Bin gehackt worden und nun ist meine Datenbank futsch bzw verschlüsselt und bekomme die Daten nur gegen Zahlung wieder

    Hallo Zusammen,


    ich musste feststellen das in den letzten Tagen, auch bei uns im Büro, hunderte, wenn nicht tausende Zugriffe von draussen eingeprasselt sind. In der Firma ist bisher nichts passiert


    Mich privat hat es aber erwischt - meine Datenbanken sind futsch und damit die Daten ebenfalls- erstmal...


    Das muss gestern oder vorgestern passiert sein. Aufgefallen war es mir weil ich einige Zahlen brauchte.


    Als ich mich per PHP-My Admin eingeloggt hatte war von den DB nichts mehr zu sehen und nur noch diese Ansicht:

    Bildschirmfoto 2019-01-17 um 20.14.09.png



    nunja. es ist jetzt so wie es ist.


    Habe die wichtigsten relevanten Daten als Excel noch vorliegen. Der Rest ist dann eben als Lehrgeld zu verbuchen...


    Mehr Gedanken mache ich mir über meine Systemkonfiguration:


    Einstellungsmässig werden im Sicherheitscenter sämtliche IP gesperrt die sich mit falschen Zugangsdaten anmelden wollen


    Ich nutze den Datenbankzugriff über MyQnapcloud.com


    Das PW habe ich mal geändert


    Wie konnte jetzt die DB gelöscht werden, bzw. wie weit konnte der Zugriff auf das Dateisystem des NAS noch erfolgen. Dateizugriff gibt es nur nach Eingabe Zugangsname und PW


    Eine Möglichkeit gibt es . Ich glaube ich habe mal für einen kurzen Test die Datenbankverwaltung von extern zugelassen (Remote)... muss prüfen


    Gibt es irgendwie eine Möglichkeit den Zugriff auf das NAS soweit einzuschränken das zB nur bestimmte Geräte (zb identifizierbar per MAC Adresse) Zugriff auf das NAS bekommen?



    Soweit hierzu... ich mache mal weiter mit der Schadensbegrenzung


    Sollte man da übrigens Anzeige erstatten?

    Das wird eh im leeren verlaufen

    Ich muss auch mal sehen inwieweit das in der Hausrat/Wohngebäude mit vers. ist. Irgendwas habe ich da mal gelesen

    UPNP ist bei einer Neuinstallation automatisch aktiviert. ;) Zumindest war es bei mir so.

    UPNP ist in der Systemsteuerung aktiviert.

    Geht mein Medienserver für Filme dann nicht baden wenn man es deaktiviert?

    Obwohl das ja DLNA ist...


    Bonjour ist aktiviert für NAS, SAMBA, AFP

    Was ist denn mit Backups, hast du da nicht noch die Daten drauf?


    Volume Snapshots?


    Wenn der Zugriff von außen auf die DB möglich war, dann hat derjenige vermutlich eine zeroday Lücke ausgenutzt und schon hatte er admin Rechte.

    Daher wird hier auch jedem, wirklich jedem geraten ein VPN Zugang zu verwenen.


    Anzeige kannst du machen, solltest du machen, aber bringen wird das nix, die Daten sind weg.

    Je nachdem was in der DB stand, musst du auch alle Personen informieren die dort genannt worden sind DSGVO.

    Als Firma muss man das sofort ans BSI melden, wie das als Privatperson aussieht kann ich dir jedoch nicht sagen.

    Es sind in der Datenbank nur Zahlen von meinen Hauszählern rund um d ie Solaranlage abgespeichert


    Nichts weltbewegendes also- ärgerlich ists trotzdem. Schonmal ich davon ausgegangen bin dass ich das System ziemlich dicht habe. Sämtliche IP die sich 5 mal innert 30 Minuten fals angemeldet haben werden für einen Tag geblockt


    Backups der Datenbank selber habe ich noch keine - bzw Alte Datensätze... muss mal sehen wo die liegen

    Hoffe mal nicht dass er als Unternehmer so fahrlässig mit den Daten umgegangen ist!

    Bei so einer zeroday wird ja kein Benutzername abgefragt, zbw. du übergibt ein unzulässige Anzahl an Zeichen in dem Feld für das Kennwort und x Zeichen für den User und schon wird alles ab der 256ten Stelle im Kennwortfeld nativ ausgeführt.

    Da ist dann das Böse Skript drin, welches zum Server eine Verbindung aufbaut und den Rest nachläd und dann geht es run.

    Der Schadcode hat alles was er braucht und fängt an Datein zu suchen die interessant sind, diese zu verschlüsseln, zu verpacken und auf den unbekannten Server zu laden usw.


    Gegen diese Art von Lücken in der Software hilft kein Passwortschutz.

    Das ist wie eine Sicherheitstür in einem löchrigem Mauerwerk wo man einfach 3m weiter geht und dann durch kriechen kann.

    Port 3306 sollte man auch nicht unbedingt im Router offen haben.

    Und PMA per htaccess auf das lokale Netz beschränken.

    Ok gegen den ZeroDay kann ich mich schlecht schützen


    Nur wie könnten die auf mein Gerät aufmerksam geworden sein?

    ein Weg ist über myqnapcloud.com, bzw die direkt IP (die sich ja täglich ändert- daher hats ja die Myqnapcloud)


    TCP/IP Netzwerk(Port 3306) ist im MySql Server deaktiviert. Sollte soweit richtig sein

    SQL Server ist aktiviert da ich ihn als Speicher für die DB brauche


    Hier das schein interessant zu sein:


    http://www.sysadminslife.com/l…ff-erlauben-bind-address/


    Hiermit lassen sich wohl ip bereiche für den DB Zugang einrichten

    Habe ich hier nicht die Möglichkeit den Zugang zu beschränken ?

    Bildschirmfoto 2019-01-17 um 21.26.08.png


    Die unten angegebene IP Adress ist augenscheinlich auch die Adresse von woher das durchgeführt wurde


    Kann ich nuicht andersrum einen IP Bereich als Zugriffsquelle zulassen (zB innerhal des eigenen Netzwerkes) und ggf die Domain von Qnapcloud dazupacken.


    Dann kann ein Zugriff nur aus dem eigenen Netz und nur noch über die Webseite erfolgen

    Nochmal die Frage....UPnP....ist das im Router auch erlaubt? .........

    Wie machst du das mit den Port Freigaben im Router.....

    Damit wirst Du aber auch vermutlich dann den Webserver abkoppeln.

    Eine Möglichkeit den Zugriff gezielt auf PMA nur im lokalen Netz erlauben, wüsste ich jetzt mit Bordmitteln nicht. Ich hab eine Syno hier, da gehts auch nur mit einer Direktive in der Konfiguration. Man könnte aber z. B. auch PAT einsetzen. WAN -> Port 12345 -> LAN IP Port 3306.

    Das muß aber der zugreifende Client unterstützen. Oder aber den Pfad Domain/phpMyAdmin abändern. z. B. Domain/db. Es geht erstmal darum den Server abseits der bekannten Pfade aufzustellen.

    UPNP im Qnap habe ich jetzt mal deaktiviert - mal sehen welche Auswirkungen es hat- im Router finde ich diese Freigabe garnicht


    Im Router sind TCP/IP Weiterleitungen aktiviert für 80, 8080 und 8081. Soweit ich weiss brauche ich die für die Funktion des NAS (Webserver)


    Offene Dinge habe ich scheinbar nichtBildschirmfoto 2019-01-17 um 21.50.46.png

    Einmal editiert, zuletzt von carstene ()

    naja....ich meine das du da Mindestens 2 zu viel offen hast....

    und ich würde erst mal alle zu machen


    beantworte bitte meine Frage.....

    UPnP gehört prinzipiell deaktiviert.

    Fritz!Box -> Netzwerk -> Netzwerkeinstellungen -> Statusinformationen über UPnP übertragen