815ab728de116eddd52543

und da steht drin:

$D = {'_SESSION_ETIME' => 600,'_SESSION_ID' => 'c61f7878e4815ab728de116eddd52543','_SESSION_ATIME' => 1586561179,'rid' => '594741030497812784','_SESSION_REMOTE_ADDR' => '101.165.119.40','username' => 'guest','_SESSION_CTIME' => 1586561069};;$D  
cgisess_c61f7878e4815ab728de116eddd52543 (END)

Also war der Angriff von 101.165.119.40 und scheints hat das (gar nicht aktivierte) guest Konto ein Problem

Mir ist noch nicht klar, über welchen Port das rein kam, also welcher der Portforwardings und dann eben welcher betreffende Dienst jetzt konkret schuld war...
Kommt offenbar Australien, die IP. Kurz davor auch schon eine Session aus Tralien (217.138.205.200) auch guest.

Hallo ,

ich hatte gerade gesehen das bei dem nmap scan der port 22 als offen steht.
Du sagtest doch das Du den auf einen anderen Port gelegt hast ?

Oder hast Du das ueber den Router geloest ?

Bei Deinem Suchergebnis sehen wir auch das das eine Rootsession war.
Du hast bestimmt das root pw geaendert ?

Gruss

Zitat von @Alchimedes:

Hallo ,

ich hatte gerade gesehen das bei dem nmap scan der port 22 als offen steht.
Du sagtest doch das Du den auf einen anderen Port gelegt hast ?

Oder hast Du das ueber den Router geloest ?

Ja, das mache ich immer so: von außen auf einem anderen Port, aber intern dann auf den originalen Port (also 22).

Bei Deinem Suchergebnis sehen wir auch das das eine Rootsession war.
Du hast bestimmt das root pw geaendert ?

Nein. Der Angreifer hatte ja das Passwort nicht, sondern nur geändert. Das hat er wohl mit dem Buffalo Tool erreicht (acp_commander.jar).
Ich lasse fürderhin alle Portforwardings deaktiviert, ich denke das reicht.

Zitat von @franc:
Ich lasse fürderhin alle Portforwardings deaktiviert, ich denke das reicht.

Nja aus irgend einem Grund wirst du ja dein NAS ins WAN ( Internet) durchgereicht haben. Das würde ich sicherlich unterbinden, so das von aussen niemand mehr drauf zugreifen kann. Evtl ist für die VPN eine Option.

Weiter würde ich mir einmal Gedanken machen um evtl. ein Neus NAS fällig sein könnte?

Zitat von @Toby-ch:
...
Nja aus irgend einem Grund wirst du ja dein NAS ins WAN ( Internet) durchgereicht haben. Das würde ich sicherlich unterbinden, so das von aussen niemand mehr drauf zugreifen kann. Evtl ist für die VPN eine Option.

Ich dachte ich könnte das Nutzen, wenn ich mal woanders bin, um meine Bildergalerien anderen zu zeigen bei Bedarf.
Allerdings habe ich es in Jahren so gut wie nie gemacht. Mittlerweile gibt es sowieso Google Foto, wo man auch alles aus der Vergangenheit ansehen kann.
VPN habe ich auch, über die Fritzbox, das werde ich zukünftig einfach nutzen, falls ich es wirklich mal brauche.

Weiter würde ich mir einmal Gedanken machen um evtl. ein Neus NAS fällig sein könnte?

Hatte ich neulich tatsächlich erwogen, aber so ein neuer NAS (ich dachte da an einen Synology NAS) kostet gut 300.- ohne Platten!
Der Buffalo geht aber eigentlich zuverlässig, gibt also letztlich keinen rechten Grund für ein neues System.

Zitat von @franc:
Hatte ich neulich tatsächlich erwogen, aber so ein neuer NAS (ich dachte da an einen Synology NAS) kostet gut 300.- ohne Platten!
Der Buffalo geht aber eigentlich zuverlässig, gibt also letztlich keinen rechten Grund für ein neues System.

Nja Wie alt ist das Nas ich denke so nach 5 - 6 Jahren ist das Ganze amortisiert.. Klar für eine Synology mit einer Intel CPU die auch ein Bisschen Power hat sind 800 - 1000€ fällig ohne Platten..
Alternative einen Eigenbau obwohl mir da spontan keine Software einfällt die an den Komfort des DSM ran kommt.
Gerade die Vorteil bei einer Synology ist der integrierte DNS (Synology ID) So ist deine DS über die Synology DNS erreichbar ohne das Ports durchkriecht werden müssen, und für dein Fotos:
https://www.synology.com/de-de/dsm/feature/moments

Ps Ich bin kein Mitarbeiter von Synology Ich finde die Produkte einfach gut.. Das selbe gibt es sicherlich auch von Qnap...

Ja, ich finde Synology auch gut! Ich habe vor vielen Jahren mal eine DS verbaut und seitdem ist das mein Standard für Büro-NAS.
Meine Buffalo LS war noch davor, ist über 10 Jahre alt und technisch völlig überholt. Aber es genügt eigentlich. Zuverlässig und stabil.

Ich hatte davor auch eine Weile an ein NAS im Eigenbau mit einem Rasp 4 gedacht, aber das hat mir letztlich wg. des fehlenden SATA nicht so gefallen.
Ich hatte mir dann schließlich 2 neue 2TB Platten gekauft und aus dem davor 2x500GB RAID0 (mit 1TB Speicher) ein 2x2TB RAID1 gemacht (mit 2 TB Speicher).

Den integrierte DNS von Synology hatte ich übrigens nie recht im Einsatz. Mittlerweile nutze ich es aber für eine DS, die über Kabel-Internet nur IPv6 hat, das funktioniert dann nur über den QuickConnect, das geht zuverlässig bisher.
Aber es gibt ja den DNS von FritzBox, den nutze ich häufig, darüber mache ich auch VPN.

Hallo Franc,
bin beim Googeln auf dein Problem mit dem nicht mehr funktionierenden AdminPW bei der Buffalo Linkstation gestoßen und vermute nun das gleiche Problem bei mir.
Deshalb habe ich mich hier angemeldet und kontaktiere dich.
Bin leider kein so ein Profi, wie ihr alle hier und scheitere bereits beim Zugriff auf den Betriebssystembereich der NAS. Habe das schon mal mit dem APC Commander gemacht, aber der findet das NAS nicht, ebenso wie der Buffalo NAS- Navigator. Ich kann aber über die noch bestehenden Netzlaufwerkverbindungen problemlos auf den gesamten Speicherbereich zugreifen - nur an den Admin komme ich nicht mehr ran. Wie bist du denn zu deinem etc/pw-file gekommen, um das veränderte Dateidatum zu checken?
Würde mich über eine Hilfestellung sehr freuen. Danke schon mal vorab.
LG Uwe

Hast du denn root Zugriff überhaupt?
Hast du die LS denn schon mal neu gestartet?

Danke Franc für die schnelle Rückmeltung. Ja root Zugriff hab ich. Neustart hab ich mich erstmal zurückgehalten, bin noch beim Sichern der Daten, da komme ich ja noch ran. Sollte in etwa 1 h erledigt sein.
Kommandozeile konnte ich in jungen Jahren mal ein paar Kommandos unter Windows. Linux leider nix.
Vielleicht kannst mir mal die drei Zeilen schicken, die mich zum Datum der Passwortdatei bringen.
Was nach nem Neustart passiert weiss ja keiner. Da wäre ich super beruhigt, wenn das Datum nicht aus den letzten Wochen wäre.
Vielleicht können wir auch mal kurz telefonieren?
Nochmal Tausend Dank
LG Uwe

Hallo Franc,
alles wieder OK. Hatte mich zwischenzeitlich mit ein paar Kommandos vertraut gemacht und gesehen, dass die passend Datei vom Mai 2000 ist... und war beruhigt. Hab dann das NAS neu gestartet und alles war wieder bestens.
Sorry für den Trubel und nochmal Danke für die schnelle Antwort.
Meine leistungsfähigen Zeiten in der Hit liegen schon ne Weile zurück, bin jetzt 67, und die letzten Jahre waren ich ziemlich weit weg von der Kommandozeile.
Achja eine Frage hab ich dann doch noch.
Bin gestern über mein Problem gestolpert, weil ich was für einen Bekannten nachschauen wollte, der die gleiche Linkstation hat (LS-WXL4.0TL/R1). Bei ihm blinkt es nur noch 6x rot beim Hochfahren. Lt. Manual... an den Support wenden... da kann man sich aber ohne Kaufbeleg nicht mal mehr registrieren.
Fällt dir dazu was ein?
Danke, Uwe

Das ist ja gut, dass es wieder geht

Ja, Neustart hilft oft.

Nein, keine Ahnung was dieser Blink Code heißt.
Vielleicht findet man das irgendwo, was das genau heißt...
Die Festplatten sind es nicht?
Ansonsten kann ja wenig kaputt gehen glaube ich.

Ich empfehle dir noch, deine Telefonnummer hier raus zu nehmen, das kann ja jeder lesen, da wäre ich vorsichtig.
Wobei du bei mir keine Angst haben musst, ich telefoniere nicht so gerne ;)

Danke für den Hinweis mit der Telefonnummer - ist raus - da du ja ohnehin nicht gern telefonierst

Was das Blinken betrifft, ist auch geklärt, hab den Support ohne Kaufbeleg erreicht. Da hilft nur Firmware-Wiederherstellung. Hab ein Anleitung für den Vorgang erhalten. Schau'n wir mal.
Nochmal Danke und Tschüss
Uwe

German Question Viruses, Trojans Security

Hotly discussed

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 1 Comment

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment