Angriff von NAS

  • Hallo @all,


    Mein Server wurde heute um 09:17:30 Uhr versucht von einer (gehackten?)QNAP NAS anzugreifen.

    Die Filterreglung hat natürlich gegriffen und die IP gleich gesperrt.;)


    Zu den Details:

    Die IP. 176.25.182.xxx (die letzten stellen aus Datenschutzgründen gexxxxt)

    Der Name: NASE648B2

    Das Webinterface ist über das I-net erreichbar.

    ISP SKY UK Limited

    Usage Type Fixed Line ISP

    Domain Name sky.com

    Country

    City Birmingham, England


    Vielleicht kann es ja zu Schadensbegrenzung Publik gemacht werden.


    gruß sirius01:)8):)

  • sirius01


    Ich sage mal Danke. Wenn ich aber alle Angriffe Posten würde die bei mir eingehen ... joa ... .

    Als ich damals den Logger laufen hatte waren so 1000 bis 5000 Anfragen am Tag locker drin. Es gab auch mal peaks mit über 100000 Anfragen am Tag. Damit meine ich nicht Portscanns sondern wirklich versuche auf mein NAS zu kommen(mit Benutzername und Password).

    Das wird den anderen nicht anders gehen.


    Mich hat es daher bewogen mein NAS und seine Dienste nicht mehr im Internet zur Verfügung zu stellen.



    Was ich aber positiv finde ist das du anscheinend dein Server gut schützt - weiter so.


    Friis

  • Ich hatte vor Jahren einmal eine gehackte NAS.

    Also habe ich das Teil neu eingerichtet und über die Fritzbox ein I-net Verbot erteilt^^.

    Nur für Updates darf sie mal kurz ins Netz:D.

    Ich sage immer: Traue keiner Software, die Du nicht bis ins kleinste Detail kennst;).

    Angegriffen wurde aber mein Webserver.

    Erreichen wollte ich: Ein Qnapper hilft einen anderen Qnapper:qclub:. Oder wie auch immer.:cup:


    gruß sirius01:)8):)


    rednag


    Einmal editiert, zuletzt von sirius01 () aus folgendem Grund: Nachtrag

  • Erreichen wollte ich: Ein Qnapper hilft einen anderen Qnapper :qclub: . Oder wie auch immer. :cup:

    Alles Gut. Ist auch irgendwo richtig nur die Frag ob Forum so der richtige Ort ist - ich wüsste aber auch nicht wohin - Quasselbox?


    Der Angriffsvektor wäre interessant zu wissen.

    Jap das wäre gut.


    VG

    Friis

  • sirius01


    Laut dem Snippet einfach nur stur irgendwelche Adressen für MySQL/PMA durchprobiert. Erst wenn da was geantwortet hätte, wäre es mit BruteForce o. ä. weitergegangen.

  • sirius01


    Das was da passiert ist - das ist ja noch grün! Ein kleiner Scan ...


    VG

    Friis

  • Mal ganz locker. Es geht mir nicht um den kleinen Scan. Das habe ich täglich überhauf.

    Nur schon lange nicht mehr von einer Qnap.

    Daher wäre interessant gewesen:

    Gibt es vielleicht eine neue Sicherheitslücke(wenn der User nicht grob leichtsinnig ist).

    Beziehungsweise(was sehr unwahrscheinlich ist)

    der Benutzer dieser NAS mit liest und kann das Problem lösen. Das ist alles.

    @Frriis, Du beziehst Dich auf meinem Nachtrag.

    Nun, ich kann in diesen Forum nicht auf meine eigenen Antworten antworten.


    Alles Klar;)?

  • Also habe ich das Teil neu eingerichtet und über die Fritzbox ein I-net Verbot erteilt .

    Nur für Updates darf sie mal kurz ins Netz


    Wie soll sie dann angegriffen werden ?


    Gibt es vielleicht eine neue Sicherheitslücke


    Das wirst du erst erfahren wenn sie gefixt wurde. Habe bis jetzt noch erlebt das Qnap über eine Lücke vorab infomiert. Oder habe ich überlesen ?

  • Das wirst du erst erfahren wenn sie gefixt wurde.

    Alles Andere wäre ja auch fatal.

    Es wäre quasi eine Einladung an alle potenziellen Hacker, auf eine ungefixte Lücke hinzuweisen.


    Frei nach dem Motto: "Liebe Hacker, tobt euch aus, bis wir den Fix haben."

  • Jagnix,

    Es ging mir nicht im Beitrag um meine NAS!

    Das war ca. 2012/2013 daher nicht relevant.


    Na klar schreibt hier keiner über eine Sicherheitslücke(wenn es denn eine ist).

    Vielleicht arbeitet der Betroffene ja auch mit einem so hoch komplexen Passwort wie 123456.

    Das war mehr ein Wink wie mit dem Zaunpfahl.

    Nach dem Motto. Schaut mal rüber. Vielleicht ist es ja doch etwas ernstes.


    gruß sirius01:)8):)

    Einmal editiert, zuletzt von sirius01 ()

  • Hallo @all,


    ich habe mal ein Auszug von 10.11.2018 bis 13.02.2019 mit diesen Suchmuster vom Beitrag

    Angrif von NAS ausgewertet. In dieser Zeit wurde dieser "kleine"Scan

    von 21 IPs durchgeführt. Davon waren 12 als Qnap im Web erreichbar. Wie viel von den nicht mehr erreichbaren durch eine Dynamische IP oder durch auffinden/vom Netz nehmen, Qnaps waren lässt sich natürlich nicht mehr klären;).

    Wie aktuell die Software der betroffenen Qnaps sind kann ich auch nicht erkennen.;)

    Die Spezies sollten da mal wirklich drauf schauen:cup:.


    gruß sirius01:)8):)

  • christian

    Hat den Titel des Themas von „Angrif von NAS“ zu „Angriff von NAS“ geändert.
  • Ich wollte mich nun auch einmal zu dem Thema melden, nachdem ich heute Vormittag einen Angriff aus Indien bekam. An sich finde ich das nicht besonders erwähnenswert, was mich jedoch stutzig macht... ich nutze keine Nutzernamen wie admin, ftp etc. Der Angriff war allerdings genau auf das Konto, welches mein Admin-Konto ist. Dieses hat eine sehr spezielle Schreibweise und selbst diese Schreibweise wurde berücksichtigt. Diese Schreibweise nutze ich auch nur für das NAS. Es ist also nicht möglich, die Daten irgendwo anders her zu bekommen. Nur wie kann jemand überhaupt so einen Nutzernamen heraus bekommen? Was mich auch stutzig macht, diese IP versuchte auf den FTP-Dienst zuzugreifen, was ich bisher nie mit dem Konto gemacht habe (falls jemand meint, die Daten werden ja unverschlüsselt evtl. übertragen und so kann man den Namen herausbekommen)


    Wie kommt man nun aber an solche Daten?


    von Utrace bekam ich folgende Info zur IP


    Whois

    Details zur IP-Adresse 112.196.51.28
  • eol25 ,


    poste mal bitte den entsprechen Ausschnitt aus dem Log.


    gruß sirius01:)8):)

  • ich nutze keine Nutzernamen wie admin


    Doch tust du. Du kannst diesen zwar deaktivieren und einen andern User zum admin erklären, aber dieser hat nicht die selben Rechte wie der eigentliche admin.

  • Hast du schonmal den Malware Remover laufen lassen ?


    zumal dessen Passwort ich nicht mal weiß, da ich die Passwörter von meinem Manager generieren lasse


    Ernsthaft? Und was machst du wenn der PWD-Manager die grätsche macht ?

  • Ja der Maleware Remover läuft bei mir täglich 5 Uhr durch.
    Wenn der Passwort Manager ne Grätsche macht, bin ich aufgeschmissen =O;(=O
    Aber ich habe von dem Manager auch eine Sicherung, welche lokal und auf dem Handy gesichert wird, jedoch nur durch eine Schlüsseldatei zu öffnen ist, die wiederum gegen Zugriff gesichert ist. Ich hatte mir da schon Gedanken zu gemacht, wie ich das einigermaßen hin bekomme, Sicherheit und Sicherung auf einen grünen Zweig zu bekommen. Hoffe ich zumindest, nur gehen bei mir Alarmglocken, wenn jemand so spezielle Nutzernamen versucht. Bisher waren die Angriffe auch nur auf den admin account oder eben ftp oder anonymus... naja was halt als Standard so durchprobiert wird von den Bots

  • Hast Du vielleicht ein Gerät(z.B.Android) im Lokalen Netzwerk, welches lauscht;)?


    gruß sirius01:)8):)