Bin gehackt worden und nun ist meine Datenbank futsch bzw verschlüsselt und bekomme die Daten nur gegen Zahlung wieder

    Auf diesem NAS ist nur der Webserver offen für die (eigene) Webseite. (sollte zumindest so sein)

    Dieses werde ich zukünftig per VPN realisieren wollen- muss mich da noch einlesen


    Warum diese Ports offen sind weiss ich heute nicht mehr genau - ist seit Jahren so. Hing aber m. Erinnerung nach mit der Qnapcloud zusammen.


    werde mal peuapeu deaktivieren und schauen was passiert.


    Die Einstellungen ist dass nach 5 fehlerhaften Logins innert 30Minuten die IP für 24 Stunden gesperrt wird, das für alle Zugangsmöglichkeiten


    Die Anmeldung in der DB erfolgt immer nur innerhalb des aufgerufenen PHP scripts.

    Es gibt keine Eingabemöglichkeit für den Zugang zur DB


    Nochmals... das ganze ist nur ne (private) Spielerei ohen irgendwelche personenbezogenen Daten.

    Es lässt sich jederzeit auf das eigene Netzwerk beschränken (obwohl ich auch gerne vom Büro aus mal eben draufschauen mag)

    Das müsst ja auch per VPN gehen

    Aber kann es nicht sein, dass der phpMyAdmin damit auch aus dem Internet erreichbar ist. Du leitest ja den Port 8080 nach außen weiter, somit sollte der phpMyAdmin auch vom Internet aus erreichbar sein, somit deine Datenbank.


    Die Zugangssperre gilt nur für QTS. Davon sind drittanbieter Apps ausgeschlossen, bspw. der phpMyAdmin.

    Zitat von UpSpin

    Kurzum, die Frage die sich stellt ist, lohnt sich der Aufwand? Wäre es nicht einfacher, wenn du deine NAS nicht ins Internet setzt, und nur per VPN auf die NAS zugreifst. Für den Webserver und eine ständig verfügbare SQL DB auch ohne VPN kann man sich für ein oder zwei Euro im Monat eine Webhosting mieten, mit fester IP, schöner Domain, und abgesicherten SQL DB.

    das ist auch meiner Meinung nach die bessere Wahl, alternativ eine Debian VM mit LAMP und Fail2ban die Aktuell gehalten wird, da ist es auch nicht das Ding eine Webseite drauf zu machen.

    Die VM kann man Sichern, ist bei weitem Aktueller als die Qnap Sachen, SSL kein Ding, Fail2ban ist schon einer der wichtigen Sachen, Login auf Root Ebene ist ohne PW möglich...und so weiter.

    Alles andere, bei der alten Software führt über kurz oder lang zu Problemen, wo es durchaus dann auch schlimmer kommen kann als es jetzt schon war/ist.


    Ich betreibe seit einigen Jahren ein paar Root Server wo auch das eine oder andere am lieben langen Tag passiert, im Schnitt sind es ca. 1000-3000 Mail am Tag von Versuchen sich mal einzuloggen.... der Login via SSH ist aber nicht mit eingerechnet, weil das schlicht und einfach nicht geht

    also nur Sachen wie FTP, Mail, Webserver....das sollte ausreichen


    :cup:

    carstene


    ich will dein Thema nicht kapern, aber es zeigt wieder mal auf erschreckende Art und Weise wie schnell und anscheinend einfach so etwas gehen kann.


    Weil du ja sicherlich nicht auf den Komfort verzichten möchtest, bestünde die für mich sicherste Lösung die Grafiken/Tabellen bei einen Webspaceprovider durch das NAS automatisch hoch laden zu lassen(überschreiben) und dann von dort anzusehen. Das kann man ja stündlich veranlassen, falls notwendig. Das schlimmste was dir dann passieren kann ist das dir einer den Webspace mit dann dort vorhandenen Daten "wegnimmt".


    christian

    Ich weis nicht ob man ein Forum dazu gebrauchen kann, allen von dem direkten Zugang auf das NAS aus dem Internet(für den Heimgebrauch) abzuraten(?).
    Ich weis jeder ist seinen Glückes Schmied und so ... aber scheint sich ja mittlerweile zu häufen, das die NAS von "außen" erfolgreich angegriffen werden.



    VG

    Friis

    Angstmache :) Täglich werden zig tausend root Server gehackt, ist die Welt deshalb untergegangen? Nein!


    Wenn man bedenkt, gerade im Gaming Bereich wieviele Kinder schon ab 10 Jahren einen eigenen root Server anmieten, aber nicht die leiseste Ahnung davon haben wie man den vor angriffen absichert. Aber nicht nur Kinder, gibt auch von Erwachsenen zig tausend Kisten im Netz die seit Jahren kein Update mehr gesehen haben.


    Meinen Rootserver habe ich jetzt seit ca. 17 Jahren, bis jetzt keine Probleme, aber der ist auch sehr gut abgesichert, dennoch gibt es keine 100% Sicherheit.


    Privat muss ich gestehen schau ich überhaupt nicht auf Sicherheit. Sicherheitsupdates? Was ist das? :D Muss halt jeder selber wissen wie wichtig einem seine privaten Daten sind. ;)

    Zitat von Capitaneus

    Angstmache :) Täglich werden zig tausend root Server gehackt

    am Thema vorbei und dieser Beitrag hilft nicht wirklich weiter, sei so gut und las diese Art von Beiträgen sein....

    es ist schon traurig genug das so was überhaupt passiert zumal der User davon Ausgeht das so eine Qnap Sicher ist...

    Schöner wäre gewesen wenn das Einfallstor gefunden worden wäre...


    Capitaneus nicht ein einziger Beitrag von dir in diesem Fall hier war Hilfreich....schade das ich das mal so sagen muss

    aber das ist nur meine Persönliche Meinung und die wollte ich hier mal Kundtun


    christian du kannst wegen meiner das hier löschen...


    :cup:

    ich habe an dem Punkt auch keine Panik


    doff ist dass die Datensätze futsch sind. Hätte ja sichern können. Steht eben jetzt auf dem Hausaufgabenzettel


    Für alles andere habe ich doppelt und dreifache Datensicherung mit zB externen Festplatten die nur zur Sicherung angeschlossen werden


    Sicher ist nichts. Wer will der kann, HW hängt immer dem aktuellen Zeitgeschehen nach, Updates ebenso.


    Deshalb muss mann es ja nicht einfach machen....


    nemen wir das Gelernte und demnaächst gehts über VPN

    So wie das gelesen habe, lief das ganze direkt auf dem Qnap ?

    Ich würde so was immer in einer VM betreiben, passiert da was, ist es nicht so tragisch da er nicht auf das Haupt System kommt.

    Und Port 8080 und 8081 freizugeben ist selten dämlich, wie schon geschrieben wurde würde ich auch Port 80 nicht freigeben, sondern nur 443 für https.

    Ist nicht mehr wie vor 10 Jahren wo noch fast jede Page über Port 80 unverschlüsselt läuft, heutzutage sind so gut wie alle Pages auf https umgestellt und über Port 80 garnicht mehr zu erreichen. Da MYSQL Port nicht offen war, kann er eigentlich nur direkt über QTS Login eingebrochen sein. Und ein Nas mit komplett veralteten QTS ins Netz zu stellen ist auch nicht sehr schlau. Auser PHPMYADMIN war über Port 80 erreichbar. ;(

    Edit: Wenn du ne Page in Internet stellst, nutz am besten Cloudflare damit wird deine echte ip versteckt da es übe die Cloudflare Server läuft.

    Cloudflare filtert auch solche Attacken.

    Einmal editiert, zuletzt von Ceiber3 ()

    Zitat von Friis

    christian


    Ich weis nicht ob man ein Forum dazu gebrauchen kann, allen von dem direkten Zugang auf das NAS aus dem Internet(für den Heimgebrauch) abzuraten(?).

    christian :

    Ich weiß nicht genau, ob es zu dem Thema schon gute Anleitungen / Blogbeiträge gibt, ich meine aber schon. Aber da das Thema immer wieder virulent wird und dann hinterher jemand mit Totalschaden vor den rauchenden Trümmern seiner Daten steht sollte man einen solchen vielleicht ganz prominent im Menu oder unübersehbar in der Forenliste festpinnen. Am besten rot hinterlegt mit Warnzeichen. Damit einfach weniger auf die (dumme) Idee kommen, selbst einen Webserver o.ä. einfach mit einer Portweiterleitung ins Netz zu hängen. Das ist nichts für Endanwender ohne vernünftige Netzwerkkenntnisse und man sollte IMMER davon ausgehen, irgendwann gehackt zu werden, wenn man sowas tut. Und auch die Werbnung von QNAP und anderen sollte man dementsprechend kritisch sehen, die suggeriert, dass der Hersteller da schon alles richtig gemacht haben wird. Es gibt da einfach zu viele Fallstricke und in der Kombination ist das einfach brandgefährlich, wie man mal wieder sieht.


    Edit: Mavalok2 , Du bist doch immer so ein fleißiger ( und guter ) Anleitungsschreiber...hast Du nicht schonmal was passendes verfasst ?

    Einmal editiert, zuletzt von nasferatu ()

    Zun Thema Sicherheit habe ich unter anderem dies geschrieben:

    Sicherheit – Malware und Sicherheitslücken auf dem NAS

    Sicherheit - Security Tools für die QNAP


    Aber ein Bericht wie IT-Sicherheit funktioniert? Das ist eine Ausbildung und ein Job. Man kann genauso wenig mal in ein Artikel schreiben wie ein Auto zu reparieren ist. Wie beim Autoreparieren gilt aber: Wer keine Ahnung hat lässt besser die Finger davon, in dem Fall bleibt die QNAP einfach zuhause, also nicht nach Aussen öffnen.

    Ich behauptet mal sehr frech, dass ich ein ganz klein wenig Ahnung von Sicherheit habe. Aber ohne entsprechende Infrastruktur wie Firewall, Viruswall, Filter etc. würde ich mich nicht trauen meine QNAP ins Netz zu stellen. Und die "Firewalls" in den Routern... Nun ja, ich meine echte Firewalls. Das in den Routern ist... was auch immer, aber keine wirkliche Firewall und Sicherheit für ins Netz gestellte Geräte sieht anders aus.

    Sorry, aber sehe hier keinen Grund irgendwas schön zu reden.

    Zitat von Ceiber3

    PFsense/Opensense ist doch ne gute Firewall.

    Die dann aber auf die QNAP rauf zu klatschen - auch virtuell - wo alle Daten liegen und mit löchrigem nicht gehärtetem Betriebssystem will mir auch keinen Sinn ergeben.

    Zitat von carstene

    Also VPN

    Richtig. Denn ohne richtig Kohle in die Hand zu nehmen ist dies aus meiner Sicht die einzige brauchbare Lösung.

    Nea ich habe hier noch nen älteren PC mit Intel i7 2600 und 8 G Ram und 5x Gbit Nic. Den habe ich zumbeispiel schon als Opensense genutzt.

    1 Lan Port eingang Gateway und 4 x Lan zum Switch und Geräte. War ja auch nie die Rede von es auf das Qnap zu installieren.

    Pfsense gibt es auch für die QNAP. Nicht dass jetzt jemand meint, dass ich solch eine Lösung empfehlen würde. Ich bin der Meinung, dass Sicherheit getrennt auf spezielle dafür vorgesehenen und konfigurierten Geräten laufen sollten. Ich weiß, da gehen die Meinungen auch schon auseinander - meistens jedoch auch Kostengründen.


    Ceiber3

    Aber Deine Lösung ist der richtige Ansatz, auch mit etwas schmäleren Budget. Aber ohne Wissen oder dem Aneignen von selbigen geht hier mal gar nücht mehr.

    Ich fummel mich gerade in das VPN rein


    Ich glaube im Studium hatten wir da doch was anderes


    Die Einstellungen auf dem NAS sind gemacht, die Netzwerkverbindungen nur noch auf zugelassene IP Adressen im eigenen Netzwerk eingestellt


    bis hierhin klappts auch mit der Webseite


    Nach der Anleitung mache ich das VPN

    VPN auf dem QNAP einrichten


    Jetzt brauche ich wohl diesen DYNDNS Dients. Der Qnapeigene wird hier nciht empfohlen...

    Die die ich finde sind aber kostenpflichtig. Kostenlose verkaufen lt "Computer Bild" Daten

    grmpffff


    Hat da jemand ne brauchbare empfehlung was ich da nehmen könnte (suche selbstverzüglich auch selbst...)


    neee... ich brauche neen DYNDNS dienst...

    Zitat von Mavalok2

    Aber ein Bericht wie IT-Sicherheit funktioniert? Das ist eine Ausbildung und ein Job.

    Nein, so meine ich das ja nicht. Eine kurze BestPractice Liste mit Verweisen auf z.B. Deine Artikel oder von angelluck, die eine schöne VPN Anleitung geschrieben hat.


    Nach dem Motto: Ich will Zugriff auf mein NAS von außen: wie sollte ich AUF GAR KEINEN FALL vorgehen....


    Quasi "Die 10 dümmsten Ideen wie ich garantiert gehackt werde".


    Natürlich ersetzt das keine Ausbildung, man kann eh nicht alles wissen. Aber eben nicht einfach die Datenbank per Portweiterleitung ins Netz hängen usw. Man sieht ja, dass es da Bedarf gibt...


    Und das sollte eben am besten gleich an prominenter Stelle und gut sichtbar hier im Forum zu sehen sein.