Sammelthread - Angreifer IP Adressen

tiermutter · 25. März 2021

Wie hier von christian vorgeschlagen und von QNAP gewünscht gibt es hier einen Sammelthread für Angreifer IP Adressen, von welchen unerlaubte Loginversuche festgestellt wurden.

Bitte postet die IP Adressen als Text in einem einheitlichen Format, um die spätere Übergabe an QNAP und die weitere Verwendung zu vereinfachen.

Mein Vorschlag dazu wäre einfach den Logeintrag zu kopieren und hier als Code (nicht Inline Code) einzufügen.

Damit sollten sämtliche relevante Informationen vorhanden sein und es eignet sich für die Tabellenvearbeitung.

Als Beispiel:

Code

Warning    2021-02-10    17:52:01    admin    58.56.89.29    ---    HTTP/HTTPS    Administration    Failed to log in
Warning    2021-02-10    17:52:01    admin    90.145.122.30    ---    HTTP/HTTPS    Administration    Failed to log in

user374815 · 25. März 2021

Zitat von christian

https://www.qnap.com/en/how-to…f=create_ticket_recommend

Interessant. Die meisten IPs in dem Screenshot im FAQ von QNAP finde ich auch bei mir in der Blocklist 😄

Habe eben die Duplikate entfernt, so dass nur die IPs übrig bleiben:

Code: 2021-03-24 QNAP Brute Force IPs

103.250.52.162
103.251.200.114
109.108.86.119
112.186.218.47
113.60.245.99
114.162.164.160
115.165.218.4
115.21.78.155
115.66.70.188
115.78.129.123
115.79.44.44
118.163.217.9
118.219.54.63
118.223.160.90
119.201.221.231
121.135.186.73
121.148.68.176
122.116.124.132
122.226.241.82
123.132.239.86
123.201.108.145
123.222.181.185
124.128.80.77
125.63.87.6
125.68.185.28
126.237.227.180
14.136.79.216
14.199.224.97
140.116.40.42
147.46.183.217
171.217.92.105
175.136.231.230
180.175.30.65
180.175.30.68
180.177.105.108
182.58.137.155
183.230.146.203
183.88.216.175
185.163.193.147
185.220.100.255
185.27.62.215
190.120.10.219
2.136.126.17
2.136.203.35
202.98.38.188
203.186.122.78
209.248.98.150
211.222.69.167
211.243.152.107
211.252.167.142
212.187.60.177
212.237.99.89
213.81.132.249
217.128.92.131
217.92.121.230
218.255.186.62
219.147.26.110
219.89.117.237
220.134.168.169
221.206.228.142
222.103.57.243
222.114.26.126
222.117.12.192
222.245.76.146
223.100.60.77
24.23.162.166
37.24.5.223
39.164.73.120
42.200.198.144
45.179.181.31
5.154.79.179
50.252.9.153
58.215.0.254
58.23.150.26
59.126.80.10
59.149.124.94
60.120.171.27
60.137.160.218
60.190.70.110
61.177.54.242
61.79.109.53
62.38.250.213
62.6.217.114
63.248.147.60
66.214.69.189
67.148.101.82
68.147.76.50
68.169.171.97
71.251.26.120
73.118.210.135
73.124.100.138
73.164.18.217
73.216.242.134
77.68.168.133
78.134.82.52
78.139.32.74
78.246.152.178
78.83.141.109
80.115.86.125
81.225.40.138
82.64.129.57
82.79.140.115
83.174.209.26
83.48.53.79
84.105.250.83
85.216.251.22
85.54.137.249
86.101.88.7
87.26.32.163
87.78.131.226
88.12.4.49
89.145.206.105
89.157.108.102
89.79.208.252
90.145.122.30
91.236.40.54
92.154.124.31
92.52.198.109
94.230.157.180
95.165.146.14
95.67.55.192

Alles anzeigen

--------------------

Edit:

Code

Erster Versuch:
Warning    2021-03-23    02:00:05    admin    213.81.132.249    ---    HTTP/HTTPS    Administration    Failed to log in
:
:
Warning    2021-03-24    17:31:10    admin    73.216.242.134    ---    HTTP/HTTPS    Administration    Failed to log in

Ab hier wurde geblockt und ich hatte ab dann nur noch 2 Versuche von folgenden IPs:

Warning    2021-03-24    21:10:24    admin    185.220.100.255    ---    HTTP/HTTPS    Administration    Failed to log in
Warning    2021-03-25    05:56:58    admin    114.162.164.160    ---    HTTP/HTTPS    Administration    Failed to log in

Falls es für QNAP interessant ist das Timing der Versuche zu analysieren, habe ich noch den relevanten Teil des System Access Logs als TXT beigefügt.

tiermutter · 25. März 2021

Zitat von user374815

Habe eben die Duplikate entfernt, so dass nur die IPs übrig bleiben:

Bei der Masse an Adressen sollte das ok sein

Kannst Du darunter noch den groben Zeitraum ergänzen und ob immer Username= admin und Protokoll= http(s).

FSC830 · 25. März 2021

Na viel Spass. Laut englischem Forum kamen bei einigen Usern innerhalb kürzester Zeit mehrere Dutzend IP Adressen an.

So z.B. 114 verschiedene Adressen innerhalb weniger Stunden.

Zitat von US-Forum QNAP

...
Some things I found interesting in my case (after exporting my system log):

114 unique addresses detected

Addresses from all over the world

Most addresses attacking between 2 and 8 times

11 addresses attacking 10 times (this is with the option to automatically disable address after 5 attempts - may need to set the time longer)

4 addresses attacking 12-16 times

Gruss

eol105 · 25. März 2021

Hallo,

ja, ich bin leider auch betroffen. Gott sei Dank bis jetzt nix passiert, Passwort war zu gut.

Komischerweise gehts bei nicht auf die NAS, sondern über den Benutzername der FritzBox und dann auf eine IP vom PC??

Im Moment bekomme ich so alle 30 Minuten so einen Angriff.

Habe in der Zwischenzeit den Benutzername von der Fritzbox und das Passwort geändert.

Tips sind gerne willkommen??

Gruß Jürgen

tiermutter · 25. März 2021

Sollte die allgemeine Diskussion nicht besser in einem eigenen Thread erfolgen?

rednag · 25. März 2021

Was soll das bringen?

Heute ist es die Range, morgen wieder anderer Bereich.

HoDam · 25. März 2021

Hallo zusammen,

da mein ursprünglicher Thread bereits geschlossen ist.

Es ist überhaupt nichts passiert. Ich habe eben nur eine Info Mail erhalten von meinem System erhalten , das auf meinem Nas ungewöhnlich viele Login Versuche stattfinden. Darauf hin habe ich mir das angeschaut und eigentlich wollte ich das Forum nur informieren, nicht mehr nicht weniger.

Das hier einige immer direkt mit Panikmache reinpreschen (einfach nur Headliners mit sehr wenig Inhalt) - meine ganz persönliche Meinung.

Ich benötige eben einen bestimmten Bereich auf dem NAS - der für einige bestimmten Personen über eine Link(1to1) temporär erreichbar ist und nach erfolgten Download automatisch geschlossen bzw. gelöscht werden. Das über VPN zu lösen, ist oft nicht möglich.

Das praktiziere ich bereits mehr als 10 Jahre ohne irgendwelcher Probleme.

Und was das ganze mit Backups zu tun hat ?

Auch diesbezüglich habe ich noch nie Probleme gehabt.

Jetzt zum eigentlichen Thema:

das Login Versuche -Protokoll (Auszug, im Anhang komplett) von ca 4 Stunden Das NAS habe ich gestern Nachmittag aus dem Internet herausgenommen.

Keine IP in einem aufeinanderfolgenden Zeitraum von mehr als 5 Versuchen.

Allerdings wiederholt sich irgendwann die IP

Beispiel

IP 73.216.242.134

1 Block: 24.03.21 12:10-12:29 4 Loginversuche

2 Block: 24.03.21 15:27-15:42 2 Loginversuche

Code

    Date    Time    User    IP    Note
Fehler    24.03.2021    15:43:22    admin    42.200.198.144    42.200.198.144
Fehler    24.03.2021    15:17:19    admin    42.200.198.144    42.200.198.144
Fehler    24.03.2021    15:11:18    admin    42.200.198.144    42.200.198.144
Fehler    24.03.2021    12:33:48    admin    73.124.100.138    73.124.100.138
Fehler    24.03.2021    11:50:25    admin    73.124.100.138    73.124.100.138
Fehler    24.03.2021    11:45:50    admin    73.124.100.138    73.124.100.138
Fehler    24.03.2021    11:32:00    admin    73.124.100.138    73.124.100.138
Fehler    24.03.2021    15:42:08    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    15:27:24    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    12:29:56    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    12:19:13    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    12:17:24    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    12:10:39    admin    73.216.242.134    73.216.242.134
Fehler    24.03.2021    15:40:11    admin    89.145.206.105    89.145.206.105
Fehler    24.03.2021    15:27:46    admin    89.157.108.102    89.157.108.102
Fehler    24.03.2021    12:19:01    admin    89.157.108.102    89.157.108.102
Fehler    24.03.2021    11:24:09    admin    89.157.108.102    89.157.108.102
Fehler    24.03.2021    11:12:31    admin    89.157.108.102    89.157.108.102
Fehler    24.03.2021    10:57:39    admin    89.157.108.102    89.157.108.102
Fehler    23.03.2021    02:44:21    admin    89.157.108.102    89.157.108.102
Fehler    24.03.2021    15:35:43    admin    94.230.157.180    94.230.157.180
Fehler    24.03.2021    12:04:23    admin    94.230.157.180    94.230.157.180
Fehler    24.03.2021    11:42:56    admin    94.230.157.180    94.230.157.180
Fehler    24.03.2021    11:22:14    admin    94.230.157.180    94.230.157.180
Fehler    24.03.2021    16:03:22    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    15:33:23    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    15:30:08    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    12:32:21    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    12:20:42    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    12:00:52    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    12:00:21    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    11:37:11    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    11:34:15    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    10:54:54    admin    103.251.200.114    103.251.200.114
Fehler    24.03.2021    16:12:19    admin    119.201.221.231    119.201.221.231
Fehler    24.03.2021    15:35:57    admin    119.201.221.231    119.201.221.231
Fehler    24.03.2021    16:13:58    admin    122.116.124.132    122.116.124.132
Fehler    24.03.2021    15:29:50    admin    122.116.124.132    122.116.124.132
Fehler    24.03.2021    15:19:49    admin    122.116.124.132    122.116.124.132
Fehler    24.03.2021    12:31:30    admin    122.116.124.132    122.116.124.132
Fehler    24.03.2021    11:44:57    admin    122.116.124.132    122.116.124.132
Fehler    24.03.2021    15:52:22    admin    123.201.108.145    123.201.108.145
Fehler    24.03.2021    15:51:13    admin    123.222.181.185    123.222.181.185
Fehler    24.03.2021    11:25:33    admin    123.222.181.185    123.222.181.185
Fehler    24.03.2021    11:13:30    admin    123.222.181.185    123.222.181.185
Fehler    24.03.2021    15:57:15    admin    126.237.227.180    126.237.227.180
Fehler    24.03.2021    12:13:50    admin    126.237.227.180    126.237.227.180
Fehler    23.03.2021    02:47:53    admin    126.237.227.180    126.237.227.180
Fehler    24.03.2021    16:08:07    admin    175.136.231.230    175.136.231.230
Fehler    24.03.2021    15:19:15    admin    175.136.231.230    175.136.231.230
Fehler    24.03.2021    12:20:14    admin    175.136.231.230    175.136.231.230
Fehler    24.03.2021    15:14:11    admin    180.177.105.108    180.177.105.108
Fehler    24.03.2021    12:19:57    admin    180.177.105.108    180.177.105.108
Fehler    24.03.2021    16:05:31    admin    183.230.146.203    183.230.146.203
Fehler    24.03.2021    15:18:51    admin    183.230.146.203    183.230.146.203
Fehler    24.03.2021    12:21:33    admin    183.230.146.203    183.230.146.203
Fehler    24.03.2021    11:05:11    admin    183.230.146.203    183.230.146.203
Fehler    24.03.2021    12:23:18    admin    185.163.193.147    185.163.193.147
Fehler    24.03.2021    12:20:12    admin    185.163.193.147    185.163.193.147
Fehler    24.03.2021    11:45:06    admin    185.163.193.147    185.163.193.147
Fehler    24.03.2021    11:39:52    admin    185.163.193.147    185.163.193.147
Fehler    23.03.2021    02:43:52    admin    185.163.193.147    185.163.193.147
Fehler    24.03.2021    12:06:48    admin    211.243.152.107    211.243.152.107
Fehler    24.03.2021    11:09:08    admin    211.243.152.107    211.243.152.107
Fehler    24.03.2021    11:03:18    admin    211.243.152.107    211.243.152.107
Fehler    24.03.2021    10:59:12    admin    211.243.152.107    211.243.152.107
Fehler    24.03.2021    12:29:09    admin    211.252.167.142    211.252.167.142
Fehler    24.03.2021    12:26:25    admin    211.252.167.142    211.252.167.142
Fehler    24.01.2021    10:02:35    admin    213.164.204.165    213.164.204.165
Fehler    24.03.2021    12:16:15    admin    220.134.168.169    220.134.168.169
Fehler    24.03.2021    11:58:14    admin    220.134.168.169    220.134.168.169
Fehler    24.03.2021    15:56:50    admin    221.206.228.142    221.206.228.142
Fehler    23.03.2021    02:46:57    admin    221.206.228.142    221.206.228.142
Fehler    24.03.2021    12:03:54    admin    103.250.52.162    103.250.52.162
Fehler    24.03.2021    11:08:48    admin    103.250.52.162    103.250.52.162
Fehler    23.03.2021    02:46:56    admin    103.250.52.162    103.250.52.162
Fehler    24.03.2021    15:54:47    admin    109.108.86.119    109.108.86.119
Fehler    24.03.2021    12:42:15    admin    109.108.86.119    109.108.86.119
Fehler    24.03.2021    12:40:01    admin    109.108.86.119    109.108.86.119
Fehler    24.03.2021    11:46:56    admin    109.108.86.119    109.108.86.119
Fehler    24.03.2021    11:04:50    admin    109.108.86.119    109.108.86.119
Fehler    24.03.2021    15:44:43    admin    112.186.218.47    112.186.218.47
Fehler    24.03.2021    11:38:42    admin    112.186.218.47    112.186.218.47
Fehler    24.03.2021    11:03:35    admin    112.186.218.47    112.186.218.47
Fehler    23.03.2021    02:49:14    admin    112.186.218.47    112.186.218.47

Alles anzeigen

Take care

HoDam

FSC830 · 25. März 2021

Zitat von HoDam

Das hier einige immer direkt mit Panikmache reinpreschen

...dann warten wir mal, bis beim Ersten der Login erfolgreich war, was passiert.

Weil nur aus "Spass" versucht bestimmt niemand, dazu noch in diesen Ausmaßen, fremde Systeme zu hacken.

Oh, gerade gesehen: Panikmache

Gruss

rednag · 25. März 2021

Zitat von tiermutter

Wie hier von christian vorgeschlagen und von QNAP gewünscht gibt es hier einen Sammelthread für Angreifer IP Adressen, von welchen unerlaubte Loginversuche festgestellt wurden.

Ich beziehe mich mit meiner Frage hierauf.
Klar kann man jetzt panisch ím Kreis rennen und die aufgeführten IPs in der Firewall sperren.
Morgen aber ist das ganze schon wieder überflüssig weil eben andere IPs involviert sind.

tiermutter · 25. März 2021

Ich denke den meisten ist bewusst dass die Masse der IPs nicht nochmal zuschlägt und das Blocken über mehrere Tage hinaus nichts bringt. Was auch immer QNAP mit den Adressen anstellen kann und will ist doch zweitrangig, wenn wir mal eben mithelfen können.

Und wenn es nachher doch nichts bringt, dann war es ein netter Corona Zeitvertreib

rednag · 25. März 2021

Jo, stimmt schon. Aber ich denke nur an den Thrad wo die Umfrage (auch von QNAP gewünscht) war welchen Medienserver man selbst einsetzt. Bevor ich mich engagiere will ich schon wissen um was es geht, bzw. welche Absicht/Ziel hinter solch Aktionen steckt. Alles andere ist in meinen Augen blinder Aktionismus um halt auch "irgendwas" zu machen. Aber weder bei dem Medienserver noch hier kann ich mit weiteren Informationen dienen. Kein Medienserver und nur VPN.

Jagnix · 25. März 2021

Zitat von tiermutter

Was auch immer QNAP mit den Adressen anstellen kann und will ist doch zweitrangig

Nein ist es nicht. Das ist für mich nur Blendwerk um zu zeigen das man angeblich was dagegen macht.

Das sind Adressen aus Deutschland, Japan, Solvakei und USA dabei. Was wollen die da gegen unternehmen.

Mavalok2 · 25. März 2021

Big Data. Ich denke mit genug Daten kann mir schon einiges herausziehen. Aber das geht nicht nur mit Daten von 2 NAS. Am Besten von allen Betroffenen.

tiermutter · 25. März 2021

Zitat von Jagi

Das ist für mich nur Blendwerk um zu zeigen das man angeblich was dagegen macht.

Mag durchaus sein, nur erschließt sich mir nicht, warum QNAP ausgerechnet bei sowas blenden will, wenn es doch genügend andere Möglichkeiten dafür gibt... Wie zB die besagte Umfrage bzgl. Mediaserver. Eine App weiter zu entwickeln oder zu implementieren wäre etwas, was in der Verantwortung von QNAP liegt. Diese Angriffe hier liegen aber nicht in der Verantwortung von QNAP, wen wollen die damit blenden?

Jemand (QNAP) hat um etwas gebeten, was keinen großen Aufwand darstellt. Für mich spricht nichts dagegen einer solchen Bitte nachzukommen, wenn es jemanden glücklich macht, auch wenn mir der Hintergrund schleierhaft ist.

dr_mike · 25. März 2021

Zitat von Jagi

Das ist für mich nur Blendwerk um zu zeigen das man angeblich was dagegen macht.

Es hat einen Sinn und ist nicht nur Blendwerk.

Ich würde auch darum bitten hier nicht weiter zu diskutieren. Das erschwert nur das Erfassen der benötigten Daten.

Crazyhorse · 25. März 2021

Da gibts do schon etwas:

https://www.dshield.org

NaStrada · 27. März 2021

Die Anzahl der Angriffe war für mich eine neue Erfahrung. Hatte bisher die Vorgabewerte von QNAP für IP- und Kontozugriffsschutz verwendet.

Bildschirmfoto 2021-03-27 um 14.10.31.png

dr_mike · 22. April 2021

Zitat von Jagi

Das ist für mich nur Blendwerk um zu zeigen das man angeblich was dagegen macht.

Na pass nur auf, dass dich das Blendwerk nicht selbst trifft. Hinter jeder dieser IP's steht ein infiziertes Synology NAS.

Jagnix · 22. April 2021

Wäre doof.

Sammelthread - Angreifer IP Adressen

QuTS hero h5.1.6.2734 Build 20240414

QTS 5.1.6.2722 Build 20240402

Vulnerability in XZ Utils

Vulnerability in Network ＆ Virtual Switch

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

Systemsteuerung - Sicherheit - Liste Zulassen/Verweigern

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur