Bin gehackt worden und nun ist meine Datenbank futsch bzw verschlüsselt und bekomme die Daten nur gegen Zahlung wieder

    Also, das Ding unterstützt kein UPnP. Ist schonmal gut. :)

    Und die anderen Maßnahmen sind Dir auch schon genannt worden.

    sorry, aber das ist mir zu doof wen im Nachgang Beträge bearbeitet werden....wie soll ich auf die Idee kommen und nochmal von vorne anfangen mit lesen??

    +1 Und einen ganz fetten Daumen nach oben von mir. :thumbup:

    Ganz schlimm wird ja wenn der übarbeitete Beitrag auf einer anderen Seite steht.

    bevor du nicht weißt und verstehst warum das passiert ist.....ohman

    schon mal geschaut was in deinen Logs drinne steht, von welcher IP der Zugriff erfolgt ist?

    Sofern der Hacker kein "skriptkiddie" war, wird ihm die IP des Angreifers nicht viel nutzen. ;)

    Die Logdatei ist gesichert. Sämtliche Veränderungen sind per Bildschirmfoto gesichert


    der Zugriff erfolgte von der IP die in einem der letzten Beiträge war.

    Übrigens habe ich von der 185.93.180 schonmal zugriffe im Oktober welche aber zu duzenden abgeblockt wurde


    Geändert wurde am System seither nichts


    Warum sollte ich die DB nicht neu aufsetzen?

    PW sind geändert

    Die DB enthält für niemanden brauchbare Dinge, es sind nur Zahlen und die Worte Yes und NO. Davon in Summe etwa 20T Datensätze


    Ich baue die Struktur neu auf und sichere diese für "das nächste Mal"

    Parallel versuche ich das System dicht(er) zu bekommen

    Wenn das alles nichts hilft verzichte ich auch die Qnapcloud und mache es nur noch im lokalen Netzwerk


    Interessant wäre zu wissen ob derjenige sich etwas tiefer im Netzwerk einnisten konnte...

    1. Kauf dir einen anständigen Router der VPN kann z. B. Fritz Box.

    2. Wenn du dir eine Fritte holen solltest, aktiviere MyFritz.

    3. Deaktiviere MyQnapCloud.

    4 Richte dir VPN ein.

    Speedport zählt nicht wirklich zu den Top Routern, und Myqnapcloud würde ich auch nicht nutzen. ;)


    Mit der Fritze kann man wirklich nichts falsch machen.

    Um welches NAS handelt es sich eigentlich und welchen Firmwarestand hat es ?

    Mal den Malware Remover installiert und laufen lassen ?

    Das ist das TS210

    SW ist eigentlich aktuell. Warte mit den Updates immer so einige Wochen nachdem ich mir mal das ganze Ding zerschossen habe


    Virenscan ist aktiv, diesen Malware remover muss ich mir mal genauer anschauen

    Wo finde ich den?

    VPN muss ich mich mal einlesen

    Wenn ich dannvon ausserhalb auf meine kleine Webseite zugreifen kann wäre super. mit dem Qnapcloud ging es schnell und war auch für den Laien gut zu handhaben

    Das brauchst du im Qnap damit die App Malware Remover funktioniert. ;)

    Deine NAS ist uralt, die Softwarepflege seitens QNAP eingeschränkt, d.h. nur noch kritische Sicherheitslücken im System werden gefixt. Die Firmware ist dementsprechend "alt" mit 4.2.6 build 20181227. Dementsprechend veraltet sind auch die Apps auf deiner NAS.

    Bspw. die Photostation: Aktuell ist 5.7.6, du hast 5.2.9. Zwar fixt QNAP auch in den veralteten Apps noch kritische Sicherheitslücken, aber wie sicher das ist, naja, bin mir da nicht so sicher.

    Ich persönlich würde so eine NAS zumindest niemals von außen zugänglich machen!!!!



    Du hast drei Ports offen, weißt aber nicht genau wofür. Das ist schlecht.

    Port 80 (http) brauchst du nur ein paar mal im Jahr für das Ausstellen des Lets Encrypt Zertifikats, sonst hat der Port im Internet nichts verloren.

    Port 443 (https) brauchst du für den Webserver.

    Warum du 8080, den unverschlüsselten QTS Zugriff ins Internet stellst ist mir ein Rätsel, ebenso port 8081.



    Wie hast du dich an der DB angemeldet? Der Webserver von QNAP ist leicht veraltet, wurde hier im Forum schon oft kritisiert und daher hat der nichts im Internet verloren. Der phpMyAdmin aus dem AppCenter ist von 2017. Der hat rein gar nichts im Internet verloren.

    Und das ist vermutlich auch, wie der Angriff abgelaufen ist. Eine allseits bekannte Lücke im phpMyAdmin wurde ausgenutzt.

    Somit ist QTS deiner NAS vermutlich nicht betroffen.


    Wie hast du die Logins in die MySQL DB abgesichert? Ich weiß nicht, ob man mit QTS den myPhpAdmin absichern kann?


    Wenn du von der NAS einen WebServer für das Internet betreiben willst, dann solltest du diesen selbst aufsetzen, d.h. im Docker Apache, MySql und phpMyAdmin installieren und aktuell halten. Du kannst auch nach fertigen Docker Images suchen. (man fasst die Kombination gerne unter dem stickwort LAMP bzw. LEMP zusammen). Und dann hast du auch die Möglichkeit, nach x fehlerhaften Logins am phpMyadmin die IP zu sperren (fail2ban).


    Kurzum, die Frage die sich stellt ist, lohnt sich der Aufwand? Wäre es nicht einfacher, wenn du deine NAS nicht ins Internet setzt, und nur per VPN auf die NAS zugreifst. Für den Webserver und eine ständig verfügbare SQL DB auch ohne VPN kann man sich für ein oder zwei Euro im Monat eine Webhosting mieten, mit fester IP, schöner Domain, und abgesicherten SQL DB.