Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 3 subscribers
  • Views 384775 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

QNAP NAS triggering C2/Generic-A

MarCow
Hi,

I have a QNAP NAS device on my network, and over the last couple of months (possibly since the upgrade to UTM 9.2 although I'm not 100% sure of that correlation) I've been getting intermittent C2/Generic-A notifications from the UTM Advanced Threat Protection service with the QNAP as the source IP.  The destination IP associated with this warning is 95.211.192.195, which a reverse lookup shows as lw45.ua-hosting.com.ua (apparently a Ukrainian web hosting company).

For now I'm just ignoring these warnings and letting the UTM drop this traffic, but I was curious if anyone else has seen this since QNAP devices are quite popular, and whether there really is something fishy going on here.  I'll also ask QNAP support the same question to see if there's a legitimate purpose for accessing this IP.

Thanks!
Martin.


This thread was automatically locked due to age.
Parents
  • 0
    Dwalin - thanks for posting your log excerpt - certainly appears to be the exact same warning and destination IP I'm seeing.  I'm not really sure how best to check my QNAP for malware, but I ran a full antivirus/malware scan and it turned up nothing.  That scan may just be checking files stored on the NAS, as opposed to checking the system itself.  For now I'm just turned the QNAP off and am using other means to back up - I expect I may wipe the whole thing and either start from scratch or list it on eBay!
Reply
  • 0
    Dwalin - thanks for posting your log excerpt - certainly appears to be the exact same warning and destination IP I'm seeing.  I'm not really sure how best to check my QNAP for malware, but I ran a full antivirus/malware scan and it turned up nothing.  That scan may just be checking files stored on the NAS, as opposed to checking the system itself.  For now I'm just turned the QNAP off and am using other means to back up - I expect I may wipe the whole thing and either start from scratch or list it on eBay!
Children
  • 0 in reply to MarCow
    Dwalin - thanks for posting your log excerpt - certainly appears to be the exact same warning and destination IP I'm seeing.  I'm not really sure how best to check my QNAP for malware, but I ran a full antivirus/malware scan and it turned up nothing.  That scan may just be checking files stored on the NAS, as opposed to checking the system itself.  For now I'm just turned the QNAP off and am using other means to back up - I expect I may wipe the whole thing and either start from scratch or list it on eBay!


    how about contacting QNAP support?
    are the QNAP boxes running the latest firmware?(did you check?).

    there's no need to "throw" them, you can also try a factory reset/recovery that reinstall the entire FW(connected to the above, make sure you are in fact running the latest version) and also that you have all "useless" services disabled(if you're only using SMB, disable all other protocols), that should reduce your attack surface
Unfiltered HTML