Zugriffsversuche per iSCSI

    Hallo,


    habe mal eine Frage zu den Zugriffsprotokollen: Meine TS-251+ ist mit dem Internet verbunden, Zugriffsversuche sind daher an der Tagesordnung, wurden bislang aber zuverlässig abgewehrt und die IP-Adressen der Angreifer blockiert.


    Nun habe ich festgestellt, daß sich in letzter Zeit Zugriffe per iSCSI häufen. Diese werden in der Ereignisanzeige aber stets als "Login Success (iSCSI)" (siehe Screenshot) und in den Systemzugriffsprotokollen des QuLog Center mit "Verbindungstyp: iSCSI, Aktion: Angemeldet" angezeigt. Das klingt erst mal beunruhigend, da die Meldungen nahelegen, daß die Angriffe erfolgreich waren. Da ich iSCSI nicht nutze und die iSCSI-Dienste deaktiviert sind, kann aber kein Zugriff erfolgt sein.


    Weshalb also diese irreführenden Meldungen?

    Danke für Eure Hilfe!


    Screenshot.jpg

    Es sollte sich doch langsam überall herumgesprochen haben, dass man ein NAS nicht dem Internet aussetzt...

    Ja, weiß ich. Es gibt aber nun mal Anwendungszwecke, die einen Internetzugriff erforderlich machen. Ich versuche, es so sicher hinzubekommen, wie es eben geht.


    Hier ging es mir auch eigentlich nur um die besagten Zugriffsmeldungen, die m. E. keinen Sinn ergeben...

    Angesichts der Meldungen user/root/admin login erfolgreich würde ich nicht lange zögern und

    1. das NAS sofort vom Netz nehmen

    2. eine gründliche Überprüfung auf Malware Befall jeglicher Art vornehmen, was evtl. ein Neuaufsetzen des NAS mit allen Folgen bedeutet (ist aber bei dem sicherlich vorhandenen und aktuellem Backup unerheblich :P).

    3. Ebenfalls sofort über sichere Zugriffswege nachdenken und diese Einrichten!


    Sicherheit ist meist kontraproduktiv zur Bedienerfreundlichkeit.


    Gruss

    Aktuelles Backup auf baugleichem Zweit-NAS ist vorhanden, ich kann also nahtlos offline weitermachen.


    Umfassende Malware-Suche ist sicherlich angezeigt, schon um ganz sicher zu sein. Allerdings frage ich mich, ob es sich nicht schlicht um eine fehlerhafte Anzeige im Systemzugriffsprotokoll handelt. Während nämlich alle Angriffe per SSH als "fehlgeschlagen" dargestellt werden, steht bei sämtlichen Zugriffsversuchen über iSCSI, egal mit welchem Benutzernamen, immer "angemeldet" - aber nicht in schwarzer Schrift, wie bei erfolgreichem Login, sondern in orange und in der Kategorie "Warnung".


    Mit iSCSI kenne ich mich nicht aus, aber benötigt das nicht auch entsprechende Portfreigaben, ohne die ein Zugang gar nicht möglich wäre?

    Von welcher IP kommen denn diese Zugriffsversuche ?


    Wenn nicht von einer Internen dann ist was faul.

    Es handelt sich um externe IPs, die auf jeden Fall abgewiesen werden müßten.


    Nach einiger Suche bin ich inzwischen auf diesen Thread im englischsprachigen QNAP-Forum gestoßen. Zumindest scheine ich also nicht der einzige zu sein, der sich mit diesem Problem herumschlägt. Bei einem der Betroffenen hat der QNAP-Support "2 very old pieces of malware" entdeckt. - Ich mache mich dann mal an die Arbeit...


    Vielen Dank für die Rückmeldungen!