Hackangriff gestern 18.03.2022

    Hallo liebe Qnapgemeinde, ich hatte gestern um punkt 6:00Uhr morgens innerhalb von 19 Sekunden 29 fehlgeschlagene Loginversuche.

    Ich habe daraufhin versucht rauszubekommen, ob der Hackangriff erfolgreich war oder ob er abgebrochen hat.

    Im Netz konnte ich dann Empfehlungen gegen einen Hackangriff lesen und hatte diese auch im Vorfeld schon so umgesetzt. Meine Firewall war Portweiterleitung ausgeschaltet und bei der Nas das UPnP auch. Dennoch konnte der Hacker immerhin in mein System eindringen. Ich habe nun weitere Sicherheitsvorkehrungen getroffen, aber bin mir unsicher ob der Hack nicht schon erfolgreich war.

    Kann mir einer von Euch erfahrenen Experten verraten, wie ich nun festelle, ob der Hack erfolgreich war und wie ich am besten mit einer evtl. verseuchten NAS mit Ransomware umgehe?


    Vielen Dank schon im Voraus!

    Gab es denn einen erfolgreichen Login?

    Schaue mal in die autorun.sh (irgendwo in den Einstellungen) und prüfe CPU Auslastung und die Prozesse, ob da was auffällig ist.

    Steht eine IP bei den Loginversuchen dabei?


    Wenn keine Weiterleitung oder UPNP aktiv sind kann nur was aus deinem eigenen Netz kommen.

    Das ist einer der 29 E-Mails die ich als Info bekommen habe.

    Code
     NAS-Name: NASQnap2021
 Schweregrad: Warning
 Datum/Zeit: 2022/03/18 06:00:15
 
 App-Name: QuLog Center
 Kategorie: Verbindungsstatus
 Nachricht: [QuLog Center] Anmeldung fehlgeschlagen. Benutzer: [appuser]. Quell-IP: 127.0.0.1. Verbindungstyp: HTTP. Überprüfen Sie die Berechtigungen und die Verbindung.

    Im Benachrichtigungszentrum steht als Ereignis.

    6:00 admin 127.0.0.1 Security Conselour Security Checkup Sicherheitsüberrpüfung wurde gestartet

    6:16 wurde dies dann beendet.


    Kommt das daher?


    Sonst ist derzeit keine Auffälligkeit zu sehen. Keine CPU Auslastung etc.

    Warum da ein Fehllogin rauskommt verstehe ich nicht, aber die IP ist das NAS selbst. Als würde ein Service auf dem NAS sich falsch anmelden... Kurios, aber gab es glaube ich schonmal. Gefahr durch Externe sehe ich da grad nicht, eher eine Fehlfunktion.

    Hattest du zu dem Zeitpunkt Portweiterleitungen aktiv?

    War der Zugriff über einen Cloudlink auf das NAS über das Internet möglich?


    Gibt es Firewall Log zu dem Zeitpunkt welches man auswerten kann?


    Besteht ein VPN Tunnel zu einer andere Location und hierrüber ist ein Zugriff auf das NAS möglich?

    Poweiterleitung war da schon aus.


    Ja Cloudlink benutze ich.


    Log von der Fritzbox muss ich schauen, aber ich meine das hat die nicht.


    Ich nutze zwar auch als den Fritz VPN, aber zu dem Zeitpunkt war keine aktive Leitung, aber die Einstellung, also Möglichkeit schon. Ich hoffe ich drücke mich da jetzt verständlich aus.

    Einmal editiert, zuletzt von m.wecki () aus folgendem Grund: @tiermutter. das würde es erklären! Super Danke!

    VPN Zugriffe kannst du im Fritz Log finden, Zugriffe aus dem Internet über den Cloudlink nicht.


    Dann bleibt nur die Verhaltensüberwachung des NAS.


    Aber da hier ein lokaler Dienst, sagen wir mal, verrückt gespielt hat, würde ich mir da jetzt nicht so große Sorgen machen.


    Das Teil mal sauber durch prüfen ist aber keine Lösung die schadet.

    Autorun wurde ja schon genannt.

    Freigaben sind auch zu kontrollieren, ob hier komische Testdatei und deine Dokumente mit komischen Endungen erscheinen. Das könnte dann ein Verschlüsslungstrojaner sein der gerade aktiv ist.


    Das siehst du aber auch in der Aktivitätsanzeige, da dann die HDs voll unter Dampf stehen.


    Das kann aber auch täuschen, denn es gibt auch clevere Miner die halte an, wenn jemand auf der GUI ist.

    Hier könnte dann SSH weiter helfen, wo man mal so einfach im Hintergrund mit top mal nachschaut was so alles läuft wenn gerade niemand auf der GUI ist.

    [appuser] Logins von localhost sind ein paar der Probleme die QuFirewall (runter mit dem Teil!) so manchmal meldet.


    Findet man ne Handvoll von Diskussionen zu via reddit