Sagt mal, kommt es mir nur so vor oder ist es wirklich ruhiger geworden mit den Versuchen, auf das NAS nicht berechtigter weise zuzugreifen? Ich bekomme zumindest kaum noch Meldungen diesbezüglich?
Zugriffsversuche auf das NAS
- eol25
- Unerledigt
-
Ich habe dies noch nie gehabt, aber mein NAS ist auch nicht aus dem Internet erreichbar
Bleibt zu hoffen, dass das nicht die Ruhe vor dem Sturm ist...
-
Oder die sind shon drauf ..dann ist wird der Zugriff ja net mehr nur "Versucht"
-
Im Zweifel würde ich letzeres annehmen.
Ich glaube kaum, dass die bösen Buben gerade eine Pause machen
-
Wenn sich eine Person/ Gruppe auf dem Gerät eingenistet hat, wieso sollten dann alle anderen die Finger davon lassen?
Die Versuche von anderen müssten dann ja dennoch auftreten... Denke ich mir so...
-
Weil auch die Leute im Cypercrime arbeitsteilig arbeiten und infos für kompromittierte Systeme und gefundene Lücken die Runde machen.
-
Ja schon, aber bei so einem -sorry- Pimmelsystem, dass eher dem Spaß dient hätte ich das nicht vermutet...
Aber wenn dem so ist würde ich mir jetzt besser Sorgen machen!
-
Wenn so ein NAS erstmal Teil eines oder mehrerer Botnetze ist, spielt die einzelne Hardware nur eine untergeordnete Rolle. Zum versenden von ein paar Anfragen für DDos Angriffe oder Spammails reicht das locker, nachdem was ich gelesen habe.
Nicht zuletzt sind ja auch Netzwerk-Router so begehrt, die sind höchst identisch, massenhaft vorhanden und teils schlecht gesichert, genau wie einige / viele NAS da draussen.
-
-
Mir wären eigentlich Erfahrungsberichte anderer hilfreich gewesen. die ähnliche oder andere Beobachtungen gerade machen
Da wird es in Foren wenig Erfahrungen zu geben die regelmäßigen Besucher setzen ihre NAS halt nicht dem offenen Internet aus.. auf Reddit gibts wohl einige .. also mal da gucken/fragen
-
Eine QNAP gehört nicht ins WAN, das ist so.
Dieser Käse, dass meine QNAP gekapert wurde von russischen, chinesischen Hackern, ist Blödsinn
-
So, nun mal abgesehen von den ganzen Besserwessies hier und denen die hoch wichtig antworten "habe meinen NAS eh nicht im Internet" und damit eine Nullsummenkommunikation und leeres Gerausche verursachen:
Es ist zweifellos ruhiger geworden, so scheint mir auch, aber auch mich würde es ernsthaft und freundlich interessieren, was sich überhaupt dahinter verbirgt, wenn man als Admin eine Mail von seinem NAS bekommt, dass "user admin" einen erfolglosen Versuch des Login unternommen habe. Oder user "aral" und wie sie alle heißen.
Natürlich können das Versuche sein, so einen Server zu kapern. Aber woher weiß überhaupt der Versucher, dass gerade diese NAS unter jener, dynamischen IP existiert?
Was ich auch annehme ist, dass man mit "MyQnapColoud" ja quasi einen DynDNS Service nutzt. Und bei stets wechselnden IP-Adressen wird ja der Klartext jeweils in bestimmten Zeitabständen aktualisiert. In dem Zeitraum aber, wo die IP (zB. durch die Telekom nachts um 3h) zwangsweise geändert wurde, "MyQnapCloud" aber noch nicht aktualisiert wurde, zeigt dieser MyQnapCloud-Server zwangsweise mit dem Klarnamen auf einen falsche, nämlich inzwischen geänderte IP. Wenn dann also in dieser Zeit ein NAS-Admin oder anderer user "seinen" Server per MyQnapCloud als admin aufrufen will, wird der Klarname auf eine veraltete (im engeren Sinne nicht "falsche") IP umgelenkt und landet zwingend als falscher Admin- oder user-login-Versuch bei einem völlig unbekannten Server hoffentlich im Fehlerlog.
Ich erkläre mir das Abnhemen der fälschlichen Login-Versuche damit, dass QNAP einfach die Aktualiserungsfrequenz dieses DynDNS-Services erhöht hat, was natürlich zu mehr korrekten Treffern/Logins führen muss.Zweifellos ist es immer ein blödes Gefühl, über abgewiesene LoginVersuche informiert zu werden. Früher hatte ich mal selbst einen "frei fliegenden" Internetserver, bei dem das Log von zeit zu zeit über 10 Minuten 5 Login-Versuche pro Sekunde (!) nach einem Wörterbuch verzeichnete. Da gefriert es einem, und ich habe die Konstruktion dann auch nach gewisser Zeit abgeschaltet.
Grüße und ein gutes 2021!
-
Natürlich können das Versuche sein, so einen Server zu kapern. Aber woher weiß überhaupt der Versucher, dass gerade diese NAS unter jener, dynamischen IP existiert?
Der muss gar nicht wissen, dass dort ein TS-251 steht. Der versucht es einfach! Und wenn er unter der IP auf Port 80 / 8080 was auch immer einen Syno oder sonstwas erreicht, dann ist dem Angreifer das ziemlich egal, denn er hat ein anngreifbares Ziel gefunden, wenn auch nur für die DHCP Leasetime beim Provider.
Diese Loginversuche sind aber das geringste Übel, vom Rest bekommt man gar nichts mit, außer dass das NAS irgendwann nicht erreichbar oder sehr träge ist.
Ich erkläre mir das Abnhemen der fälschlichen Login-Versuche damit, dass QNAP einfach die Aktualiserungsfrequenz dieses DynDNS-Services erhöht hat, was natürlich zu mehr korrekten Treffern/Logins führen muss.
Warum es ruhiger geworden ist vermag ich nicht zu sagen, aber daran liegt es sicherlich nicht.
QNAP ändert damit ja nicht Deine IP, und wenn nun häfiger aktualisiert würde, dann würde der selben ddns ja immer die selbe IP hinterlegt werden
=> bringt also gar nichts.
Außerdem wird die Aktualisierung vom QNAP selbst ausgesteuert wenn dieser eine geänderte WAN IP entdeckt (naja normalerweise läuft das so
).Ich hoffe jedenfalls, dass es nicht nur deshalb abgenommen hat, weil die bösen Jungs und Bots alle Weihnachten gefeiert haben
-
Deine vorletzten Absatz verstehe ich technisch nicht. Jeden Tag mindesten um 3 nachts (manchmal auch unter tags) wird die DSL-Leitung zu meinem Router von Seite der Post gekappt und nach dem neu Aushandeln des DSL-Connects hat der Route im Internet eine andere IP. Ab diesem Moment stimmt die Auflösung der IP zum Klarnamen auf dem Server von "MyQnapCloud" nicht mehr und Anfragen an MyQnapCloud unter *diesem* Klarnamen werden auf einen falschen Server (wenn überhaupt existierenden) aufgelöst. Dies gilt solange, bis der DNS-Eintrag bei MyQnapCloud (ich nehme an auch von Seite von MyQnCl) aktualisiert wurde. Wenn also jemand sich in diesem Zustand legal auf *seinem* Server per QnapCloud anmelden will, dessen Server aber die veraltete IP hat, die nachts um 3 neu meinem Server(genauer Router) zugewiesen wurde, so versucht diese Person sich nun unwissentlich auf meinem Server anzumelden, was schief gehen muss.
Hier im thread wurde nach abgewiesenen Login-Versuchen gefragt. Da brauchen mich erstmal nun – Entschuldigung! der klaren Worte – keine Logins interessieren, von denen ich nichts weiß und von denen ich nichts merke. Und die "viel gefährlicher" sind. Da wird immer mit großer Fachkompetenz so eine graue Wolke beschworen, hilft aber überhaupt nichts, weil es nur ein Stochern im Nebel ist. Von was ich nichts weiß, außer dass es den Server runterbremst, habe ich nichts.
-
Dies gilt solange, bis der DNS-Eintrag bei MyQnapCloud (ich nehme an auch von Seite von MyQnCl) aktualisiert wurde.
In der Regel werden DDNS Einträge vom DDNS Client aus aktualisiert.
Entweder vom Router oder von einem PC, der wiederum die WAN IP des Routers abfragt.
Die meisten Router unterstützen verschiedene DDNS Anbieter, ich hatte aber auch mal einen Vodafone Router, da konnte man wenigstens einen "Custom" DDNS Anbieter eintragen.
Aber das von der entfernten Seite (hier myQNAPCloud) ein Update erfolgt, halte ich für eher unwahrscheinlich, wie soll denn der Client nach dem Ändern der IP erreicht werden?
Das NAS (bzw. der entsprechende Dienst darauf) teilt dem Cloudserver die neue WAN IP mit, das halte ich für sehr viel wahrscheinlicher.
Gruss
-
Jeden Tag mindesten um 3 nachts (manchmal auch unter tags) wird die DSL-Leitung zu meinem Router von Seite der Post gekappt und nach dem neu Aushandeln des DSL-Connects hat der Route im Internet eine andere IP.
Soweit klar, deshalb brauchst du ja nen ddns wenn Du stets Zugriff haben willst.
Ab diesem Moment stimmt die Auflösung der IP zum Klarnamen auf dem Server von "MyQnapCloud" nicht mehr und Anfragen an MyQnapCloud unter *diesem* Klarnamen werden auf einen falschen Server (wenn überhaupt existierenden) aufgelöst.
Auch klar, entweder wird Deine IP kurz darauf neu vergeben oder aber erstmal eine zeitlang nicht...
Dies gilt solange, bis der DNS-Eintrag bei MyQnapCloud (ich nehme an auch von Seite von MyQnCl) aktualisiert wurde.
genau.
Wenn also jemand sich in diesem Zustand legal auf *seinem* Server per QnapCloud anmelden will, dessen Server aber die veraltete IP hat, die nachts um 3 neu meinem Server(genauer Router) zugewiesen wurde, so versucht diese Person sich nun unwissentlich auf meinem Server anzumelden, was schief gehen muss.
Ja ok... dieses Szenario könnte es natürlich geben, zumindest theoretisch. Damit würde man sich aber nur schwer vorstellbar mehrere Loginversuche einhandeln, Deine IP wird schließlich nur sehr unwahrscheinlich von ausgerechnet einer Person kommen, die auf diese Weise versucht irgendein Gerät zu erreichen.
Dafür verstehe ich Deinen letzten Abschnitt jetzt nicht so ganz
Auf massenweise Antworten wie "Ja, bei uns ist es auch ruhiger geworden" oder "Ne, bei uns ist immer noch viel" hätte man hier nicht hoffen können, dazu machen das zu wenige, weil eben zu gefährlich.
Vielen Leuten kamen all diese Warnungen zu spät, die landen dann hier wenn der QNAP plötzlich nicht mehr reagiert und alles plattgemacht werden muss, oder wenn auf einmal alle Daten verschlüsselt sind. Daher nimmt es auch immer etwas Überhand mit diesen Warnungen, da sie scheinbar sonst nicht wahrgenommen werden... Und das obwohl es vielen hier egal sein kann was jemand anders mit seinen Daten anstellt tippen sich einige hier die Finger dafür wund
-
Mit Letzterem hast Du wohl Recht: Kriegt der Router die IP geändert, ist er für DDNS unerreichbar. Da muss ich nochmal aufmerksamer die Fehlermeldung des QNAP lesen, er sei "für myqnap cloud vorübergehend unerreichbar"... Wer sich da nun über wen beklagt
@ tiermutter: yep, danke. dann bin ich zumindest nicht völlig im Irrtum. Die Warnungen verstehe ich ja auch bzw. kann sie nachvollziehen. Aber so diffus die russ Hacker an die Wand zu malen, beunruhigt nur, aber hilft nicht weiter.
Danke nochmal für das konstruktive Gespräch
Johannes
-
Dieser Käse, dass meine QNAP gekapert wurde von russischen, chinesischen Hackern, ist Blödsinn
Worauf bezieht sich die Aussage?
Mangels Ressourcen, mangels Manpower oder einfach weil zu unwichtig?
Und machen wir uns aber nichts vor: Wenn jemand eine NAS (egal welcher Hersteller) als Ziel auserkoren hat, wird er auch reinkommen.
Damit meine ich nicht die 0815 - Script-Kids.
Man kann halt nur die Sicherheitsebene höher legen.
Aber ich stimme Dir zu: Eine NAS gehört nicht ins WAN.
-
Und machen wir uns aber nichts vor: Wenn jemand eine NAS (egal welcher Hersteller) als Ziel auserkoren hat, wird er auch reinkommen.
Damit meine ich nicht die 0815 - Script-Kids.
Genau darauf bezieht sich meine Aussage.
Hacker legen die Infrastruktur oder Teile davon, von Staaten lahm. Für die wird ein NAS keine große Hürde sein.
Script-Kidis scannen Ports von dynamischen IPs und sehen so die Dienste, die dahinter arbeiten und fallen dann über Sicherheitslücken in das Netzwerk ein.
