Brute-Force-Angriff erfolgreich oder nicht? Bitte um Hilfe!

    Hallo zusammen,


    ich bin absoluter Laie was Server betrifft, doch ich vermute, dass auf meinen Qnap ein Brute-Force-Angriff stattgefunden hat.


    Am 15.12.20 gab es von zwei IP-Adressen über einen Zeitraum von mehreren Stunden mehr als 300 Login-Versuche als Admin.


    Hier beispielhaft ein Auszug des Systemereignisprotokolls:


    Code
    Severity Level,Date,Time,User,Source IP,Mac Address,Application,Category,Content,Extra Data
Error,2020-12-15,08:22:55,"admin","154.28.188.90","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 154.28.188.90.",""
Error,2020-12-15,08:21:26,"admin","154.28.188.90","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 154.28.188.90.",""
Error,2020-12-15,08:18:26,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""
Error,2020-12-15,08:16:58,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""

    Hier beispielhaft ein Auszug des Systemzugriffprotokolls:


    Code
    Severity Level,Date,Time,User,Source IP,Mac Address,Connection Type,Accessed Resource,Action,Extra Data
Warning,2020-12-15,09:22:53,"admin","154.28.188.90","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:21:24,"admin","154.28.188.90","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:18:25,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:16:56,"admin","37.120.217.8","","NFS","Administration","Login Success",""

    Was ich hierbei nicht verstehe ist folgendes:

    Systemereignisprotokoll:

    Code
    Error,2020-12-15,08:18:26,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""

    Systemzugriffprotokoll:

    Code
    Warning,2020-12-15,08:19:29,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Warning,2020-12-15,08:18:01,"admin","37.120.217.8","","NFS","Administration","Login Success",""

    Wie kann die selbe IP-Adresse zur etwa gleichen Zeit im Systemereignisprotokoll als „Login fehlgeschlagen“, aber im Systemzugriffsprotokoll als Aktion „Angemeldet“ erscheinen?

    Warum wird als Protokoll NFS angezeigt, obwohl ich nur SMB und AFP aktiviert habe?


    Mittlerweile habe ich die Portweiterleitung im Router deaktiviert, UPnP im Router deaktiviert, ein neues Admin-Passwort in QTS vergeben, einen Malware-Scan in QTS durchgeführt, einen Antiviren-Scan in QTS durchgeführt und UPnP in QTS deaktiviert. Die Scans waren sauber.

    Die Portweiterleitung war nur für ein paar Wochen aktiv, ansonsten bisher nie.


    Zusätzlich zu meinen Fragen, möchte ich natürlich gerne wissen, ob es denen gelungen ist sich auf meinen Server anzumelden und somit Zugriff hatten und möglicherweise Daten kopiert haben. Es ist nämlich für mich als Laie anhand der Protokolle nicht nachvollziehbar.

    Nach erster Durchsicht scheinen jedenfalls keine Daten gelöscht zu sein.


    Modell: TS-253 Pro

    QTS: 4.5.1.1495


    Ich hoffe, ihr könnt mir helfen!


    Vielen Dank!

    Alois

    Zitat von Alois127

    Die Portweiterleitung war nur für ein paar Wochen aktiv, ansonsten bisher nie.

    Da reicht sogar ne Minute oder weniger, leider leider auf Werbeversprechen (private Cloud) reingefallen.

    Zitat von Alois127

    Zusätzlich zu meinen Fragen, möchte ich natürlich gerne wissen, ob es denen gelungen ist sich auf meinen Server anzumelden und somit Zugriff hatten und möglicherweise Daten kopiert haben. Es ist nämlich für mich als Laie anhand der Protokolle nicht nachvollziehbar.

    Von hier schwer zu sagen, könnten nur mal so nach geguckt haben

    Könnten Malware zum Erpressen oder Bitcoinmining installiert haben


    Nummer sicher gibt dir nur das komplette Löschen des QNAPs (mit Bereinigung von persistenten Dateien s. hier.


    Backups sind ja vorhanden oder ? (nein .. ein RAID ist kein Backup)

    Ich meine zu den unterschiedlichen Angaben in den Logs - hier nfs obwohl nur SMB und AFP aktiv - gab es seinerzeit bei den Malware Threads auch eine Aussage.

    Das ist kein Einzelfall.


    Gruss

    Vielleicht findest Du noch in den Systemverbindungsprotokollen weitere Einzelheiten zu angepackten/erzeugten/gelöschten Dateien/Aktivitäten mit Zeitstempeln, passend zu den nfs-logins.

    Das logging für Änderung an Daten muss für jedes Protokoll separat aktiviert werden (jedenfalls bei ftp und smb), sonst findet man nichts.

    Hallo zusammen,


    danke für eure Antworten.


    Ja, Backups sind auf externen Festplatten vorhanden.

    Zitat von FSC830

    Ich meine zu den unterschiedlichen Angaben in den Logs - hier nfs obwohl nur SMB und AFP aktiv - gab es seinerzeit bei den Malware Threads auch eine Aussage.

    Das ist kein Einzelfall.


    Gruss

    Ich habe dazu hier im Forum gesucht, aber leider bisher noch nicht gefunden.


    Zitat von tiermutter

    Das logging für Änderung an Daten muss für jedes Protokoll separat aktiviert werden (jedenfalls bei ftp und smb), sonst findet man nichts.

    Diese Einstellung finde ich im QuLog Center nicht. Verbirgt sie sich woanders in den Systemeinstellungen?


    Kann mir bitte irgendjemand, der das hier liest, erklären wie die selbe IP-Adresse zur etwa gleichen Zeit im Systemereignisprotokoll als „Login fehlgeschlagen“, aber im Systemzugriffsprotokoll als Aktion „Angemeldet“ erscheinen kann?

    Haben sich die IP-Adressen nun bei mir erfolgreich auf das NAS eingeloggt, oder nicht?

    Wenn der Login fehlgeschlagen ist, kann die IP-Adresse doch nicht bei auf dem NAS angemeldet sein, oder?


    Freue mich auf weitere Hilfe.


    Vielen Dank!

    Alois

    Das "kann" bedeuten, dass zwar der direkte Login fehlgeschlagen, mittels einer Backdoor jedoch Zugriff auf Deine NAS bestanden hat. An dieser Stelle kann ich mich dem aktuellen Rat nur anschließen: Mach ein weiteres (eigenständiges!) Backup Deiner Daten und richte dann die NAS komplett neu ein. Es gibt dazu hier im Forum bereits einige Hinweise, was dafür notwendig ist (ein entsprechender Link wurde ja auch schon von dolbyman gepostet).

    Ein Gerät, dessen Sicherheit nicht zu 100% gewährleistet ist, ist als kompromittiert anzusehen - dazwischen gibt es nichts. Wenn Dir also Deine Daten lieb sind, solltest Du in den sauren Apfel beissen, alles andere ist ein Spiel mit dem Feuer. (D)eine NAS gehört nicht "direkt" ans Internet.

    Das ist voll zu unterstreichen.


    Der letzte Satz ist nur ein wenig 2 deutig.

    Mein NAS darf auch so wie meine PCs ins Internet, aber es darf nur PLEX von außen bei mir angesprochen werden.

    Den habe ich aber auch vorhin erst wieder aktualisiert.


    Zudem nutze ich Geoblocking und filtere die ganz bösen IPs ebenso komplett raus.

    Damit habe ich dann ein hohes Sicherheitsniveau erreicht, was für mich akzeptabel ist, weil Restrisiko sehr klein.


    Also bitte in Zukunft nicht mehr das QTS oder Apps ohne Sicherheitseinschätzung und gewisse Maßnahmen per Portforwarding über WAN erreichbar machen.

    Zitat von Laurenzis

    Das "kann" bedeuten, dass zwar der direkte Login fehlgeschlagen, mittels einer Backdoor jedoch Zugriff auf Deine NAS bestanden hat.

    Danke für die Erklärung!


    Ich werde dann versuchen die NAS neu einzurichten.


    Folgende Verständnisfragen habe ich noch:

    • Könnte für Angreifer noch Zugriff über die Backdoor auf die NAS bestehen, obwohl die Portweiterleitung im Router deaktiviert ist?
    • Sind die Daten, die ich jetzt auf meine externen Festplatten sichern würde möglicherweise kompromittiert und könnten im nachhinein meine externen Festplatten z.B. verschlüsseln, oder auch nach dem Wiederaufspielen die NAS erneut kompromittieren?

    Der letzte Stand des externen Backups ist zwar etwas her, aber die hinzugekommenden Daten wären vernachlässigbar.


    Vielen Dank!

    Alois

    Zitat von Alois127

    Diese Einstellung finde ich im QuLog Center nicht. Verbirgt sie sich woanders in den Systemeinstellungen?

    Bei mir unter Systemsteuerung > Systemprotokolle > Systemverbindungsprotokolle > Optionen.

    Dürfte also von den Systemereignisprotokollen nicht weit entfernt sein.


    Wenn der "Angreifer" eigene Prozesse installiert hat, kann das NAS selbst Verbindungen aufnehmen, petzen, nachladen uswusf

    Zitat von Alois127

    Folgende Verständnisfragen habe ich noch:

    Könnte für Angreifer noch Zugriff über die Backdoor auf die NAS bestehen, obwohl die Portweiterleitung im Router deaktiviert ist?

    Sind die Daten, die ich jetzt auf meine externen Festplatten sichern würde möglicherweise kompromittiert und könnten im nachhinein meine externen Festplatten z.B. verschlüsseln, oder auch nach dem Wiederaufspielen die NAS erneut kompromittieren?

    Das kann Dir leider niemand garantieren. Sobald jemand auf Deiner NAS war, kann man nicht ausschliessen, dass dieser dort eine Software hinterlassen hat, die von sich aus eine Verbindung zu einem CC (Command and Control) Server aufnimmt. Und ja, nicht nur Deine NAS sondern auch Deine Daten sind (leider) zunächst einmal als kompromittiert anzusehen. Genau deshalb solltest Du nicht "einfach nur" die NAS neu aufsetzen sondern zunächst dafür Sorge tragen, dass evtl. hinterlassene Fremdsoftware entfernt ist. Daher der Link den Du erhalten hast. Im Zweifel, wende Dich dafür hier an die absoluten Profis bzgl. dem Aufbau einer QNAP-NAS - diese haben das notwendige KnowHow um Deine NAS "möglichst" sauber zu machen.

    Wichtig ist: Es kann Dir niemand garantieren, dass die Massnahmen die Du jetzt durchführst zu 100% eine Kompromittierung ausschliessen - Du kannst nur versuchen, das menschenmöglichste zu tun, um das auszuschliessen. Dazu gehören, neben der neuen Einrichtung, auch die Bereinigung der auf der DOM enthaltenen Files/Partitionen.

    In Firmen, die Sicherheit hoch ansehen, wird schon "möglicherweise kompromittierte" Hardware schlichtweg entsorgt. Selbst Daten-Forensiker gehen heute davon aus, dass es Möglichkeiten gibt die nicht erkannt werden.


    Vielleicht noch ein Nachsatz dazu:

    Ich möchte Dir sicherlich keine Angst machen, jedoch macht es wenig Sinn, Dir die Tatsachen zu verschweigen. Natürlich ist es immer eine Frage, wie wahrscheinlich ist es, dass jemand hochkomplexe Schadsoftware (die sich in die Firmware von Festplatten oder ähnlich gelagerten Komponenten einnistet) auf Deiner NAS hinterlassen hat. Wichtig ist nur, darauf hinzuweisen, dass dies nicht ausgeschlossen werden kann. Das ist einer der Gründe, warum man sehr genau wissen sollte, was man gerade tut, wenn eine NAS aus dem Internet erreichbar ist. Wie Crazyhorse schon schreibt, hat er selbst für sich eine Option gewählt, die Risiken möglichst minimiert - er sagt aber auch, dass er für sich das Risiko als gering einschätzt aber es ebenso nicht zu 100% ausschliessen kann. Von daher, solltest Du, warum auch immer, die NAS bzw. Teile davon aus dem Internet erreichen wollen, solltest Du Dir fachkundige Unterstützung holen. Spätestens wenn nicht irgendein Script-Kid sondern jemand der wirklich weiß was er tut versucht, Zugang zu Deiner NAS zu erhalten, wird es sehr sehr schwer sich dagegen abzusichern.

    Zitat von Laurenzis

    Das kann Dir leider niemand garantieren. Sobald jemand auf Deiner NAS war, kann man nicht ausschliessen, dass dieser dort eine Software hinterlassen hat, die von sich aus eine Verbindung zu einem CC (Command and Control) Server aufnimmt. Und ja, nicht nur Deine NAS sondern auch Deine Daten sind (leider) zunächst einmal als kompromittiert anzusehen. Genau deshalb solltest Du nicht "einfach nur" die NAS neu aufsetzen sondern zunächst dafür Sorge tragen, dass evtl. hinterlassene Fremdsoftware entfernt ist. Daher der Link den Du erhalten hast. Im Zweifel, wende Dich dafür hier an die absoluten Profis bzgl. dem Aufbau einer QNAP-NAS - diese haben das notwendige KnowHow um Deine NAS "möglichst" sauber zu machen.

    Wichtig ist: Es kann Dir niemand garantieren, dass die Massnahmen die Du jetzt durchführst zu 100% eine Kompromittierung ausschliessen - Du kannst nur versuchen, das menschenmöglichste zu tun, um das auszuschliessen. Dazu gehören, neben der neuen Einrichtung, auch die Bereinigung der auf der DOM enthaltenen Files/Partitionen.

    In Firmen, die Sicherheit hoch ansehen, wird schon "möglicherweise kompromittierte" Hardware schlichtweg entsorgt. Selbst Daten-Forensiker gehen heute davon aus, dass es Möglichkeiten gibt die nicht erkannt werden.

    Vielen Dank für die ausführliche Erklärung!


    Ich werde dann von der Aktualisierung des Backups absehen.


    Die Protokolle sind dahingehend für mich so verwirrend, dass über Stunden in ca. 1,5-Minuten Abständen die Masse von mehr als 300 fehlgeschlagenden Logins, und dennoch als Aktion "Angemeldet", erscheint. Das lies mich an erfolgreiche Zugriffe zweifeln. Denn ich denke mir, als Angreifer will man doch möglichst unendeckt bleiben und meldet sich nicht in dieser hochfrequenten Taktung immer wieder an.


    Jedenfalls werde ich mir die Links von dolbyman zur Neuaufsetzung durchlesen.

    Zitat von Alois127

    Die Protokolle sind dahingehend für mich so verwirrend, dass über Stunden in ca. 1,5-Minuten Abständen die Masse von mehr als 300 fehlgeschlagenden Logins, und dennoch als Aktion "Angemeldet", erscheint. Das lies mich an erfolgreiche Zugriffe zweifeln. Denn ich denke mir, als Angreifer will man doch möglichst unendeckt bleiben und meldet sich nicht in dieser hochfrequenten Taktung immer wieder an.

    Es "könnte" aber auch genauso sein, dass jemand genau damit seinen erfolgreichen Angriff "verschleiert". Niemand kann Dir garantieren "da war keiner drauf" - das selbe Problem hast Du selbst ja auch, deshalb fragst Du ja. Exakt aus dem Grund geben wir Dir ja den Tipp "versuche die NAS möglichst sauber zu bekommen und richte sie dann neu ein". Du hast leider nur die Möglichkeit, Dein bestes zu tun oder eben damit zu leben, dass die NAS sowie die Daten möglicherweise kompromittiert ist/sind. Wie Du damit umgehst, kannst Du nur selbst entscheiden - ich kann Dir an der Stelle letztlich nur sagen, wie ich in diesem Fall vorgehen würde - und das ist tatsächlich die NAS mit allem was mir möglich ist zu säubern und dann neu aufzusetzen. Dazu zählt übrigens auch, die Platten in einem anderen Rechner zunächst mal zu löschen.

    Selbst bei Bruteforce Attacken ... ich würde mal sage 90% der QNAP NAS sitzen unbeobachtet bei irgendwem zuhause .. schön vom Enkel oder Sohn mit Fernzugruiff eingerichtet .. da merkt keiner irgendetwas bis es zu spät ist.


    Was wollen die Hacker ? Geld verdienen! .. Zeiten in denen Daten aus Jux und Dollarei gelöscht werden sind vorbei.


    Wie verdient man Geld ? Ransomware oder Bitcoin/Cryto Miner!


    Also entweder werden alle Daten auf dem NAS verschlüsselt oder Programme installiert die mit der CPU Leistung auf deine Stromkosten Geld verdienen.

    Hmm, ich will hier ja nicht die Experten hinterfragen und sicher sollte man, wenn man ein "evtl." komprimiertes System den sichern Weg gehen und es neu Aufsetzten.

    Aber ein NFS Zugriff bedeutet ja nicht gleich eine Kompromittierung, oder?

    Ich betreibe seit ~3 Jahren und jetzt schon das zweite QNAP mit expliziten Portweiterleitungen und auch denke ich recht Sicher am Internet. Aber ich muss sagen, das ich in diesem Jahr leider einen gewaltigen Anstieg der Brute Force Attacken vermerken konnte. Da hilft dann nur IP oder gleich Range sperren.

    NFS Zugriff Success bedeutet ja nur, dass jemand auf die Netzwerkfreigaben per. UDP, TCP Zugriff hatte, das kann beispielsweise auch über die "everybody Read" Funktion im Web Verzeichnis erfolgen, bzw. Wenn man z.B. eine Webseite am Netz betreibt und hier ein PHP Skript etwas ausführt. Das könnte dann auch von dem gleichen User erfolgen, der z.B. gerade versucht sich über die Admin-Oberfläche einzuloggen, oder liege ich falsch? Ein kleiner Tip, als Erstes den Admin User deaktivieren und einen anderen Hauptadministrator User (kreativer Name) anlegen. Wenn man sich z.B. über die Win Freigabe an dem NAS anmeldet kann man mit jedem User in die everybody Read Areale des WEB Ordners.

    Oder übersehe ich hier etwas?

    Zitat von arminwedler

    Ein kleiner Tip, als Erstes den Admin User deaktivieren und einen anderen Hauptadministrator User (kreativer Name) anlegen.

    Guter Tip! Besonders im Falle QNAP wo einige Dinge nur mit dem Original Admin möglich sind, d.h. selbst ein anderer User mit Admin-Rechten kann nicht dafür benutzt werden :P.

    Liegt offenbar daran, das einige Software direkt auf den User Admin fest codiert ist und somit diese Option konterkariert.


    Gruss

    Zitat von FSC830

    Guter Tip! Besonders im Falle QNAP wo einige Dinge nur mit dem Original Admin möglich sind, d.h. selbst ein anderer User mit Admin-Rechten kann nicht dafür benutzt werden :P .

    Liegt offenbar daran, das einige Software direkt auf den User Admin fest codiert ist und somit diese Option konterkariert

    Hmm, ich habe seit ~ 2 Jahren den Admin User deaktiviert und mir ist noch nichts unterkommen, was ich mit meinem Admin-User-Neu (der nicht mehr so heißt) nicht machen kann. Was wäre denn das, was ich nicht mehr machen kann, wenn ich mal Fragen dürfte?

    Aber in der Tat, sehe ich im Log nach wie vor, dass, auch wenn ich mit meinem Admin-User-Neu, ein Systemupdate manuell ausführe, folgender Eintrag erfolgt:

    Code
    Information,2020-10-24,19:56:02,"admin","127.0.0.1","","Firmware Update","Firmware Update","[Firmware Update] Updated system from version 4.5.1.1461(20201020) to 4.5.1.1465(20201024).",""

    Weiterhin sind auch Systemmeldungen, die vom System selber ausgeführt werden, nach wie vor als vom "admin" ausgeführt bzw. gekennzeichnet.
    Ich komme aber an keiner mir bekannten Schnittstelle mehr mit dem "alten" admin User von außen dran. Meinst du, der alte Admin User "admin" ist dennoch aktiv und kann auch von außen genutzt werden?

    Code
    Information,2020-10-22,02:05:45,"admin","127.0.0.1","","Malware Remover","General","[Malware Remover] Scan completed.",""

    Dann versuche mal was mit ssh auf der Kiste zu machen, ohne den admin.


    Und mit der richtigen Lücke, die sich um eine saubere Useranmeldung rum schleicht, hilft dir das auch nicht.

    Weil der root ist immer da und wenn du die Rechte hast, hält dich niemand mehr auf.