IP wurde zur Banlist hinzugefügt...

  • Hi,


    ich nutze einen QNAP251A.

    Auf dem NAS ist myQNAPCloud active und Ich habe dort den FTP Zugang (mit VPN) Verbindung eingerichtet , um von extern auf den NAS zum backup von Fotos zuzugreifen.

    Meine Geräte im heimischen Netz laufen alle im IP Bereich 192.xxxxxx. Die meisten Geräte haben FIX IP, wenn sie es unterstützen.


    Seit geraumer zeit erhalte ich immer immer wieder die Meldung, das ein IP auf die BAN LIST gesetzt wurde oder der login fehlgeschlagen ist.

    Diese IPs starten mit 185.253.xxxxx; 127.xxx


    Gibts ne Möglichkeit herauszufinden von wo die zugriffe kommen?

    Als Computer wird bei den 127.xx IPs LOCALHOST angegeben.... des müsste ja dann wohl im eigenen LAN sein??

    Standort des NAS ist in den USA.



    Gruss Peter


    QNAP SEC WARN_04.pdfQNAP SEC WARN_03.pdfQNAP SEC WARN_02.pdfQNAP SEC WARN_01.pdfQNAP SEC WARN.pdf

  • Auf dem NAS ist myQNAPCloud active und Ich habe dort den FTP Zugang (mit VPN) Verbindung eingerichtet


    Wenn du das per VPN eingerichtet hast, wieso können die dann trotzdem auf dein FTP zugreifen ?

    Das passt nicht zusammen und deutet auf eine Fehlkonfig hin. Wenn dir deine Daten lieb sind, nimm dein NAS aus der Schusslinie und überdenke dein Konzept.

  • Gibts ne Möglichkeit herauszufinden von wo die zugriffe kommen?

    Mit einer whois Abfrage kannst du Infos zu der Adresse (IP) bekommen ...


    Die 127. ... ist der loop-back, die ist im eigenem LAN, bzw. sogar die eigene Netzwerkkarte.

    Ich kenn' allerdings die Funktion von myQNAPCloud nicht, kann auch sein, dass eine QNAP-Cloud eben über mehrere IP's verteilt ist und die angemeldeten NAS'en zyklisch abgrast und schaut ob sie noch erreichbar sind?

    Erklärt aber nicht, weshalb sich ein Admin anmelden will, oder passt die Uhrzeit zu Aktivitäten von dir, bzw. von einem deiner Rechner, die genau zu dieser Zeit online sind?


    Wenn's doch böse Buben sind, werden die nicht mehr aufhören, bis dass sie drinnen sind, da dürfte dein NAS bereits auf einer Liste mit interessanten IP's sein ...

    Einmal editiert, zuletzt von RedDiabolo ()

  • Da ist was durcheinander, wenn myqnapcloud, VPN und FTP-Zugriff geht.


    Hat der Anschluss, an dem das NAS hängt, eine feste IP? Wenn nicht: welche DynDNS-Dienste außer myqnapcloud wären in den USA noch verfügbar?


    Und: das NAS bietet ein 2-Faktor-Authentifizierung für's anmelden, die würde ich auf jeden Fall aktivieren.


    Und wenn die Kiste schon in den USA steht, warum nutzt du doch einfach Google Drive oder Amazon S3? Das wäre dann sicherer.

  • Sorry,


    war ein paar tage nicht daheim.

    Ich werde mir das ganze mal durchlesen und anschauen.

    Habe den NAS derzeit nicht im netz, das es mir "unheimlich" ist.


    RedDiabolo : Des mit der Zeit muss ich mir mal genau anschauen/drauf achten. In einem anderen Post hatte ich auch gelesen, das es hier alte user geben kann die als Leichen irgendwo im system sind (Security Warning & IP Banning - wie abstellen??) ... Alles sehr merkwürdig.


    eol1 : andere dienste kommen nicht in frage, da sie doch zu teuer sind... alles über 2TB ist online (mir) zu teuer. Der NAS ist mein Foto Datengrab der letzten 6 jähre.



    Danke schon mal.


    Gruss Peter

  • Solange es sich nur um Phasen handelt ist das für mich nix neues.

    Wir haben an- und absteigende Wellen, in denen Botnetze versuchen auf unsere FTP-Server zuzugreifen.

    Dann reden wir von ca. 15k Anmeldeversuchen in 2-3 Min...


    Auch an dieser Stelle hilft ein BAN-Service - das hat viel Traffic weggenommen.



    Hauptsächlich werden wir von Russen, Chinesen und Südamerikanern attackiert.


    Wenn das alles *zu spooky* für dich ist, würde ich es auch mit einem vorgeschalteten Gerät deiner Wahl versuchen oder aber auf ein NAS mit einer gehärteten Firmware zurückgreifen.



    Cheers,


    Gerry

  • Moinsen,


    kurzes feedback:

    Ich habe den "CloudLink" service von QNAP ausgeschaltet und nutze nur noch den "MyDDNS" von QNAP.

    Seit dem ist ruhe!

    Zugriff local sowie remote via VPN läuft.

    Im Anmeldeprotokoll sehe ich nur meine zugriffe.


    dehoschii Was meinst du mit

    einem vorgeschalteten Gerät deiner Wahl versuchen oder aber auf ein NAS mit einer gehärteten Firmware zurückgreifen.


    Gruss und danke,


    Peter

  • RedDiabolo : Des mit der Zeit muss ich mir mal genau anschauen/drauf achten.


    Ich hatte schon mal das Vergnügen, dass meine Hardwarefirewall meinen Win10 PC wegen eines vermeintlichen "Flood" Angriffes auf das NAS gesperrt hat.

    Dabei ist es "ganz normal", dass ein Win10 gleich nach dem Hochfahren alle Shares, die es irgendwann mal verbunden hatte "abklopft" und sich anmelden will. Dabei kommen leicht mehrere 100 Anmeldeversuche pro sec. zustande, die meine FW als Angriff wertet ...


    Musste die FW anpassen und im Win10 die gespeicherten Verbindungen mit dem richtigem User/PW anpassen, damit die Verbindung(en) zur NAS gleich funktionieren. Falls das Win10 den falschen User verwendet, hämmert es auf die NAS ein aber die lässt die Verbindung nicht zu -> da schlägt dann auch die Ban-Liste zu.

  • calimero0077



    Mit vorgeschaltetem Gerät deiner Wahl meine ich eine kleine Firewall, a la IPFIRE oder ähnliches.

    Ein NAS mit einer gehärteten Firmware wäre ein auf BSD basierendes System, z.B. ein Freenas, NAS4Free oder Openmediavault


    Freenas nutze ich auf alter Hardware in der Firma selbst, das macht sehr wenig Probleme.


    Grüße,


    Gerry