SAMBA Guest Login

    Servus,


    mein NAS(TS-451+) wird in letzter Zeit stark infiltriert. Seit ca. 2-3 Monaten läuft mit unterschiedlicher Stärke ein Bruteforce Programm gezielt auf meine NAS

    Leider auch mit erfolg.


    Das erste mal, konnte der Bot via "guest"/Anonymer Zugriff via FTP zugreifen. - jetzt bereinigt


    Jetzt verwendet er den SAMBA Verbindungstypen, wiederum "guest" und bekommt ein Login OK

    Die IP Adressen sind komplett bunt. Jeodoch wird keine genützte Ressource angezeigt.

    Außerdem scheint der Zugriff jetzt human zu sein, da er in ~10Minuten abständen jeweils erfolgreich einlogged.


    Samba ist bei mir aktiviert, weil ich mit meinem Win-10 PC via Datei Explorer auf meine NAS zugreifen möchte.


    -> Wie kann ich SAMBA guest Zugriff deaktivieren?

    -> Was kann derjenige in meinem Fall sehen/machen

    (bei meinen Privilegieneinstellungen:everyone ist alles deaktiviert - sprich nur zugewiesene Benutzer haben Rechte)



    Danke für eure Zeit!

    Philipp

    ----------------------------------------------------------------------------------
    Update #1 - Das Netzwerk


    Router

    |

    Switch

    |

    |----NAS
    |--- PC
    |--- PC,...

    LTE-Router (drei neo)

    WAN IP-Adresse ist dynamisch - DDNS war aktiv ist aber seit dem FTP-Zugang deaktiviert.
    Das NAS bekommt via DHCP eine IP zugewiesen
    Port-Weiterleitung Off

    DMZ aktiv für NAS..............


    Switch: Netgear


    NAS Aktive Dienste:

    - myQNAPCloud

    - VPN

    - SQL-Server

    - Webserver (Port 80)

    - Qsync

    - Microsoft-Netzwerk(Samba)

    - Multimedia Stations



    Beim ersten Zugriff (guest-FTP) wurde ein Trojaner am PC lokal installiert (Malware-Dharma)

    sollte jetzt aber komplett bereinigt sein (Windows Defender + Hitman.Pro).

    Wie wäre es, wenn Du zuerst einmal etwas über Dein Netzwerk erzählst?

    Wie ist der Zugriff von aussen, offene Ports oder VPN?

    Welche Dienste laufen, Cloudbenutzung, ...?

    Hast Du WAN technisch eine feste IP (eher selten)?

    Vor allem würde ich in ein vernünftiges Antiviren Programm investieren, oder sogar professionelle Unterstützung suchen, und mein LAn einschliesslich aller PCs checken, was dort bereits an Schadsoftware installiert ist.


    Gruss

    Zitat von phil8338

    Seit ca. 2-3 Monaten läuft mit unterschiedlicher Stärke ein Bruteforce Programm gezielt auf meine NAS

    Leider auch mit erfolg.


    Ich verstehe nicht, wie man sich sowas 2 Monate anschaut. Ok. ist passiert. Ziemlich unschön.

    Ich wurde diesem NAS keinen Meter mehr trauen. Ich hoffe das da keine sehr persönlichen Daten drau lagen. Wer kann dir Garantieren das diese keine Beine bekommen haben. Ich hoffe du hast ein sauberes Backup. Ansonsten NAS vom Internet trennen. Platt machen. HDs am PC formatieren. NAS neu aufsetzen. Dir hier Tipps holen wie man es anders und sicherer macht. Ich drück dir die Daumen.

    Also DMZ auf das NAS legen ist heftig.

    Das mach ich höchstens um einen Honeypot zu stellen. Ab und zu ganz lustig :)

    Dann ist klar das einer mit dem Guest Login drauf zugreifen kann.

    Zitat

    -> Was kann derjenige in meinem Fall sehen/machen

    (bei meinen Privilegieneinstellungen:everyone ist alles deaktiviert - sprich nur zugewiesene Benutzer haben Rechte)

    Wenn da schon seit Monaten Zugriff drauf ist, und die netten Scanner Zugriff.... wow.... ich sehe das nicht locker.

    Für was Webserver und SQL Server ? Wenn es da eine Schwachstelle gibt erreicht man da locker Zugriff
    (Stichwort: MyPHPAdmin).

    Kann man machen. Aber dann bitte ohne Freigabe. Erreichen kann man das auch mit VPN von unterwegs.


    Wenn du schon einen VPN Server laufen hast.... mach alle Dienste aus bzw. werfe nach Deaktivierung

    der DMZ alle Portweiterleitungen raus... Das NAS würde ich auch komplett plattmachen.


    Zitat

    Beim ersten Zugriff (guest-FTP) wurde ein Trojaner am PC lokal installiert (Malware-Dharma)

    sollte jetzt aber komplett bereinigt sein (Windows Defender + Hitman.Pro).

    Das... verstehe ich nicht. Der Trojaner kann sich ja nicht selber installieren. Den musst du explizit irgendwie ausführen

    an deinem Arbeitsplatz PC.


    Ich hoffe es hat niemand dein NAS für andere schlimme "Mißbraucht", als Scanbox oder noch heftigere Sachen.

    Damit meine ich keine Warez oder Moviez. Schlimmere Bilder und Videos. Sowas ist ganz schwer zu erklären.....


    Ich will nicht zu direkt werden.... aber weisst du, was du tust mit DMZ, diversen Diensten ?


    Ein NAS ist nichts anderes als eine Linux Kiste. Mit schöner klick-und-bunt-Oberfläche.

    Darunter ist aber alles machbar mit root Rechten. Wer sich auskennt, macht alles über die Shell.