Brute Force Attacke

    Hallo,

    seit letztem Jahr habe ich es in den Medien gelesen, nun bin ich leider auch betroffen...


    Seit gestern Mittag gibt es im Abstand von ca. 2 Minuten Loginversuche von verschiedenen IP Adressen auf mein Qnap NAS mit dem Admin Konto.


    Das Kennwort ist sicher, 2FA ist auch aktiviert, daher hatte ich bei ein paar Versuchen auch keine Bedenken.

    Ich hätte erwartet, dass die Attacken heute Nacht aufhören, da ich einen privaten Internet Anschluss habe, und täglich eine neue externe IP-Adresse erhalte, aber auch das ist nicht so, was mich sehr verwundert hat.


    Einerseits interessiert es mich technisch, über welchen Weg die Beute Force Attacke durchgeführt wird (wahrscheinlich über die DynDNS Adresse), und natürlich, ob es eine Möglichkeit gibt von der Liste zu verschwinden, ohne mein NAS nur noch intern oder perVPN freizugeben.

    Weder Passwort not 2FA hilft bei Exploits ..kurz nen geschmeidigen Blick in die Malware Threads werfen und am besten sofort jedgliche Portweiterleitungen zum QNAP deaktivieren. Sein NAS dem WAN auszusetzen ist WAhNSINN.


    Danach hören die Bruteforce Angriffe garantiert auf.

    Das ist , gelinde gesagt, Mumpitz! Eine neue IP schützt evtl. für (sehr) kurze Zeit, aber mehr nicht!

    Portweiterleitungen, UPnP, usw. usw. ist wie eine Einladung für Hacker. Wer sein LAN sicher haben will, nimmt VPN, sonst nichts!


    Und man komme nicht mit dem Argument das das für Oma/Opa, Großonkel und sonstige Verwandte/Freunde viel zu kompliziert sei...

    Es gibt bei Sicherheit kein Entweder/Oder!


    Gruss

    Ihr wisst aber schon, dass es für sowas Suchmaschinen im Internet gibt. Die finden Dein NAS mit Deiner neuen IP in wenigen Minuten.

    Hier mal eine aktuelle Suche nach IP-Adressen/Ports hinter denen sich ein Device von QNAP aus dem Internet erreichen lässt. ;)

    Man sieht übrigens auch, wie kreativ die Leute bei den Ports sind (die Liste ist abgeschnitten).


    Screenshot 2022-07-26 081105.png


    Und hier dann ein Fingerprinting-Sample (gleiche Suchmaschine, nur in Detail-Ansicht)

    Screenshot 2022-07-26 081423.png

    Auch das hier ist ganz interessant von ca. 368.000 QNAPs, die aktuell "am internet hängen" sind ca. 50.000 aus Deutschland.
    Wir führen die Weltrang-Liste der erreichbaren QNAPs an... Cool, oder? ;)

    Screenshot 2022-07-26 082656.png

    Zitat von FSC830

    Wer sein LAN sicher haben will, nimmt VPN, sonst nichts!

    Das Matra hier im Forum. Einsteigern gegenüber ist das korrekt, aber wenn man sich auskennt, gibt es auch andere sichere Möglichkeiten, z. B. ssh. Weniger sichere Anwendungen stellt man in eine DMZ und versieht sie mit einem guten Backupkonzept.


    http(s) ist relativ unsicher, weil zum einen der Webserver eine viel größere Angriffsfläche bietet und zum anderen der Angriff auch über die vergleichsweise schlecht getestete QNAP-Anwendung erfolgen kann.

    Zitat von dolbyman

    Weder Passwort not 2FA hilft bei Exploits

    Das ist kein Exploit. Wäre es ein Exploit, hätte der Angreifer es nicht nötig, mit Brute Force viele Passwörter durchzuprobieren.


    Zitat von _andreas_

    Einerseits interessiert es mich technisch, über welchen Weg die Beute Force Attacke durchgeführt wird (wahrscheinlich über die DynDNS Adresse), und natürlich, ob es eine Möglichkeit gibt von der Liste zu verschwinden

    Welcher Weg? Der, den du auch nimmst, normal über http(s). Und nein, dyndns kommt nicht zum Einsatz. Der Angreifer benötigt nur deine numerische IP-Adresse. Die viermilliarden IP-Adressen können heutzutage relativ schnell auf offene Ports durchprobiert werden. Damit erübrigt sich auch deine Frage, ob es möglich ist, von der Liste wieder zu verschwinden.

    (Wenn du den Zugriff über IPv4 blockierst und nur IPv6 zulässt, verschwindest du übrigens tatsächlich von der "Liste". Der IPv6-Adressraum kann noch nicht in akzeptabler Zeit gescannt werden. Eine Sicherheit bietet das nicht, da der Angreifer auch anders an deine IPv6-Adresse kommen kann, aber in der Praxis dürfte die Zahl der Angriffe deutlich abnehmen, da es noch genug Dumme gibt, die IPv4-Ports mit http(s) offen haben.)

    Du schreibst doch selbst, das SSH ohne Passwortauthentifizierung auch nicht ganz einfach umzusetzen ist ;).

    Und SSH mit Rückfall auf Password ist m.E. auch unsicher, daher bleibe ich bei VPN als Mantra.


    Gruss

    So schwierig ist ssh über SSH-Keys nun auch nicht. Aber man sollte wissen, was man da macht und nicht einfach den Port freigeben.

    SSH-Keys sind einfach, klar, ich bezog mich auf Deinen Post hier.

    Das Ändern der Dateien, damit nur über SSH-Keys zugegriffen werden kann.


    Gruss

    Vielen Dank für eure Antworten.

    Wirklich erstaunlich, welches Sicherheitsbewusstsein hier im Forum ist 😁.


    Nachdem mir eine neue IP Adresse vergeben wurden, waren die Anfragen weg, ich werde aber trotzdem die Situation und eure Beiträge / Warnungen als Anlass nehmen, mein NAS nur noch per VPN online erreichbar zu lassen.

    Für die wenigen Situationen im Jahr in denen ich etwas teilen möchte, kann ich auch auf Alternativen umsteigen.

    Tja, wir möchten einfach Posts wie: "Hilfe! Alle Dateien verschlüsselt..." usw. vermeiden. :D

    Es ist schon sehr bedenklich, dass - wenn man nach dem Ergebnis der Suchmaschine geht - scheinbar besonders Deutsche-Nutzer sehr leichtsinning sind, wenn es darum geht Ihr NAS mal eben so ins Internet zu stellen.

    Barungar : Da kann ich Dich beruhigen. Ein Blick ins US-Forum und man sieht, das es nicht nur die Deutschen sind, die so lasch mit ihrer Sicherheit im LAN umgehen. :D


    Das ist leider international. Genauso international, wie das fehlende Bewusstsein für ein Backup. ?(



    Gruss

    FSC830 Ich bezog mich auf das Ergebnis der Suchmaschine. Und das ist schon eklatant. Bei 83 Mio. Deutschen, die potenziell ein NAS haben können, und dagegen 330 Mio. US-Bürgern. Fällt es schon arg auf, dass 50.000 "Deutsche"-NAS vs. 27.000 "US"-NAS im Internet stehen. Bei einer mutmaßlichen "Gleichverteilung" müssten es in den USA 200.000 NAS im Internet sein. Es sind aber gerade mal 13% davon...

    Oder wenn man die USA als Basis nimmt, dann dürften es in Deutschland ca. 7.000 NAS sein. Es sind aber 50.000... Das ist natürlich nicht absolut empirisch, aber auf Basis der Quellenlage kann man schon sagen, dass die "Deutschen" im Verleich zu den "US-Bürgern" scheinbar kein Sicherheitsverständnis für ihre NAS haben.

    Wieso? Da sorgt doch der Hersteller für, dass alles sicher ist. Einstecken, Haken rein und Freude haben. Wie beim Handy. Da passiert ja auch nie was. (Gibt es eigentlich ein Emoji für Sarkasmus? :/)

    Zitat von Anthracite

    Einsteigern gegenüber ist das korrekt, aber wenn man sich auskennt, gibt es auch andere sichere Möglichkeiten

    Denjenigen die sich auskennen muss man es aber nicht immer wieder sagen. Die kommen hinterher auch nicht hierher zum Jammern:

    Zitat von Barungar

    "Hilfe! Alle Dateien verschlüsselt..."


    Wenn man sich nicht mit der Thematik auseinander setzten will oder kann, die Arbeit und den Aufwand scheut oder einfach das "Sorglos-Paket" haben will, der sollte sich vielleicht eher nach einem passenden Cloud-Dienst umsehen. Aber auch hier gibt es keine 100%-ige Sicherheit. Daten im Internet stellen nun mal ein gewisses Gefahrenpotential für selbige dar.

    Anthracite


    Mir schon klar das der Fall (augescheinlich) kein Exploit sonder Bruteforce war... aber der nächste Exploit kommt bestimmt ...hatten wir ja oft genug...

    Daß so viele deutsche NAS offen im Netz hängen, ist für mich nur einmal mehr der Beweis, dass Deutschland was IT bzw. Digitalisierung betrifft noch in der Steinzeit hängt. In anderen Ländern ist Informatik vermutlich ein Pflichtfach in der Schule. Hier kriegen die Lehrer und Kultusministerkonferenz ja schon Schnappatmung, wenn wie bei Corona mal Homeoffice mit Telekonferenzen organisiert werden muß. Konzepte gab es da ja wohl bei den wenigsten Schulen. Da setzt sich dann so bei den Eltern fort.

    Ich denke wir werden auch in absehbarer Zukunft viel mehr Berichte über Angriffe, auf Firmen kriegen, da ja während Corona wohl viele Arbeitnehmer sich mit ihren PRivatrechnern ins Firmen-LAN eingewählt haben. Jipii.

    Zitat von _andreas_

    welches Sicherheitsbewusstsein hier im Forum ist

    Das Hauptproblem für mich sind die ständig wachsenden Botnetzwerke, wenn Rechner/NAS etc. übernommen wurden.

    Diese Botnetze werden dann auch gerne mal benutzt um DDoS-Angriffe auf große System zu fahren, deren Dienst ich auch gerne nutze.

    Um es klar zu sagen: Ob jemand seine Daten verschlüsselt bekommt geht mir am All*** vorbei.

    Just my 2 cent

    Ich hab die gleiche Beobachtung gemacht wie der Threadstarter, und auch bei mir ist 2FA aktiv.


    Als ich die Freigabe/Portweiterleitung auf 443 in der Fritzbox deaktiviert habe, haben die Loginversuche aufgehört.


    Das passt auch zu dem ersten Screenshot, den @Barungar in #5 gepostet hatte (Platz 1: 443). Die anderen Ports auf den nächsten Plätzen sind bei mir nicht weitergeleitet.