Ist mein NAS gehackt?

    Hallo Gemeinde. Ich habe soeben die Verbindungsprotokolle überprüft und fand diese Einträge. Meine Sorge ist jetzt, das sich Fremde Zugriff auf mein NAS besorgt haben. Kann das stimmen?

    Einmal editiert, zuletzt von schlesier ()

    Hast du in deinem Router das DMZ auf die IP-Adresse deines Routers eingestellt ?
    Da normal die Ports für das Microsoft-Netzwerk-Protokoll (SMB) für SAMBA im Router nicht weitergeleitet werden.
    Dann kann jeder als Gast auf die Freigaben, auf denen der Gast-Login zulässig ist, zugreifen.


    In diesem Fall ist es kein Hack, sondern ehrlich gesagt Unwissenheit.


    EDIT:
    Ich habe den Begriff "Dummheit" entfernt,
    da es nur Dummheit sein kann, wenn man solche Änderungen bewußt macht, und das ist hier nicht geschehen.

    Desdewegen hat Jody hier ein super Thread über die Netzwerksicherheit eingestellt. ;)
    Hast wahrscheinlich alle Ports auf... *lol*
    Guckst Du hier: http://forum.qnapclub.de/viewtopic.php?f=95&t=1754


    p.s: Kannst mir auch mal die IP von Deinen NAS geben? *g*


    Edit:

    Zitat

    In diesem Fall ist es kein Hack, sondern ehrlich gesagt Dummheit oder Unwissenheit.


    Meine Rede. ;)

    Hi Schlesier,


    wenn eh nicht schon geschehen: Alle Portweiterleitungen in deinem Router ausschalten, oder kurzerhand den Router vom Außennetz trennen!


    Danach solltest du das NAS vom Rechner entkoppeln und den Rechner untersuchen, danach mit einem sicher sauberen Rechner das NAS. Falls die Daten auf dem NAS noch woanders gespeichert sind, am besten das NAS plattmachen (sprich: Festplatte raus und an einem Rechner die PArtitionen löschen oder die FP formatieren), danach das NAS neu aufsetzen.


    Ich finde, dass es eine gute Tat wäre, die Leute von QNAP mal zu fragen, ob sie in die Dokumentation nicht mal einen deutlicheren Hinweis, sprich: eine längere Abhandlung über Sicherheitsrisiken, einfügen oder z.B. auf die entsprechenden Forenbeiträge wie hier in diesem Forum verweisen könnten.


    Für den normalen User (halte mich auch dafür) ist die feine Grenze zwischen "Feature anschalten" und "Scheunentor öffnen" nicht immer ganz klar zu ziehen, zumal mit den Ports. Da wäre es schon hilfreich, wenn eben nicht die Standardports gleich angeboten werden, sondern der Port erst nach einem deutlichen Warnhinweis eingetippt werden muss.


    Wenn Schlesier hier Standardfunktionen genutzt hat, geht der Fehler nicht nur auf seine Kappe, finde ich.


    und: Ja, ich weiß, dass man für sein tun verantwortlich ist. Aber zusammen mit DynDNS und den Standardports macht einem QNAP solche Fehler leider auch relativ leicht. Die dezidierten Erläuterungen, wie sie hier von jody und anderen glücklicherweise angeboten werden, fehlen nämlich leider in der Doku des NAS...

    Zitat von "Doc HT"

    Hi Schlesier,..
    Wenn Schlesier hier Standardfunktionen genutzt hat, geht der Fehler nicht nur auf seine Kappe, finde ich.


    und: Ja, ich weiß, dass man für sein tun verantwortlich ist. Aber zusammen mit DynDNS und den Standardports macht einem QNAP solche Fehler leider auch relativ leicht. Die dezidierten Erläuterungen, wie sie hier von jody und anderen glücklicherweise angeboten werden, fehlen nämlich leider in der Doku des NAS...


    Hallöle,


    Ob Dein NAS gehacked wurde kann ich Dir auch nicht 100%ig sagen, aber die Wahrscheinlichkeit das es zumindest "Missbraucht" wurde liegt sehr hoch.
    Was Du nun tun solltest findest Du bereits weiter oben beschrieben, ob es Dir hilft, wirst Du selbst entscheiden müssen.


    So nun malö zu dem Punkt eigene Dummheit und so...
    Ich denke nicht, dass es Dummheit ist, die immer wieder zu solchen Umständen führt, sondern eher Leichtfertigkeit.
    Jemand der sich für den Kauf eines NAS von Qnap entscheidet, der kann schonmal nicht dumm sein ;)


    Leider sind die Themen Netzwerke und Netzwerksicherheit so komplex, dass man sie nicht ohne weiteres beherrschen kann, da sind selbst Profis manchmal überfordert, jedoch sollte man doch mal auf den eigenen guten Menschenverstand vertrauen und überlegen bevor man etwas tut.


    schlesier
    Ich hoffe für Dich, dass keiner persönliche Daten von Dir entwendet hat und der Schaden sowohl wirtschaftlich als auch virtuell sich in kleinen Grenzen hält. Auch ich habe zu Beginn meiner Netzwerkerfahrungen sehr häufig Lehrgeld zahlen müssen....


    @All
    Unwissenheit nicht Dummheit wäre hier aus meiner Sicht der bessere Begriff gewesen.


    eol1
    Danke für die Blumen, aber auch ich mache noch Fehler :D


    Grüße
    Jody

    Zitat von "Doc HT"

    Da wäre es schon hilfreich, wenn eben nicht die Standardports gleich angeboten werden, sondern der Port erst nach einem deutlichen Warnhinweis eingetippt werden muss.


    MIT FTP und dem Web-Server kannst du die Ports ändern.
    Das bringt bei SAMBA jedoch nichts, dann kannst du SAMBA bzw. das Microsoft-Netzwerk auf dem NAS gleich deaktivieren.
    Da man dann bei allen PCs, die das Microsoft-Netzwerk nutzen, auch den Port ändern müßte.
    Bei Windows kenne ich keine Möglichkeit, dies zu tun.


    Hier kann man QNAP absolut keine Schuld in die Schuhe schieben, wenn dann eher dem Router-Hersteller,
    das beim aktivieren der DMZ keine Warnmeldung kommt,
    da man hiermit der angegebenen IP-Adresse/Host ohne Schutz dem Bösen aus dem Internet aussetzt.


    Bei AVM Router bekommt man eine Warnung mit rotem Text angezeigt.


    EDIT:
    Schuldzuweisungen helfen hier nicht weiter.
    Wie schon geschrieben, alle Ports (DMZ) im Router deaktivieren und deine Daten auf Viren überprüfen.
    Im günstigsten Fall wurden nur Bilder angesehen oder Texte gelesen, das ist aber von den Freigabe-Berechtigungen auf dem NAS abhängig.
    Wenn alles gerprüft hast, ruhig überlegen, was du eigentlich möchtest, wer von wo auf deine daten Zugriff haben darf.
    Erst dann öffnest du, wenn überhaupt nötig die entsprechenden Ports, da kommen eigentlich nur FTP, WWW und SSH bzw. VPN in Frage.

    Hallo schlesier,


    Zitat von "schlesier"

    Meine Sorge ist jetzt, das sich Fremde Zugriff auf mein NAS besorgt haben. Kann das stimmen?


    Um gleich zu Beginn auf dein Frage zu Antworten: JA kann es!


    Warum ist das so?
    Wie alle meine fleißigen Schreiberling vor mir liegt das nicht am NAS oder an mangelnden Informationen Seitens Qnap, nein der Fehler liegt so hart es klingt bei dir selbst oder der Person die deinen Router konfiguriert hat.
    Den früheren Beiträgen kannst du entnehmen was zu tun ist, hier ist ganz klar HANDELN angesagt.



    Gehackt Ja/Nein?
    Auch hier ein ganz klares nein, denn der bzw. die User die sich Zugang verschafft haben lediglich genutzt was zur Verfügung gestellt wurde (ein offenes/fehlerhaftes "system"). Hacken ist was komplett anderes.



    Fazit!
    Es bleibt zu hoffen das du und deine Daten keinen Schaden genommen haben und du für die umfangreiche/komplexe Materie mehr Zeit aufbringst oder Dienste besser nicht nutzt.



    Christian

    Ein Möglichkeit bietet fast jeder Router. Einfach die internen (Inranetports) Ports auf andere externe (Internetports) Ports umlenken.
    Z.B. Intern ->8080 = extern ->8081 Zugriff erhält man dann indem man aus dem Internet meinedydn.dns.org:8081 eingibt. Das klappt bei den meisten Ports. Außerdem sollte man Ports wählen die über 1000 liegen.
    Das bringt zwar keine perfekte Sicherheit, allerdings war danach bei mir Schluss mit den Versuchen, Zugriff auf mein NAS zu bekommen. Der Vorteil daran ist, dass alle Feature des NAS auch weiterhin aus dem Intranet erreichbar sind. Das verhindert zumindest, das jeder Dummi versuchen kann Zugriff auf dein System zu bekommen und zumindest ohne Portscanner keine Rückmeldung bekommt.
    Bei einer Webpräsens muss eigentlich nur Port 80 von außen erreichbar sein.


    Dummheit wäre es nur, wenn man aus seinen Fehlern nicht lernt und sie wiederholt. Wir lernen doch alle ständig dazu, oder?

    Vielen Dank für eure Meinungen, Hinweise und Ratschläge.
    Router: Arcor Wlan 200
    Betriebssystem: XP Prof SP3
    Virenscanner: Bitdefender Internet Security 2009


    Den Router habe ich nach Bedienungsanleitung von Acor für die I-Netverbindungen selbst eingerichtet. Ob ich Sicherheitsvorkehrungen übersehen habe, kann ich nicht beurteilen, da nie eine Meldung diesbezüglich gekommen ist. In den Routereinstellungen kann ich nichts von DMZ, Portfreigabe, Samba finden.


    Den NAS habe ich auch nach Anleitung eingerichtet. In meinem Homenetzwerk hängen nach dem Router der NAS, ein PC, 2 Dream am Lan und ein Laptop am Wlan.


    Die Ursache liegt nach eurer Darstellung an dem fehlerhaft eingerichtetem Router. Bevor ich jetzt alle Festplatten überprüfe > formatiere, muss ich erst die Lücke im Router schließen. (eventuell auf AVM umsteigen)


    Ist hier in der Runde jemand, der sich mit dem Arcor Wlan 200 auskennt und mir mit Tips weiterhilft?


    Ich bin froh, hier konstruktive Hilfe zu bekommen.


    Das habe ich in den Routereinstellungen gefunden. Die IP-Adresse ist die vom NAS.

    Hast du eine PDF des Handbuches vom Router ?


    Ein Problem könnte die IP-Adresse des NAS bei "alle Ports" im Bild sein, das es damit grundsätzlich alles zum NAS weiterleitet,
    auch wenn es keine Verbindung vom Netzwerk in das Internet statt fand.
    Das wäre dann einem DMZ entsprechend.

    Danke für den Link.
    Das ist ja ein Einstellungsproblem meines Routers und hat sicherlich hier im Forum nichts verloren.
    Ich frage deshalb weiter, da ich mir nicht sicher bin, wie ich die richtigen Einstellungen finde, damit sich von außen niemand mehr einloggen kann.


    Im Router ist nur SUA markiert und unter Details bearbeiten komme ich zur geposteten Tabelle. Die erste eingetragene IP ist die vom NAS. Vergebe ich unter Punkt 2 nun die selbe IP vom NAS und gebe Anfangs-und Endport extra frei?


    Edit: Die erste Zeile, wo alle Ports freigeben, angezeigt wird, sollte leer sein. Erst ab Zeile 2 kann ich Portnummern vergeben.
    Bei der Vergabe von Portnummer bin ich mir unsicher. Kann ich z.B. Portanfang: 3456 und Portende: 3456 eingeben und die Verbindung funktioniert weiterhin?


    Nochmal Edit: @ doc HT,


    ich habe Seiten aus dem Benutzerhandbuch kopiert. Ich hoffe das sind die richtigen Seiten. Wäre nett, wenn ich weiter Hilfe bekomme.
    Leider immernoch zu groß. Habe die PDF-Datei aufgeteilt.

    Hi schlesier,


    anbei ein Link, WICHTIG: deine IP muss bei "alle Ports" RAUS.


    Die Freigaben erfolgen danach gesondert in den einstellbaren Bereichen, siehe http://www.zyxel.de/web/faq.php?x=&mod_id=2&root=109&id=204


    EDIT:


    Zitat von "jody"

    eol1
    Danke für die Blumen, aber auch ich mache noch Fehler :D


    Ja, klar, wer arbeitet, macht Fehler. Aber Du steckst deinen Kopf nicht in den Sand, sondern in die Wand... Auf der Suche nach neuen Einblicken eben. ;)


    EDIT-2:


    Zitat von "schlesier"

    Die erste eingetragene IP ist die vom NAS. Vergebe ich unter Punkt 2 nun die selbe IP vom NAS und gebe Anfangs-und Endport extra frei?


    Edit: Die erste Zeile, wo alle Ports freigeben, angezeigt wird, sollte leer sein. Erst ab Zeile 2 kann ich Portnummern vergeben.
    Bei der Vergabe von Portnummer bin ich mir unsicher. Kann ich z.B. Portanfang: 3456 und Portende: 3456 eingeben und die Verbindung funktioniert weiterhin?


    In die erste Zeile muss 0.0.0.0


    Danach werden die Ports freigegeben, z.B.


    von port 80 bis port 80 an IP xxx.xxx.xxx.xxx für einen Port oder


    von port 123 bis port 456 an IP ... für eine Portrange.


    Du solltest die Standardports in deinem NAS für die Dienste, die du brauchst, ändern, und dann die neuen Ports oder Portbereiche in dem NAS eintragen, dann sollte alles o.k. sein.


    Ganz wichtig: Mach das NAS platt, und ändere alle deine Passwörter und die der Familie! Virenscan des Rechners nicht vergessen!

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln!

    Zitat von "schlesier"

    Muss ich den eingetragenden Port auf dem Router noch im NAS eintragen?


    Port erst im NAS festlegen, z.B. für QMultimedia, dann im Router eintragen zusammen mit der IP. Geht auch andersrum, funktioniert aber erst mit Zugriff von außen, wenn beides übereinstimmt.


    Schreib dir die Ports auf, vor allem, wenn du den Systemport des NAS ändern solltest - das ändern ist aber nur nötig, falls du den Systemport freischalten möchtest, was du aber im Prinzip wirklich nicht brauchst. Mach nur die Ports auf, die du wirklich brauchst.

    Hallöle,


    ich kann dem Gesagten nur zustimmen!


    Wenn Du nicht so genau weisst, was sich hinter den einzelnen Begriffen bzw. Einstellmöglichkeiten verbirgt, dann ziehe lieber professionelle Hilfe zu rate.


    Grüße
    Jody


    eol1
    Wer sagt, dass ich arbeite? Ich habe Wochenende :D

    Einmal editiert, zuletzt von jody ()

    In der NAS-Software unter "Systemeinstellungen" und dann "Allgemein".


    Bitte such mal hier im Forum unter "Portweiterleitungen" - ich habe zur Zeit in meinem NAS keine Ports offen, und arbeite mit der Beta-Firmware, ich möchte jetzt schlicht nichts falsches sagen!


    EDIT:


    Zitat von "jody"

    eol1
    Wer sagt, dass ich arbeite? Ich habe Wochenende :D


    Ich auch, deswegen kann ich mich endlich mal um die Erstellung meiner OLAP-Datenbank kümmern... :D:D

    Einmal editiert, zuletzt von christian () aus folgendem Grund: Doppelte Beiträge vermeiden, siehe Forenregeln!

    @ jody


    professionelle Hilfe erwarte ich am Dienstag. Ging nicht schneller.


    Kann sein, das ich euch auf die Nerven gehe, mit meinen einfachen, naiven Fragen. Versuche nur selbst zu kapieren, wieso mein Computersystem nicht abgesichert ist. Der Fachmann am Dienstag setzt sich vor den Monitor, klickt sich mit hoher Geschwindigkeit (weil Profi) durch das System und ich bekomme wenig mit.
    Dank euch kann ich dem Profi auch Fragen stellen.


    Zum Router: Die Entscheidung ist auch gefallen und ich werde mir einen A*M zulegen.