Angriff von NAS

  • Hallo @all,


    Mein Server wurde heute um 09:17:30 Uhr versucht von einer (gehackten?)QNAP NAS anzugreifen.

    Die Filterreglung hat natürlich gegriffen und die IP gleich gesperrt.;)


    Zu den Details:

    Die IP. 176.25.182.xxx (die letzten stellen aus Datenschutzgründen gexxxxt)

    Der Name: NASE648B2

    Das Webinterface ist über das I-net erreichbar.

    ISP SKY UK Limited

    Usage Type Fixed Line ISP

    Domain Name sky.com

    Country

    City Birmingham, England


    Vielleicht kann es ja zu Schadensbegrenzung Publik gemacht werden.


    gruß sirius01:)8):)

  • sirius01


    Ich sage mal Danke. Wenn ich aber alle Angriffe Posten würde die bei mir eingehen ... joa ... .

    Als ich damals den Logger laufen hatte waren so 1000 bis 5000 Anfragen am Tag locker drin. Es gab auch mal peaks mit über 100000 Anfragen am Tag. Damit meine ich nicht Portscanns sondern wirklich versuche auf mein NAS zu kommen(mit Benutzername und Password).

    Das wird den anderen nicht anders gehen.


    Mich hat es daher bewogen mein NAS und seine Dienste nicht mehr im Internet zur Verfügung zu stellen.



    Was ich aber positiv finde ist das du anscheinend dein Server gut schützt - weiter so.


    Friis

  • Ich hatte vor Jahren einmal eine gehackte NAS.

    Also habe ich das Teil neu eingerichtet und über die Fritzbox ein I-net Verbot erteilt^^.

    Nur für Updates darf sie mal kurz ins Netz:D.

    Ich sage immer: Traue keiner Software, die Du nicht bis ins kleinste Detail kennst;).

    Angegriffen wurde aber mein Webserver.

    Erreichen wollte ich: Ein Qnapper hilft einen anderen Qnapper:qclub:. Oder wie auch immer.:cup:


    gruß sirius01:)8):)


    rednag


    Einmal editiert, zuletzt von sirius01 () aus folgendem Grund: Nachtrag

  • Erreichen wollte ich: Ein Qnapper hilft einen anderen Qnapper :qclub: . Oder wie auch immer. :cup:

    Alles Gut. Ist auch irgendwo richtig nur die Frag ob Forum so der richtige Ort ist - ich wüsste aber auch nicht wohin - Quasselbox?


    Der Angriffsvektor wäre interessant zu wissen.

    Jap das wäre gut.


    VG

    Friis

  • sirius01


    Laut dem Snippet einfach nur stur irgendwelche Adressen für MySQL/PMA durchprobiert. Erst wenn da was geantwortet hätte, wäre es mit BruteForce o. ä. weitergegangen.

  • Mal ganz locker. Es geht mir nicht um den kleinen Scan. Das habe ich täglich überhauf.

    Nur schon lange nicht mehr von einer Qnap.

    Daher wäre interessant gewesen:

    Gibt es vielleicht eine neue Sicherheitslücke(wenn der User nicht grob leichtsinnig ist).

    Beziehungsweise(was sehr unwahrscheinlich ist)

    der Benutzer dieser NAS mit liest und kann das Problem lösen. Das ist alles.

    @Frriis, Du beziehst Dich auf meinem Nachtrag.

    Nun, ich kann in diesen Forum nicht auf meine eigenen Antworten antworten.


    Alles Klar;)?

  • Also habe ich das Teil neu eingerichtet und über die Fritzbox ein I-net Verbot erteilt .

    Nur für Updates darf sie mal kurz ins Netz


    Wie soll sie dann angegriffen werden ?


    Gibt es vielleicht eine neue Sicherheitslücke


    Das wirst du erst erfahren wenn sie gefixt wurde. Habe bis jetzt noch erlebt das Qnap über eine Lücke vorab infomiert. Oder habe ich überlesen ?

  • Das wirst du erst erfahren wenn sie gefixt wurde.

    Alles Andere wäre ja auch fatal.

    Es wäre quasi eine Einladung an alle potenziellen Hacker, auf eine ungefixte Lücke hinzuweisen.


    Frei nach dem Motto: "Liebe Hacker, tobt euch aus, bis wir den Fix haben."

  • Jagi ,

    Es ging mir nicht im Beitrag um meine NAS!

    Das war ca. 2012/2013 daher nicht relevant.


    Na klar schreibt hier keiner über eine Sicherheitslücke(wenn es denn eine ist).

    Vielleicht arbeitet der Betroffene ja auch mit einem so hoch komplexen Passwort wie 123456.

    Das war mehr ein Wink wie mit dem Zaunpfahl.

    Nach dem Motto. Schaut mal rüber. Vielleicht ist es ja doch etwas ernstes.


    gruß sirius01:)8):)

    Einmal editiert, zuletzt von sirius01 ()

  • Hallo @all,


    ich habe mal ein Auszug von 10.11.2018 bis 13.02.2019 mit diesen Suchmuster vom Beitrag

    Angrif von NAS ausgewertet. In dieser Zeit wurde dieser "kleine"Scan

    von 21 IPs durchgeführt. Davon waren 12 als Qnap im Web erreichbar. Wie viel von den nicht mehr erreichbaren durch eine Dynamische IP oder durch auffinden/vom Netz nehmen, Qnaps waren lässt sich natürlich nicht mehr klären;).

    Wie aktuell die Software der betroffenen Qnaps sind kann ich auch nicht erkennen.;)

    Die Spezies sollten da mal wirklich drauf schauen:cup:.


    gruß sirius01:)8):)

  • christian

    Hat den Titel des Themas von „Angrif von NAS“ zu „Angriff von NAS“ geändert.