Sammelthread - Angreifer IP Adressen

  • Aufgrund der Tatsache, dass mit Glasfaser zumindest bei "neueren" Providern immer mehr auf CGNAT gesetzt werden muss, wird es wahrscheinlich eher weniger. Zumindest so lange bis die bösen Buben anfangen die großen IPv6 Netze zu sniffen. Bislang habe ich jedenfalls noch keine Versuche/ Angriffe auf v6 Adressen gesehen, das scheint bislang alles über die "übersichtlichen" v4 Netze gegangen zu sein.

    Aber auch klar: hinterlegt man seine v6 Adresse beim myqnapcloud DDNS, ist es auch hier ein Leichtes, entsprechende Geräte ausfindig zu machen.

  • Hallo zusammen,


    auch ich habe von mehreren IP-Adressen aus (teils vor Monaten, teils erst heute nacht) Angriffe mit böswilligen Login-Versuchen erfahren müssen:

    [ IPs gelöscht ]


    Deshalb habe ich vor ein paar Tagen dann die Zwei-Faktor-Authentifizierung aktiviert (und hoffe, das sie auch wirkt) und (erst) heute dann auch die automatische IP-Sperre (nach wenigen Versuchen) in den Einstellungen auf 24 Stunden verlängert.

    Denn wenn man morgens ca. 50 Mails von seinem NAS in der Mailbox hat, nervt und zugleich beunruhigt das einen. Mit einer 24 Stunden-Sperre sollte dann Zeit sein, die Angreifer-IPs in die Forever-Blacklist aufzunehmen.


    Weiß einer von euch, ob es erfolgversprechende Möglichkeiten gibt, gegen die Angreifer vorzugehen - zumindest wenn es deutsche IPs sind?

    Einmal editiert, zuletzt von AH-DUS ()

  • Weiß einer von euch, ob es erfolgversprechende Möglichkeiten gibt, gegen die Angreifer vorzugehen - zumindest wenn es deutsche IPs sind?

    Denke zwar eher nicht, aber das müsstest Dir wohl ein Rechtsexperte sagen.


    Sobald Du etwas offen ins Internet stellst, kann sich so eigentlich jeder versuchen anzumelden, ober erwünscht oder nicht. Ob erlaubt und unerlaubt lässt sich erst nach dem erfolgreichen oder eben gescheiterten Anmelden feststellen.


    Die effizientere Maßnahme wäre das NAS nicht offen ins Internet zu stellen oder entsprechende Netzwerkschutzmaßnamen (Firewall / UTM) zu ergreifen.

    Eine erste kleine Maßnahme wäre mal die Firewall von QNAP QuFirewall auf dem NAS zu installieren und konfigurieren, sowie Geoblocking zu aktivieren. Das könnte schon was bringen, aber sicher ist anders.

  • Danke für Deine Tipps, ich habe QuFirewall mit "Restricted security" installiert und hoffe, dass das etwas bringt.

    Jedoch war nach der Installation die Liste der von mir zuvor geblockten IPs gelöscht.

    QuFirewall verweist bzgl. der Pflege der Liste auf Control Panel > System > Security > IP Access Protection und die Erlauben/Verweigern-Liste verweist auf QuFirewall.

    Um die zuvor vorhandenen Einträge neu einzurichten, habe ich die einzelnen IPs dann anhand der Einträge im Systemzugriffsprotokoll neu und erneut "Für immer" auf die Blockliste setzen lassen. Schön ist definitiv anders!


    Sollte ich demnächst ins Ausland verreisen, muss ich dann wohl das Reiseland erst in der Firewall freischalten, wenn ich dann von dort aus per App auf meine NAS-Inhalte zugreifen will. Aber bislang kamen die Angriffe ja über deutsche IP-Adressen, so dass ein Geoblocking vermutlich nur bei ausländischen "Hobby-Hackern" hilft, die nicht über Server in Deutschland anklopfen.


    Und schon habe ich wieder einen neuen Eintrag für meine Liste und für diesen Thread:

    IP gelöscht

    Einmal editiert, zuletzt von AH-DUS ()

  • Oder einfach nen VPN Server laufen lassen (Router/RASPI) ..so wird man dann nicht Opfer der nächsten Ransomware Welle

  • auch ich habe von mehreren IP-Adressen aus (teils vor Monaten, teils erst heute nacht) Angriffe mit böswilligen Login-Versuchen erfahren müssen:

    [deleted]

    Nochmal der Hinweis: IP-Adressen sind gemäß EU-DSGVO personenbezogene Daten.

    Sie einfach so in ein öffentliches Forum zu posten ist eine Ordnungswidrigkeit, die mit erheblichen Bußgeldern bedroht ist.

    Überlegt euch, was ihr tut ...


    Im übrigen bringt es exakt gar nichts, Angreifer-IP-Adressen in einem Forum zu publizieren.

    Diese Adressen werden in der Regel nur vorübergehend ohne Wissen ihrer rechtmäßigen Eigentümer missbraucht.

    Bis das Posting erscheint, nutzt der Angreifer längst andere, frisch gekaperte Adressen.

  • Im übrigen bringt es exakt gar nichts, Angreifer-IP-Adressen in einem Forum zu publizieren.

    Wurde schon mal zu Beginn des Themas diskutiert.

    Nochmal der Hinweis: IP-Adressen sind gemäß EU-DSGVO personenbezogene Daten.

    Hmm, das wäre ja dann das Eingeständnis sich unrechtmäßig an einen fremden System anzumelden versucht zu haben. Sollte es wer anders mit der eigenen IP-Adresse gemacht haben, hat man erst recht ein Problem. Dann würde ich mir Gedanken darüber machen gehackt worden zu sein. ISP wird dies wohl eher am Allerwertesten vorbeigehen.

    Aber da gibt es ja noch diese "Abmahn-Betrüger-Anwaltskanzleien". Die könnten einem das Leben vermutlich erschweren. Betreffen würde dies aber vermutlich ja nur IP-Adressen der EU.


    Über mögliche Risiken und unerwünschte Folgen fragen sie Ihren Anwalt oder Rechtsbeistand. ;)

  • Als ich mich gewundert habe, warum ich seit der Installation der Firewall keine Benachrichtigungen mehr bekam, stellte ich fest, dass ich im Notification Center die Benachrichtigungen neu aktivieren musste!

    Es scheint aber seit der Installation der Firewall auch "ruhiger" geworden zu sein, zumindest hat das Systemzugriffsprotokoll im QuLog Center keine neuen Angriffe mehr verzeichnet.

    Dafür behauptet die Firewall ganz fleißig zu sein:

    Denied access to 667195 packets in the last 24 hours.


    Trotz alledem, ein mulmiges Gefühl bleibt - trotz 2-Faktor-Authentifizierung und Firewall und 24 Std.-Timeout für fehlerhafte/böswillige Login-Versuche

  • Das liegt einfach nur daran, dass dank der Firewall nun niemand mehr versuchen kann sich einzuloggen, bzw. die große Masse es nicht mehr versuchen kann. Daher auch keine Meldung darüber.

    Mit der FW bist du deutlich sicherer dran als ohne, wie sicher das wirklich ist kann und mag ich auch nicht beurteilen. Ich bin mir aber sicher, dass ein Angriff von einer deutschen IP durchgehen würde.

    Dass für einen erfolgreichen Hack kein Login erforderlich ist, bleibt dabei nur eine Randnotiz.

  • Trotz alledem, ein mulmiges Gefühl bleibt - trotz 2-Faktor-Authentifizierung und Firewall und 24 Std.-Timeout für fehlerhafte/böswillige Login-Versuche

    Das mulmige Gefühl wird auch nicht mehr weggehen. Du kannst ihm aber einen anderen Namen geben. Nenn es zum Beispiel "gesunde Vorsicht" oder "Erkenntnis, dass es keine absolute Sicherheit gibt" oder "Das Leben ist kein Ponyschlecken" ...

  • Nein absolute Sicherheit wird es nie geben.

    Wer jedoch, QuFirewall hin oder her, ein NAS System nach all den Vorfällen direkt aus dem WAN erreichbar macht, schafft jegliche Sicherheit ab.

    Es kann jede Fritz VPN (uralte Implementierung) und es gibt so viele Kisten die das können.

    Richtige Firewalls wie pfSense sind kostenlos nutzbar und die können dann alles mögliche an VPN Zugängen.

    Zudem kann man sein Netz dann segmentieren.

    Ein passender managed Switch kostet 20-30€.


    Du hattest bisher Glück, anders kann man das nicht nennen. Andere jedoch nicht, denn von denen kommen dann diese Anmeldeversuche.


    Und wenn du meinst, dann wechsle ich halt zu Syno, bringt nix. Einige der IPs könnten von so einer stammen.

    Kannst ja mal versuchen, auf eine IP aus deinem Log mit den typischen Syno Ports zu verbinden.


    Hatte das mal gemacht und da war dann ein freundliches DSM zu sehen was dich nach User PW fragt.


    Wie struktureller Grundschutz funktioniert ist dir hoffentlich jetzt klar. Weiterhin Ports aus dem Internet weiter zu leiten ist wie das spielen mit einer Patrone in der Trommel.

    5 mal hast Glück aber beim 6 mal knallt es.

  • Trotz alledem, ein mulmiges Gefühl bleibt

    Das mulmige Gefühl ist ausnahmsweise ein guter Ratgeber: Nimm das NAS raus aus dem Inet, alle "Sicherungsmaßnahmen" helfen nur bedingt. 2FA hilft nur, wenn der freundliche Angreifer über den offiziellen Weg kommt, sollte eine Sicherheitslücke bekannt werden, ist u.U. alles an Sicherheitsmaßnahmen Makulatur


    Zugriff von extern nur über VPN

  • Ich habe jetzt in der Firewall auch die Region "Deutschland" deaktiviert, so dass jetzt eigentlich nur noch über das lokale Netz und das von mir gewählte VPN (nicht das QNAP-VPN auf dem NAS) der Zugriff möglich sein sollte.

    Und zusätzlich habe ich noch IPv6 auf dem NAS zu deaktivieren versucht (da bin ich mir nicht sicher, ob das funktioniert hat) und habe es auf meinem Router komplett deaktiviert (da bin ich mir sicher, dass es auch wirkt).

    Jetzt warte ich darauf, dass die Anzahl der Firewall-Meldungen zurückgeht.

    Den Zugang über die myqnapcloud.com habe ich damit aber scheinbar "plattgemacht", aber vielleicht war das ja auch der Grund allen Übels (?)

    Dann sollte halt der Zugriff über das VPN von unterwegs funktionieren (was ich bislang nur ein bißchen über mein Smartphone mit Mobilfunk getestet habe...)


    Davor hatte ich allerdings einigen "Spaß" nachdem ich für einen User die 2FA aktiviert hatte, für den SMB-Freigaben aktiv waren, wo es keine 2FA-Unterstützung gibt.

    Das führte dazu, dass meine lokale IP meines Haupt-Rechners auch für den QTS-Desktop und alles andere geblockt wurde... sehr unschön! :-(

    Da war ich dann froh, dass ich zu diesem Zeitpunkt noch über die myqnapcloud.com auf das NAS kam und keine 24 Stunden warten musste.

    Jetzt habe ich einen extra User ohne 2FA für SMB.

    Alles nicht so einfach!!!

  • Mhh... Wenn Du ein nicht auf dem QNAP angesiedeltes VPN hast, dann bedarf es doch gar keiner Portweiterleitungen oder Freigaben zum QNAP...

    Den Zugang über die myqnapcloud.com habe ich damit aber scheinbar "plattgemacht"

    Das könnte der Grund für das Übel sein... schalte das ab, davon brauchst Du mit nem VPN nichts mehr. Dann must Du auch nicht das ganze Netz verbiegen und IPv6 deaktivieren.

    Stelle einfach sicher, dass es keine Weiterleitungen und Freigaben auf dem Router gibt und auch keine automatisch eingerichtet werden können und damit sollte sich das erledigt haben.