Alert: Massive Zugriffs- oder Einbruchsversuche auf dem QNAP-NAS von außen

    Hallo liebe Gemeinde.


    Seit 03:00 Uhr in der heutigen Nacht bis 8:50 am Morgen nach meiner Blockade habe ich ca. 90 Zugriffs- oder Einbruchsversuche über HTTPS bemerkt. Das wirklich verwirrende ist die ständig wechselnde Herkunfts-IP-Nummer, die das QuLog-Center ausweist.


    Zwar habe ich den Nutzer admin" zuvor abgeschaltet, zuvor einen anderen "Ersatz-Administrator" eingerichtet und ein komplexes Passwort für den "Ersatz-Administrator" vergeben und zuvor eine 2-Faktor-Authorisierung für ihn eingerichtet, aber all das gilt natürlich nur für den Zugriff per HTTP(S), nicht aber für die vielen anderen Dienste wie VPN, FTP oder der Secure Shell usw. All das habe ich abgeschaltet. Es kam zu keinem Einbruch. Alle Port-Nummern auf dem Router sind ebenfalls geschlossen worden.


    Nun zur Frage: Im QuLog-Center kann man im Abschnitt "Zugriffsprotokoll" den Schalter "Zur Blockliste hinzufügen" auswählen und dies von einer Minutenzahl bis immer zeitlich spezifizieren. Gilt das für die Herkunfts-IP-Nummer wie im Protokoll vermerkt? Und wo kann man das einsehen oder wieder löschen?


    Grüße Hans

    Zitat von iv077

    Das wirklich verwirrende ist die ständig wechselnde Herkunfts-IP-Nummer, die das QuLog-Center ausweist.

    Das ist nicht verwirrend, das ist die übliche Vorgehensweise ;)


    Zitat von iv077

    Zwar habe ich ............

    ... das ist alles nichts, was Dich beschützen kann! Portfreigaben zum NAS aufheben ist das einzige, das dir Sicherheit bringt!


    Zitat von iv077

    Alle Port-Nummern auf dem Router sind ebenfalls geschlossen worden.

    Ok, also Portfreigaben gestoppt? Gut so :thumbup:

    Zitat von iv077

    Nun zur Frage

    Bevor wir sinnlos darüber diskutieren / schreiben:

    Lass die Portfreigabe abgeschaltet und benutze ein VPN für den Fernzugriff. Das Blocken von ein paar IPs von Tausenden wird Dir nicht helfen.

    Einsehen kann man das aber in den Sicherheitseinstellungen.

    vielen Dank schon mal für die sehr schnelle Antwort. Ja ausser der Port-Nummer für den Twonky-Server für den "Fern-Konsum" meiner Musik ist keinerlei Port offen.

    Was machen bloß die Leute, die eine umfangreiche Webseiten-Präsenz mit verschiedensten Diensten dahinter aufgebaut haben?


    Meinst Du Systemsteuerung->System->Sicherheit->Liste Zulassen/Verweigern ??


    Grüße

    Hans

    Ich hab die QuFirewall installiert. Dort kann man nachsehen und gesperrte Quell-IP's wieder freigeben.


    fw1.jpg


    Außerdem gibt es noch "Systemsteuerung --> Sicherheit -->> IP-Zugriffsschutz". Ich weiß nicht, ob im Falle einer fehlenden QuFirewall dort auch gesperte IP's wieder freigegeben werden können.

    Zitat von iv077

    Meinst Du Systemsteuerung->System->Sicherheit->Liste Zulassen/Verweigern ??

    genau.


    Zitat von iv077

    Was machen bloß die Leute

    Die haben hoffentlich geeignete und entsprechend gesicherte Software dafür ;)


    Zitat von iv077

    ausser der Port-Nummer für den Twonky-Server

    Da weiß ich nicht wie anfällig das ist... Twonky wird ja auch schon ewig nicht mehr gepflegt, da werden sicherlich auch Sicherheitslücken klaffen, aber die werden nicht so begehrt ausgenutzt wie http(s) an QNAP oder andere NAS.

    An tiermutter:


    In Systemsteuerung->System->Sicherheit->Liste Zulassen/Verweigern erscheinen die bei mir aber nicht, nach dem ich sie zuvor im QuLog-Center heraus geblockt habe.


    Muss man zuvor wie q.tip meinte, die Qu-Firewall aktivieren und konfigurieren? Das würde ich mir nämlich ersparen, da ich das schon auf der FRITZ.BOX gemacht habe.


    Grüße Hans

    QuFirewall ist mehr hinderlich als hilfreich und wird von den meisten Usern nicht verwendet. Macht wie Du selbst feststellst auch meistens keinen Sinn, schließlich hat man ja schon eine (halbwegs) ordentliche Firewall zwischen WAN und LAN.


    Also bei mir erscheint die IP dort sofort, die Seite darf aber nicht schon geöffnet sein. Hat mit der QuFirewall nix zu tun...

    pasted-from-clipboard.png

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    okay, moment,werde es gerade einmal ausprobieren.

    Ja es stimmt: die in QuLog-Center markierten Einträge können dort überprüft und bei Bedarf dort wieder herausgenommen werden.


    Bleibt nur noch zu klären mit welchem Script die eigene Herkunfts-IP gefälscht werden kann. Denn von irgend welchen gekaperten Command- and Control-Server scheint der Versuch nicht gegangen zu sein.

    Einmal editiert, zuletzt von iv077 ()

    Zitat von iv077

    Was machen bloß die Leute, die eine umfangreiche Webseiten-Präsenz mit verschiedensten Diensten dahinter aufgebaut haben?

    Diese Leute haben hoffentlich auch das Knoffhoff ihr Netzwerk entsprechend zu sichern und verwenden vernünftige Router und Firewalls und keine Fritzbox oder ähnliche SoHo Router.


    Zitat von iv077

    Ja ausser der Port-Nummer für den Twonky-Server für den "Fern-Konsum" meiner Musik ist keinerlei Port offen.

    Und auch das solltest Du schnell abstellen. Ein Zugriff auf das Heim-LAN sollte immer nur per VPN erfolgen!

    Starke Passwörter, 2FA oder sonstiges schützen nicht vor Exploits, und davon hat QNAP schon etliche gehabt.


    Die QuFirewall ist, wie tiermutter sagte, mehr ein Hort des Ärgernisses und der Probleme als eine Hilfe. Ich habe mir die eine Weile angesehen und dann verbannt. :evil:


    Gruss

    Zitat von iv077

    Bleibt nur noch zu klären mit welchem Script die eigene Herkunfts-IP gefälscht werden kann. Denn von irgend welchen gekaperten Command- and Control-Server scheint der Versuch nicht gegangen zu sein.

    Wie meinst Du das, oder was meinst Du damit?

    IP spoofing ist kein Hexenwerk, was QNAP betrifft sind das aber oft Botnetze die aus zigtausend Geräten / Anschlüssen bestehen, da braucht man nix spoofen...

    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen


    Ich glaube, dass dieser Versuch nicht von unabhängig verschiedenen Personen und nicht von unabhängig verschiedenen Maschinen ausgegangen ist.

    Wie kann also eine IP verschleiert werden, wenn mit einer whois-Abfrage der Ursprung z.B. aus Korea, andere aus Australien, den Niederlanden oder Polen ermittelt werden konnte?

    Z.B ist ein DNS- Spoofing alles andere als trivial, wenn der Eintrag auch noch mit Zertifikaten im DNS abgesichert ist und diese von der anfragenden Software, z.B. einem Browser ausgewertet werden.

    Na wenn zigtausend NAS befallen sind oder halt anderweitige Geräte dafür genutzt werden, dann können und sind die oft in der ganzen Welt verstreut...

    Zitat von iv077

    Was machen bloß die Leute, die eine umfangreiche Webseiten-Präsenz mit verschiedensten Diensten dahinter aufgebaut haben?

    Lösung 1:

    Webspace oder einen Root-Server bei einem Hoster anmieten und dort die öffentliche Webpräsenz einrichten. Nur unbedingt notwendige Daten werden dort abgelegt, und alles andere kann dann auch nicht in fremde Hände kommen.


    Lösung 2:

    Eine DMZ anlegen, welche vom eigentlichen internen LAN durch eine gute Firewall getrennt ist. Aus der DMZ sind keine Zugriffe ins interne LAN möglich (wohl aber umgekehrt). In der DMZ sind wieder nur absolut notwendige Daten vorhanden. Von außen kann nur auf Rechner in der DMZ zugegriffen werden.

    Die Fritzbox kann übrigens keine DMZ. Da braucht man andere Hardware.


    Trivial ist das trotz allem nicht, da gewisse Daten auf dem öffentlich erreichbaren System benötigt werden, z. B. gewisse Kundendaten für die Verkaufsabwicklung. Erst diese Woche habe ich eine Mail vom Modehändler meines Sohnes bekommen, in der dieser einen Datenabfluss aus seinem System beichten musste.

    Das Gleiche hier.


    DDNS-Dienst auf dem NAS und die Portweiterleitungen auf der FB deaktiviert. Dann war erstmal Ruhe.


    Heute Abend habe ich mein altes TS251+ zurückgesetzt, weil ich es meinem Sohn vermachen wollte und testweise DDNS und Portweiterleitung wieder aktiviert. Dabei habe ich festgestellt, dass der DDNS-Dienst wohl aktuell nicht funktioniert. Zugriff über myQNAPcloud und die LAN-Adresse ist weiterhin möglich.

    Vielen Dank für die Kommentare von den Nutzern Anthracite und NapUser.

    Ja eine DMZ ist mir zu kompliziert und wird laut Nutzer Anthracite nicht unterstützt.


    Grüße aus München

    Hans

    Könnte mir vorstellen, dass diese Zugriffe mit einer kritischen Schwachstelle in QTS / QuTS zusammenhängt.


    Kritische Schwachstelle CVE-2024-21899 ermöglicht QNAP NAS-Zugriff ohne Authentifizierung
    [English]Besitzer von QNAP NAS-Laufwerken sind durch die kritische Schwachstelle CVE-2024-21899 gefährdet. Diese ermöglicht den Zugriff auf Geräte, ohne dass…
    www.borncity.com

    Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud - Security Advisory
    QNAP designs and delivers high-quality network attached storage (NAS) and professional network video recorder (NVR) solutions to users from home, SOHO to…
    www.qnap.com


    Wurde auch hier im Forum schon vermeldet:


    Artikel
    Multiple Vulnerabilities in QTS, QuTS hero, QuTScloud, and myQNAPcloud
    Multiple vulnerabilities have been reported to affect certain QNAP operating system and application versions:    CVE-20 ... More
    christian

    In den aktuellen QTS/QuTShero-Versionen sollte die Schwachstelle aber beseitigt sein. :/

    Ja, ist oder sollte. Aber wir wissen ja alle, dass immer alle QNAP-Benutzer sofort und gleich auf die aktuelle Version updaten, vor allem diejenigen, die das NAS offen im Internet haben. Möglicherweise haben sich da ein paar nach Bekanntgabe der Lücke auf die Suche gemacht, ob sich nicht doch noch ein oder zwei NAS finden, die das Update noch nicht erhalten haben. ;)

    Ohne Sicherheitspatch warte ich mit jedem Update, bis einige andere (mit Spielmaschinen) das als "problemlos" berichtet haben. Hmmm, ich habe aber auch noch nie eine Nachricht (von QNAP) kriegt, dass es Sicherheitslücken für irgendeine FW gegeben hätte.

    Unabhängig davon ist mein NAS sowieso NUR im LAN errreichbar. Ich muss da nicht von extern mit einem Smartphone dran, und das LapTop schlepp ich eh meistens nicht mit, eigentlich kann ich das auch abschaffen. Und zu Hause macht das NAS auch mit einer "älteren" FW, was es soll. Kommt selten vor, dass ich für mich relevantes in den ReleaseNotes entdecke :)

    Hast Du bei QNAP einen Account? Mails gehen -soweit mir bekannt- nur an diejenigen, die einen QNAP Account haben (den hat man, wenn man z.B. Tickets aufmacht).


    Gruss