Hilfe! Div. unbekannte Loginversuche!

Techniker · 6. Oktober 2011

Hallo zusammen,

ich habe in letzter Zeit in meinem Systemprotokoll beobachtet, dass sich unbekannte Benutzer auf meinem QNAP TS410 einloggen wollten. Es steht zwar immer daneben "Login Fail" aber das beunruhigt mich doch sehr stark vorallem da es hunderte Loginversuche gibt:

2011-10-05 32140 22:25:21 sysadmin 114.80.208.12 localhost FTP --- Login Fail
2011-10-05 32139 22:25:20 sysadmin 114.80.208.12 localhost FTP --- Login Fail
2011-10-05 32138 22:25:19 sysadmin 114.80.208.12 localhost FTP --- Login Fail
2011-10-05 32137 22:25:19 sysadmin 114.80.208.12 localhost FTP --- Login Fail

Der User wechselt dabei ständig (access, spam, backup, usw).

Was kann das sein? Sind das automatisierte Programme, die nach einer Schwachstelle in meinem TS suchen?

Vielen Dank für eure Hilfe.

Grüße Techniker

jody · 6. Oktober 2011

Hallöle,

also ich vermute mal, dass Du Deine NASe zum Internet hin verfügbar gemacht hast und eine entsprechende Portweiterleitung eingerichtet hast.
Wenn es so ist, bist Du regelmäßig Zeuge von Einbruchsversuchen in Dein NAS.
In der Sicherheits-FAQ und in der Netzwerk-FAQ findest Du hilfreiches, was Du unternehmen kannst.

Mein ultimativer Tip ist jedoch:
Zugriffe vom Internet generell verbieten und dicht machen (Firewall / Portforwarding aus)
Wenns wirklich wichtig ist: VPN

Grüße
Jody

Techniker · 10. Oktober 2011

Hallo Jody,

ja, ich habe mein NAS am Inet hängen damit ich von unterwegs aus auf alle Daten zugreifen kann. Das ist mir auch wichtig.

Bis jetzt konnte sich noch niemand einloggen (zum Glück) da nur Standart User verwendet wurden. Ich habe keine Standtart User und PW verwendet. Deshalb sollte das recht sicher sein denke ich.
Mein weiteres Vorgehen:
1: ich ändere die verwendeten Ports in zufällige Ports ab (kein Port 21 für FTP usw.)
2: in jeden User Namen kommen Zahlen + Sonderzeichen
3: ich aktiviere die Netzwerkzugangsverbindung. Sobald sich jemand möffters als 10 mal erfolglos angemeldet hat wird dieser für 1 Tag gesperrt. Eventuell will ich hier für Immer eintragen aber ich weiß noch nicht, ob ich dann gesperrte IP´s wieder freigeben kann. Das muss ich mal testen.
4: Zugriff auf Systemadministration nur über SSL

Offene Punkte:
1: Mich interessiert das Thema VPN aber wie man so etwas einrichtet weiß ich nicht. Ich finde auch leider im Forum keine Infos dazu. Hast du dazu eine Anleitung?
2: Verbindung nur über SSL: ist das Sinnvoll? Hierzu muss ich ja auch selber ein Zertifikat erstellen. Was bringt das eigentlich? Verbinden kann sich doch jeder sowie oder dann nicht mehr? Was bringt mir ein SSL Sicherheitszertifikat?

Vielen Dank für deine Hilfe. Ich kann mich zwar in vieles Einlesen aber bei diesen 2 Themen krieg ich einfach kein kompletten Einblick.

Grüße Techniker

jody · 10. Oktober 2011

Hallo Techniker,

Deine Schritte 1-x zur Verbesserung der Sicherheit sind zwar löblich, jedoch haben sie allenfalls aufschiebende Wirkung. Dies mag meine persönliche Meinung sein, aber entbehrt leider nicht der Grundlage....

Zu Deiner Frage VPN:
Eine generelles Howto gibt es dafür nicht, außer vielleicht eine theoretische Beschreibung dessen was und wie es dann abläuft.
Es ist abhängig von Deiner vorhandenen Hardware und sicherlich auch vom Schutzbedarf Deiner Dateien.
Auch sollte Dir klar sein, dass sich sowas nicht "mal eben" einrichten lässt, sondern u.U. eine recht aufwändige Vorbereitungszeit hat.

Grüße
Jody

zac · 11. Oktober 2011

Hallo,

zum Thema VPN haben mir folgende Links weitergeholfen:
http://wiki.nas-portal.org/ind…VPN_auf_QNAP_installieren
http://www.linuxforen.de/forums/showthread.php?t=169354

Ich habe es selbst auf meiner TS-210 laufen und habe dafür ca. 2 gemütliche Abende mit Unterbrechungen :-/ benötigt.

Grüße Zac

tomas · 11. Oktober 2011

Gi,
generell sollte man auf keinen FALL TELNET / FTP aus dem Internet auf seine HEILIGEN DATEN zulassen,
die Anmeldungen erfolgen alle im Klartext, das PW etc. kann bei Übertragung ausgelesen werden..

Auch die geänderten Ports nützen dir hier nix, ein Portscanner hat in Sekundenschnelle alle Ports nach Diensten (FTP/TELNET/SSH/HTTP) etc. gefunden.

Sicherer wird hier SSH da hier nur eine verschlüsselte Verbindung aufgebaut wird, dann aber in jedem Fall die Anmeldung nur inkl. KEY und Passwort machen. Auch der SSH Port wird oft für Angriffsversuche benutzt.. Das kann ggf. den Dienst überladen und den SSHD killen.

Will man einen unsichtbaren SSH Port haben hilft hier ein knock-dämon, allerdings ist der Dämon aktuell nicht in der QNAP FW beinhaltet.

SSH fürs Administrieren und VPN für Datenverbindungen erscheint mir hier als die Beste Lösung..

Cu Tomas

jody · 11. Oktober 2011

Zitat von "tomas"

...
SSH fürs Administrieren und VPN für Datenverbindungen erscheint mir hier als die Beste Lösung..

Cu Tomas

Also ich würde im Leben nicht auf die Idee kommen mein NAS über das Internet zu administrieren! (Dann könnte ich es auch gleich als Server auf den Marktplatz stellen und hoffen, dass man mir noch ein paar Daten übrig lässt! (Ja ich weiß, man kann auch extrem paranoid sein ) )

1. Frage:
Muss ich wirklich zwingend vom bösen Internet auf meine Daten zugreifen?
2. Frage:
Muss ich zwingend vom bösen Internet auf meine Daten zugreifen?
3. Frage:
Kann ich es ertragen (finanziell, emotional, körperlich, wie auch immer) wenn meine Daten ungewollt öffentlich werden?
4. Frage:
Ist es nicht mittlerweile einfacher die wirklich notwendigen Daten in Form von 1TB/2,5"-Festplatten in der Tasche mitzunehmen?
(Spart unheimlich viel Zeit und ist jedem Falle sicherer als ein Remotezugriff (und gleichzeitig Backup)
5. Frage:
Bin ich fachlich/körperlich/geistig/emotional in der Lage die VPN- bzw. sichere Remotezugriffskonfiguration zu erstellen/verstehen/warten/überwachen?

Wenn Du eine der Fragen mnit NEIN beantwortest (sofern Du wirklich Ehrlich zu Dir bist!) solltest Du auf den Remotezugriff verzichten...

Grüße
Jody

hibbli · 12. Oktober 2011

wie sicher ist denn der webdateimanager wenn man ihn über den normalen http laufen läßt? kann man das auch auslesen?

solang man ssl verwendet kann man doch auch ohne probleme über das internet als admin zugreifen oder?

in meinem fall haben die anderen user nur zugriff auf einen bestimmten ordner oder so also wären meine persönlichen daten davon erstmal nicht betroffen

jody · 12. Oktober 2011

Zitat von "hibbli"

wie sicher ist denn der webdateimanager wenn man ihn über den normalen http laufen läßt? kann man das auch auslesen?

Jep!

Zitat von "hibbli"

solang man ssl verwendet kann man doch auch ohne probleme über das internet als admin zugreifen oder?

Jep, aber es gibt diverse Methoden das auszutricksen. "Man in the Middle" ist eine davon (auch wenn das einiges an Voraussetzungen geschaffen sein muss)!
Administrieren über ungeschützte Verbindungen ist immer ein "NoGo"!

Zitat von "hibbli"

in meinem fall haben die anderen user nur zugriff auf einen bestimmten ordner oder so also wären meine persönlichen daten davon erstmal nicht betroffen

Ist das Adminkonto erst geknackt, gehören die Daten nicht mehr Dir!

Grüße
Jody

Hilfe! Div. unbekannte Loginversuche!

Vulnerability in Download Station

Vulnerability in QuLog Center

Vulnerability in Helpdesk

Vulnerability in curl

Antivirus - 'Suche gestoppt'

Datenträgerverschlüsselung sicher?

Kein Zugriff mehr auf TS-259 Pro+

SambaCry on QNAP NAS

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Tschüss QTS --- Ich werde künftig die Firmware von QNAP verweigern

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

Backup vom Smartphone (Android) mit FolderSync

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

Qnap & Syno – USV im Master-Slave-Mode

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur