Hackerangriffe auf das deaktivierte Admin Konto

Trullybaer · 15. Februar 2024

Hallo,

Ich habe eine NAS TS431 mit der aktuellen Firmware QTS4.3.6.2665.

Bei meiner NAS ist der Admin Account deaktiviert, und ich lasse mir von der NAS über meine T-Online Mailadresse alle Aktivitäten melden.

Das funktioniert auch ganz gut, bis dann irgend jemand mal wieder versucht über das deaktivierte Admin Konto den Zugriff zu erhalten.

Das funktioniert aber nicht. Mein Problem ist, dass teilweise die Angriffe im 2 Minuten Takt gemacht werden, und mir jedes mal ein Mail von der NAS gesendet wird. Das ist ist ja auch gewünscht, aber wenn ich es mal zu spät mitbekomme,

und über meinen T-Online Account schon 100 Angriffe per Mail gesendet wurden, dann sperrt T-Online den Mailaccount für 24 Stunden, was wieder für mich bedeutet, keine Mails, auch andere nicht zu erhalten. Die NAS steht im Heimnetz, und ich verwende extern nur den Zugriff vom Handy auf das Nas, um Multimedia Daten zu sichern. Gibt es eine Möglichkeit das Nas so zu konfigurieren, dass nach drei Fehlversuchen auf das Deaktivierte Admin Konto der Angreifer noch nicht mal bis dahin kommt, oder kann man dem Nas in dieser Situation automatisiert vorgeben, die Fritz Box neu zu starten. Mit neuer IP Adresse ist ja bekanntlich Ruhe

tiermutter · 15. Februar 2024

Sofort den Zugriff aus dem Internet abstellen und ein VPN verwenden... "nur für Handy freigeben" ist unmöglich, wenn der Zugriff vom Handy geht, dann haben auch alle anderen Zugriff.

Anschließend sicherstellen, dass du dir nicht schon was eingefangen hast.

uweklatt · 15. Februar 2024

Am besten Wirguard auf Handy und Fritzbox einrichten.

Dann kommst nur Du noch in das Heimnetz. 😉

FSC830 · 15. Februar 2024

Zitat von Trullybaer

...Mit neuer IP Adresse ist ja bekanntlich Ruhe...

Für wie lange?

Das ist meist nur sehr kurz und auch vollkommen unsinnig.

Einen Hausbrand löscht man auch nicht mit einem Fingerhut.

Wie o.a. den Zugriff vom Internet sofort (!!!) abstellen und auf VPN umsteigen.

Gruss

Crazyhorse · 16. Februar 2024

Warum?

Nur weil der Hersteller selber immer wieder Mails versendet in denen er auf die CVEs in den verschiedenen Apps und QTS Versionen verweist und dazu rät die entsprechenden Updates zu installieren.

Wi fach zurücklegen und warten, wenn der richtige Angriff erfolgt, kommt keine Mail, da das NAS direkt übernommen wird.

Anthracite · 16. Februar 2024

Vermutlich handelt es sich bei den Angriffen um automatisierte Skripte, die ein Schadprogramm auf dem NAS zur Ausführung bringen wollen, welches deine Dateien verschlüsselt, damit Lösegeld erpresst werden kann.

Die vielen Angriffsversuche sprechen für ein Durchprobieren von Passwörtern. Wenn alle deine User wirklich sichere Passwörter haben (>= 10 zufällige Zeichen), dann ist das Probieren von Passwörtern aussichtslos. Die große Gefahr ist, dass es durch eine Sicherheitslücke, von der womöglich noch nicht mal Qnap was weiß, möglich ist, sich ohne Passwort anzumelden, und dann gibt es noch nicht mal eine Mail, außer zwei Tage später derjenigen mit der Lösegelderpressung.

Die Zahl der Angriffsversuche kannst du deutlich reduzieren, wenn du nicht den Standardport nimmst, sondern eine hohe Portnummer (>33.000). Dies ist durchaus zu empfehlen, dennoch ist es nur Augenwischerei, denn der Angreifer kann alle Ports durchprobieren.

Der einfachste Schutz gegen die Angriffe ist, im Router (Fritzbox) alle freigegebenen Ports zu sperren und nur über das VPN im Router zuzugreifen.

Ich will dir nicht komplett davon abraten, ohne VPN auf einzelne Dienste zuzugreifen. Einige Dienste können sicher genutzt werden (z. B. ssh bei sicherer Konfiguration), andere eher nicht (z. B. http(s) auf das NAS-GUI). Du bist dann aber selbst dafür verantwortlich, dich um die Sicherheit zu kümmern:

Werden Patches zügig eingespielt? Sind Sicherheitslücken bekannt?
Wie groß ist die Angriffsfläche?
Wie gut ist die Sicherheit durch Dritte untersucht worden?
Kannst du selbst die Sicherheit einschätzen?
Hast du ein Backup, das sicher ist gegen Verschlüsselungstrojaner? (Z. B. eine Platte mit aktuellem Backup im Schrank)

Um mal konkreter zu werden: Welche Dienste und welche Ports hast du denn freigegeben?

Mavalok2 · 17. Februar 2024

Zitat von Trullybaer

ich verwende extern nur den Zugriff vom Handy auf das Nas, um Multimedia Daten zu sichern.

Sprich: "Das weit geöffnete Tor habe ich nur für mich offen gelassen und niemand geht da hinein." Finde den Fehler.

Noch hast Du eine Gardine / Insektenschutzgitter vor dem Tor, in dem sich der Angreifer im Moment noch etwas verheddert hat. Aber Gardine als Einbruchskonzept?

Zitat von Trullybaer

Gibt es eine Möglichkeit das Nas so zu konfigurieren, dass nach drei Fehlversuchen auf das Deaktivierte Admin Konto der Angreifer noch nicht mal bis dahin kommt, oder kann man dem Nas in dieser Situation automatisiert vorgeben, die Fritz Box neu zu starten.

Ich glaube, hier wollen Dir die wenigsten helfen Dein NAS weiterhin Gefahren auszusetzen und Datenverlust zu riskieren. Ich zumindest nicht. NAS haben offen im Internet einfach nichts verloren.

Wie dies zu lösen ist, wurde ja schon mehrfach erwähnt: VPN. Ich schließe mich da der Meinung meiner Kollegen an.

Ansonsten noch etwas Leselektüre. Schon etwas älter aber immer noch gültig:

Blog-Artikel

Security - Das NAS offen im Internet

00 Titel.jpgAus aktuellem Anlass möchte ich hier ein häufig diskutiertes Thema aufgreifen. Hierbei geht es um das ″offen ins Internet stellen″ eines NAS. Unter ″offen ins Internet stellen″ verstehe ich das NAS nach Außen ins Internet zu öffnen, Zwecks Anbieten und Zugreifen von Daten oder Diensten über das eigene NAS aus dem Internet. Dabei spielt es hier keine Rolle, ob es sich um die Photos für den Verein, die eigene Homepage oder die Bereitstellung der Daten für den Kunden handelt.

1. …

Mavalok2

1. November 2019

Blog-Artikel

Security - Das NAS als Cloud-Server

00 Titel.jpgVor kurzem hat mich ein Kollege – Chef einer kleinen technischen Firma – gefragt, ob es denn nicht mit einem NAS verhältnismäßig unkompliziert möglich sei, einen Cloud-Dienst als Team-Server für interne und externe Planungsteams zur Verfügung zustellen und zu verwenden. Will heißen, dass hier geschäftliche Daten mit einem offen im Internet stehenden NAS über das Internet zur Verfügung gestellt werden sollen.
Das ist sicher eine Frage, die sich inzwischen immer mehr kleine…

Mavalok2

11. März 2020

Mavalok2 · 22. Februar 2024

Ich glaube, meine Antwort war etwas zu ... hmm, "direkt". Keine Antwort mehr vom Themensteller.

UdoA · 23. Februar 2024

Oder er ist schon damit beschäftigt, Bitcoin zu kaufen...

Hackerangriffe auf das deaktivierte Admin Konto

Vulnerabilities in Squid

Multiple Vulnerabilities in QuFirewall

Vulnerability in Media Streaming Add-on

Multiple Vulnerabilities in QTS, QuTS hero, and QuTScloud (PWN2OWN 2023)

App Zugriff (von extern) auf verschlüsseltes Laufwerk

FRAGE: Malware Remover läuft seit Stunden bei 70%. Ist das normal?

Verschlüsselungstrojaner auf NAS

SambaCry on QNAP NAS

E-Mail mit Betreff: "QNAP Security Advisory | Bulletin ID: QSA-24-19"

Screenshots erstellen und im Forum einbinden (Windows)

(Betriebs)- System vs. Systemvolume - Hinweise zum Verständnis

QuDedup: Backup Job neu verlinken - Ein Ritt ins Verderben

[QUICK HOW-TO] Apps manuell auf ein anderes Volume verschieben

[QUICK HOW TO] QNAP Disks unter Windows mit UFS Explorer auslesen

Kodi-Headless Server als Docker-Container

Hardware Praxis – „Hör mal wer da surrt“: Ein Erfahrungsbericht aus dem IT-Alltag

Hardware Praxis – Tipps zum Einbau einer neuen Festplatte: Ergänzung

Foren Update im Juli / August geplant

IT-Geschichten – Die verrückte Tastatur