psychofaktory Posted October 5, 2021 Share Posted October 5, 2021 (edited) Über die Ansicht der aktiven Prozesse ist mir aufgefallen, dass Unraid permanent versucht irgendwelche externen IP-Adressen nach Port 445 (SMB) abzuscannen: Wie kann ich den Verursacher für dieses unerwünschte Verhalten ausfindig machen? Edited October 5, 2021 by psychofaktory Quote Link to comment
ich777 Posted October 6, 2021 Share Posted October 6, 2021 11 hours ago, psychofaktory said: Über die Ansicht der aktiven Prozesse ist mir aufgefallen, dass Unraid permanent versucht irgendwelche externen IP-Adressen nach Port 445 (SMB) abzuscannen: Kannst du bitte ein wenig mehr informationen preis geben (unRAID version usw), evtl auch deine Diagnostics? Quote Link to comment
psychofaktory Posted October 6, 2021 Author Share Posted October 6, 2021 Unraid ist Version 6.9.2 2021-04-07. Alle Komponenten sind auf dem aktuellen Stand. Die Diagnostics habe ich mit angehängt. Habe Unraid inzwischen neu gestartet (lief zuvor seit 52 Tagen an Stück). Seitdem sind keine Anfragen mehr aufgetreten. Wäre es möglich dass ein Plugin eine Fehlfunktion hatte und die Portscans nur ein unerwünschter Nebeneffekt waren? Vor einiger Zeit hatte ich eine SMB-Freigabe mit dem Unassigned Devices Plugin eingebunden und später wieder getrennt. Ich habe so einen Verdacht dass es hier einen Zusammenhang geben könnte. adl15-srv01-diagnostics-20211006-0818.zip Quote Link to comment
mgutt Posted October 6, 2021 Share Posted October 6, 2021 Da der Prozess mit "bash" anfängt, sollte es wohl ein Script sein, dass das Kommando ausführt. Ich hätte jetzt mal den Stick (/boot) und das User-Verzeichnis (/usr) nach /dev/tcp durchsucht: https://stackoverflow.com/a/16957078/318765 Quote Link to comment
psychofaktory Posted October 6, 2021 Author Share Posted October 6, 2021 Hier das Ergebnis der Suche: root@ADL15-SRV01:~# grep -rnw '/boot/' -e '/dev/tcp' root@ADL15-SRV01:~# grep -rnw '/usr/' -e '/dev/tcp' /usr/local/emhttp/plugins/unassigned.devices/scripts/port_ping.sh:21: timeout -s 5 $timeout bash -c "(echo >/dev/tcp/${ip}/${port}) &>/dev/null && echo $ip" 2>/dev/null & /usr/local/emhttp/plugins/ca.backup2/scripts/backup.php:300: exec("echo test 2>/dev/null > /dev/tcp/$containerIP/$containerPort",$output,$error); Scheint tatsächlich von dem unassigned.devices-Plugin zu kommen. Aber warum macht es das? Quote Link to comment
mgutt Posted October 6, 2021 Share Posted October 6, 2021 Frag den Entwickler in seinem Support Thread (und sag bescheid was rausgekommen ist). Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.