Hackversuch?

  • habe heute diese beiden Meldungen bekommen

  • Wenn man Dienste ins WAN propagiert, kann das schon vorkommen.

    Wenn Du eine konkrete Frage hast, dann her damit.

  • Hab ich schon in Log-Dateien tausendfach gesehen :)


    Im Hausgebrauch hab ich einfach alle IP´s lebenslang geblockt, die sich mehr als 3x falsch angemeldet haben.

    Kann man über die Weboberfläche unter Sicherheit irgendwo einstellen (jedenfalls beim HS-251+).

  • Im Hausgebrauch hab ich einfach alle IP´s lebenslang geblockt, die sich mehr als 3x falsch angemeldet haben.

    Das ist doch eine perfekte Konfiguration zur Unterstützung von DoS-Attacken. Würde statt dessen eine zeitlich limitierte Blockade konfigurieren, die nicht zu kurz sein sollte, um einfache Bots abzuwehren.

  • Wenn mal wieder ein exploit für qts vorhanden ist..dann reicht ein Versuch...also bringts Blocken nix

  • Also ich hatte nun gestern auch so ein Versuch, mein NAS zu kapern. Gut wäre ja eine Funktion, die bei mehrfachen Versuchen mit unterschiedlichen IP-Adressen ganze Adressbereiche zeitlich begrenzt dann blockiert. Also ein Filter, der dann vorbeugend die Bereiche abgrenzt.


    Bei mir waren es über 200 Versuche, mit dem admin auf den Speicher zu kommen.


    Was ich jedoch nicht verstehe, warum DDOS-Attacken eher damit provoziert werden sollen, wenn IP's lebenslang gesperrt sind, im Vergleich zu IP-Adressen, die nur zeitlich gesperrt werden. Vielleicht kann mir da ja jemand auf die Sprünge helfen

  • Dann solltest du dein NAS halt nich öffentlich erreichbar machen.


    Hattest wohl Glück das hier nur ein harmloses Botnet auf dich losgegangen ist.


    Wäre da eine weiter Entwicklung am Start gewesen, hätte es einen neuen Admin.


    QTS hat auch in der neusten Version die eine oder andere Lücke, wird die gezielt ausgenutzt bekommst du nicht mal einen Logeintrag.


    Schaue dich mal um wie viele hier Malware auf dem NAS hatten und wie lange das unbemerkt blieb. Es ist immer erst an den Folgen aufgefallen.

    Warum kann ich keine Updates mehr machen und das seit Wochen, kam da meist zuerst.



    Schaffe dir eine richtige Firewall an, die kann sowas, zudem ist damit auch eingehendes Geoblocking möglich.

    IPs außerhalb Europa brauchen nicht von außen bei mir rein.

    Aber das sind dynamische Listen, die sich immer wieder ändern können, die müssen sich also täglich updaten.


    Der QTS IP Filter nutzt eher wenig, habe das alles abgeschaltet, da er bei einem vertipper mal enen LAN IPs blockt.

    Einzig der TFTP, denn ich für meinen Switch benötige, hat eine allow list für mein internes Netz.

    Schafft es aber jemand durch die Firewall ist es eh aus.

  • Hallo Dennis, leider gehst du nicht auf meine Fragestellung ein. Um mögliche Sicherheitsrisiken zu erkennen, möchte oder muss ich sie sogar besser gesagt verstehen. Daher wäre mir eine Beantwortung der Frage hilfreicher.

  • Dann habe ich die Fragezeichen übersehen.


    Beschäftige dich mit einer Firewall oder einer UTM, die ein IDS/IPS mit dabei hat, die kann so etwas.


    Da das aber extrem komplex ist und viel Fachwissen und manuelle Pflege bedarf, wird das nicht in absehbarer Zeit in ein NAS implementiert.


    Also schön ja, aber gibts doch schon als Sicherheitslösung.

    Musst sie dir nur aufbauen und vors NAS setzen.

  • Was ich jedoch nicht verstehe, warum DDOS-Attacken eher damit provoziert werden sollen, wenn IP's lebenslang gesperrt sind, im Vergleich zu IP-Adressen, die nur zeitlich gesperrt werden.

    Die schwarzen Schafe des Internets werden solche IP-Adressen nicht sehr lange verwenden, wenn die IP denn überhaupt je in deren Besitz war. Das Ganze ist sehr dynamitisch äh, dynamisch und ist von Hand kaum zu verwalten. Wie Crazyhorse schon geschrieben hat gibt es dafür geeignete Geräte und Dienste die dies übernehmen. IP-Adressen auf Dauer sperren bringt nur etwas, wenn man gezielt etwas sperren will, wie z.B. Facebook, Whatsapp, Instagram etc. :evil::)

  • Was ich jedoch nicht verstehe, warum DDOS-Attacken eher damit provoziert werden sollen, wenn IP's lebenslang gesperrt sind, im Vergleich zu IP-Adressen, die nur zeitlich gesperrt werden. Vielleicht kann mir da ja jemand auf die Sprünge helfen

    Nicht DDoS, DoS. Jemand schickt Dir ein Angriffspaket mit gefälschter Absenderadresse und schon sperrst Du lebenslang den vermeintlichen Angreifer. Das ergibt entweder für den echten Besitzer der missbrauchten Adresse einen Denial of Service, weil er Dich nicht mehr erreicht - oder für Dich, weil Du von ihm nicht mehr erreicht wirst. Ist aber nicht "distributed", deshalb nur ein D am Anfang.

  • Hast du das überprüft, das QNAP das nicht als reinen inbound Filter betreibt?

    Denn wenn das zutrifft, macht der im QTS eingebaute Schutz noch weniger Sinn.


    Richtige Firewalls blocken Angreifer daher nicht dauerhaft, da die IPs ständig wechseln.


    Von festen IPs geht selten etwas aus, meist sind irgendwelche SoHo oder IOT Geräte Quelle an einem Anschluss mit dynamischer IP.