Hallo zusammen,
ich bin absoluter Laie was Server betrifft, doch ich vermute, dass auf meinen Qnap ein Brute-Force-Angriff stattgefunden hat.
Am 15.12.20 gab es von zwei IP-Adressen über einen Zeitraum von mehreren Stunden mehr als 300 Login-Versuche als Admin.
Hier beispielhaft ein Auszug des Systemereignisprotokolls:
Severity Level,Date,Time,User,Source IP,Mac Address,Application,Category,Content,Extra Data
Error,2020-12-15,08:22:55,"admin","154.28.188.90","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 154.28.188.90.",""
Error,2020-12-15,08:21:26,"admin","154.28.188.90","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 154.28.188.90.",""
Error,2020-12-15,08:18:26,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""
Error,2020-12-15,08:16:58,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""
Hier beispielhaft ein Auszug des Systemzugriffprotokolls:
Severity Level,Date,Time,User,Source IP,Mac Address,Connection Type,Accessed Resource,Action,Extra Data
Warning,2020-12-15,09:22:53,"admin","154.28.188.90","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:21:24,"admin","154.28.188.90","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:18:25,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Warning,2020-12-15,09:16:56,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Was ich hierbei nicht verstehe ist folgendes:
Systemereignisprotokoll:
Error,2020-12-15,08:18:26,"admin","37.120.217.8","","Users","Login","[Users] Failed to log in via user account ""admin"". Source IP address: 37.120.217.8.",""
Systemzugriffprotokoll:
Warning,2020-12-15,08:19:29,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Warning,2020-12-15,08:18:01,"admin","37.120.217.8","","NFS","Administration","Login Success",""
Wie kann die selbe IP-Adresse zur etwa gleichen Zeit im Systemereignisprotokoll als „Login fehlgeschlagen“, aber im Systemzugriffsprotokoll als Aktion „Angemeldet“ erscheinen?
Warum wird als Protokoll NFS angezeigt, obwohl ich nur SMB und AFP aktiviert habe?
Mittlerweile habe ich die Portweiterleitung im Router deaktiviert, UPnP im Router deaktiviert, ein neues Admin-Passwort in QTS vergeben, einen Malware-Scan in QTS durchgeführt, einen Antiviren-Scan in QTS durchgeführt und UPnP in QTS deaktiviert. Die Scans waren sauber.
Die Portweiterleitung war nur für ein paar Wochen aktiv, ansonsten bisher nie.
Zusätzlich zu meinen Fragen, möchte ich natürlich gerne wissen, ob es denen gelungen ist sich auf meinen Server anzumelden und somit Zugriff hatten und möglicherweise Daten kopiert haben. Es ist nämlich für mich als Laie anhand der Protokolle nicht nachvollziehbar.
Nach erster Durchsicht scheinen jedenfalls keine Daten gelöscht zu sein.
Modell: TS-253 Pro
QTS: 4.5.1.1495
Ich hoffe, ihr könnt mir helfen!
Vielen Dank!
Alois