Hackerangriff auf meinen Homeserver!?

    Hallo Leute. nachdem ich nun nach meiner 1 wöchigen urlaubsreise wieder zuhause bin, wollte ich ganz normal auf meinen server zugreifen. das ging jedoch nicht. weder als netzlaufwerk, noch über die webgui. daraufhin bin ich in den keller gegangen und hab den server von hand neu gestartet. jetzt komm ich zumindest in die web gui und hab direkt mal im ereignisprotokoll nachgeschaut, ob ich dort finden kann wo der hund begragen liegt. leider fehlanzeige. als ich dann aber noch auf die systemverbindungsprotokolle geklikt habe, bot sich mir ein erschreckender anblick. mindestens 20 seiten mit verschiedenen benutzernamen, die ich überhaupt nicht kenn, versuchen sich auf meinem server einzuloggen.




    so wie auf dem screenshot geht das seitenlang weiter.



    was kann ich also dagegen tun? habt ihr sowas auch? ist das ganz normal, dass leute versuchen sich ein zu loggen, oder was ist hier los?


    bitte um hilfe!


    danke!


    edit: der qnap finder findet den server auch nicht mehr. wodran kann das liegen? ich kann momentan nur über die webgui zugreifen!


    mfg. schumi

    Hatte ich auch schon. Mit der kommenden 3.0 Firmware sollen nach ein paar Fehlzugriffen mit der gleichen IP,
    diese für einen gewissen Zeitraum gesperrt werden.


    Was bei mir viel brachte ist folgendes. Du musst ja von außen eine Portweiterleitung in deinem Router eingerichtet haben,
    um über WAN zugreifen zu können. Also z.B. FTP


    z.B. wan ftp ichbingeil.dyndns.org-------------------------router port 21 zu ip box port 21 -----------------------------nas port 21


    NImm für außen nicht den Standartport 21 sondern einen anderen z.B. 1234


    Du kannst eigentlich in jedem Ftp Programm einstellen, welchen Port es kontaktieren soll.


    Wenn jetzt jemand einen Portscan bei dir macht, sieht er zwar den offenen Port 1234, aber er weiß nicht welcher Dienst dahinter steht.
    Die Hacker arbeiten meistens mit Scripts die eine automatische LIste abarbeiten, die ganzen Standartports halt,
    Ftp 21, ssh 22, telnet 23, webport 80 o. 8080 usw.


    Wenn du aber andere Port dafür nimmst, laufen die meisten ins leere.


    Falls Fragen, beschäftige dich mal mit Portweiterleitung (NAT).


    Gruß


    Hallo Schumi,


    zunächst einmal würde ich nun die Daten des NAS auf eine andere Festplatte sichern, anschließend die Platte(n) aus dem NAS ausbauen und die Partitionen löschen um dann das NAS neu zu installieren!
    Warum alles neu?
    Nun, Du selbst hast abnormes Verhalten Deines NAS festgestellt, ebenso wie nicht authorisierte Zugriffe auf Dein NAS. Du kannst also derzeit nicht sicherstellen, dass Du der einzige Administrator bist. Um diesen Zustand jedoch wieder herstellen zu können, sind die o.a. Schritte erforderlich.


    Anschließend, oder besser vorher würde ich sämtliches Portforwarding des Routers abschalten.


    Nun wäre es an der Zeit sich zu fragen ob der Zugriff vom Internet wirklich notwendig ist und falls ja, wie man ihn möglichst sicher gestalten kann.


    Ich weiß, dass Dir dieser Ansatz sehr wahrscheinlich nicht gefällt, mit sehr viel Arbeitsaufwand verbunden ist, Dir augenblicklich nicht weiterhilft und schlussendlich Deiner bisherigen Lösung widerspricht, aber Du solltest Dich mit diesem Lösungsweg anfreunden...


    Grüße
    Jody

    hallo zusammen. zunächst einmal vielen dank für eure ratschläge!


    also, anscheinend hat sich wohl auch ein virus auf meinem rechner eingeschlichen. irgendwie komisch, da ich eine woche lang nicht da war, und den pc folglich auch nicht an hatte. bevor ich in den urlaub gefahren bin, hatte ich nämlich noch keine probleme.


    also, von allen anderen rechnern aus im netzwerk funzt alles ganz normal. ps3 hat auch zugriff aufs NAS. nur mein rechner macht halt mucken. windows sounds gehen nicht mehr. netzwerk geht nicht mehr. und er braucht nun ca. 10 minuten zum hochfahren, weil er immer bei "benutzereinstellungen werden geladen" hängen bleibt.


    also bleibt beim NAS nur noch das problem mit den zugriffen.


    ich werd also erstmal den tip mit den anderen ports ausprobieren und dann eine weile beobachten. sollten diese loginversuche weiterhin bestehen bleiben, werd ich wohl jody's tip beherzigen!


    mfg. schumi

    Hi schumi,


    kein Hackerangriff, erst mal "nur" ein Portscan.


    Wenn in den logs immer nur "login fail" steht, hieße das, das sich ein Angreifer eben nicht auf das NAS verbinden konnte. Wer sich nicht einloggen kann, kann dann aber eigentlich auch nichts kompromittieren...
    EDIT: Zu dieser Aussage von mir lese man zwei Posts weiter das von Jody, mein obiger Satz ist so wohl nicht ganz richtig...


    Bleibt als spannende Frage, ob die Log-Liste vollständig oder ev. abgeschnitten ist, weil sie schon voll war... Du kannst die Liste nach Excel exportieren, da kann man besser suchen...


    Ich würde zuerst mal alle Portweiterleitungen abschalten, dann ist sofort Ruhe.


    Zum Virus: Ist das sicher ein Virus, oder "nur" eine Meldung, also ein möglicherweise falsch positiver?


    Ist dein Rechner normalerweise dauernd an? Dann könnte es einfach sein, dass die Platten noch nicht warm genug sind, oder ein anderes Bauteil sich noch "zu kalt" fühlt, wenn er jetzt eine Woche aus war.


    Letztlich wird dir aber, wenn ein Gefühl von Unsicherheit bleibt, nichts anderes übrigbleiben, als das NAS neu zu installieren, wie jody schrieb.

    Einmal editiert, zuletzt von eol1 ()

    hi, wie kann ich die liste nach exel exportieren? da müsste ich mir mal zeit nehmen, die ganz zu durchsuchen. das waren nämlich an die 40 seiten mit je 10 einträgen. also ne ganze menge.


    was den virus betrifft. ich hab keine ahnung, ob auf meinem rechner einer drauf ist oder nicht! es war nur eine vermutung.
    hab mal nen bischen gegooglet und herausgefunden, dass die lange bootzeit wohl dadurch hervorgerufen wird, dass mein rechner kläglich versucht sich im netztwerk, oder an einem server anzumelden. das kann durchaus sein, da ich eigentlich extra die benutzernamen auf den pc's samt passwort genau so wie auf dem NAs eingestellt habe, damit alle netzlaufwerke sofort beim einschalten des rechners verfügbar sind.


    auch wenn ich in das verbindungsprotokoll schaue, kann sich mein benutzer "Fabian" nicht über SAMBA am NAS anmelden.


    habe den benutzer nun schonmal komplett gelöscht und wieder neu erstellt mit anderem passwort. hat leider aber auch nichts gebracht.


    edit:


    nun komm ich an meinem rechner selbst im abgesicherten modus nicht mehr ins windows rein. erst kommt benutzereinstellungen werden geladen, dann sieht es für einen bruchteil einer sekunde so aus, als würde es ganz normal weitergehen, und dann kommt aber wieder: benutzereinstellungen werden geladen. der rechner hängt da quasi wie in einer dauerschleife und bootet nun gar nicht mehr ins windows.

    Hallöle,


    ich mache Dir ja wenig Hoffnung, aber es liegt sehr nahe, das einiges an den Netzwerkeinstellungen des Computers und/oder Router und NAS aus den Fugen geraten ist.


    Meine Empfehlung ist, mit dem Router anzufangen:
    Portforwarding aus, Passwort und Zugangsdaten prüfen und zumindest ein neues Passwort vergeben,
    prüfen ob DHCP eingeschaltet ist.


    Zweiter Teil, PC:
    Rechner jetzt neustarten, zunächst ohne Netzwerkverbindung und (ggf. im abgesicherten Modus)
    Netzlaufwerke trennen. Nun Virenscan machen (besser PC neu installieren, nur so kannst Du sicher sein, dass Du noch der Admin auf dem PC bist)
    Wenn nichts gefunden wird, neuen Administrator anlegen und neustarten. anschließen Netzwerkverbindung herstellen und Verbindung zum Router/Internet prüfen.


    Teil 3 NAS
    Nun versuchen den Zugriff auf das NAS zu bekommen, vorzugsweise per SSH!
    Anmeldung prüfen (wenn Du Dich mit Deinem Passwort anmelden kannst ist erst mal alles schön.
    Nun würde ich die bereits oben genannten Schritte durchführen.


    Kurz:
    Router komplett neu konfigurieren
    PC neu installieren
    NAS Sichern und anschließen neu installieren!


    So hart es klingt, das von Dir geschilderte Verhalten deutet entweder auf Murphys Law (alles was schief gehen kann, geht schief!) hin, oder aber Dein Nas wurde geknackt (wie auch immer). Der Versuch die Logfiles auszuwerten ist zwar löblich, wird Dich aber nur unnötig aufhalten und dir nicht wirklich den Aufschluß bringen den Du hoffst zu finden. (Sollte wirklich jemand Dein NAS erfolgreich gehacked haben, wird er sicherlich auch die verräterischen Logeinträge gelöscht oder "entschärft" haben.)


    wirklich sicher kannst Du nur sein, wenn Du bei (nahezu) Null anfängst :!:


    Grüße
    Jody


    christian
    Du solltest dieses Thema in Forum Sicherheit verschieben, ich denke es passt dort besser!

    Zitat von "schumi170388"

    hi, wie kann ich die liste nach exel exportieren?


    Wenn du ins NAS reinkommst, und auf die Seite mit dem Log gehst, ist da oben rechts ein Button "Save". Nach klick auf diesen kommt eine Dialogbox, der Rest ist selbsterklärend.


    Ansonsten fürchte ich, dass das schwer nach großen Problemen klingt - Jody wird wohl recht haben...


    EDIT: Und da Jody vor allem mit dem Spurenverwischen eines möglicherweise erfolgreichen Hackers Recht hat, solltest du zur Sicherheit die anderen Rechner vorerst aus dem Netz nehmen, bislang ist ja nur einer defekt. Kannst du auf deinem Router auch Logfiles anzeigen lassen? Ist da während deines Urlaubes auffälliges zu finden?

    hey, danke für eure hilfe!


    dann werd ich das wohl alles mal schritt für schritt in angriff nehmen müssen.


    mit dem router bin ich soweit fertig. hab alles neu gemacht und wie beschrieben eingestellt.
    man, hätte das nicht passieren können, als ich urlaub hatte und noch zu hause war...
    genau jetzt, wenn man überhaupt keine zeit hat kommt einem sowas dazwischen.


    naja, dass mit dem NAS sichern ist so ne Sache. Ich hab kein Festplatte, die die Datenmenge aufnehmen könnte!
    dann muss ich wohl erstmal ne entsprechende externe platte kaufen.


    der rechner startet kurioserweise selbst im abgesicherten modus nicht mehr. ich werde noch versuchen, mit windows reparieren nochmal ins betriebssystem zu kommen, um die restlichen daten zu sichern. dann muss aber wohl auch der PC komplett neu gemacht werden. man, das nimmt immer alles so viel zeit in anspruch. das wäre echt nicht nötig gewesen. naja, hillft alles nix. muss ich wohl die nächsten wochenenden dafür aufopfern...


    mfg. schumi

    Hi schumi,


    kauf dir vielleicht einen e-Sata-Port, in den man die Platten einfach nur reinstellt, dann kannst du flexibler wechseln, und auf Dauer dürfte es billiger sein - so ein Port kostet rund 30 €, vernünftige 1 TB-Platten kriegst du schon für 80-90 €.


    Christian hatte da irgendwo mal einen Link für Ports, ich weiß nur nicht mehr wo...

    jo danke für den tip!


    aber das ts 209 hat doch gar keine e sata port, oder versteh ich da was falsch?
    gibt es sowas auch als usb variante?

    Nein, er hat sich vertan, hat wohl nicht gesehen, das du ein TS-209 hast.
    Er hat dagegen ein TS-109, dieser hat im Gegensatz zum TS-209 ein eSATA-Port.


    Für USB gibt es auch verschiedene IDE/SATA Adapter.
    Ich habe auch einen von KAMA, der ist aber nicht zu empfehlen, da dieser Probleme bei manchen Festplatten-Operationen macht.