Brute Force Angriff auf mein QNAP NAS(?)

[Infin1tum]

Moin Leute

Ich habe hier ein QNAP TS-230.
ist es möglich, dass hier jemand versucht, auf meinen NAS zuzugreifen? Ich hatte heute früh mehrere Benachrichtigungen von meinem NAS auf dem Handy, die ich sonst nicht bekomme:

Ich hab dann gleich mal reingeschaut und siehe da: mehrere tausend geblockte zugriffe. Es sind zwar immer ein paar Ereignisse vorhanden, aber so viele waren es bisher nie.

Spoiler

nun scheint das Ganze offenbar fehlgeschlagen zu sein, nur bin ich jetzt trotzdem ein wenig besorgt und wollte ein paar tips haben, wie ich nun prüfen kann, ob a) alles in Ordnung ist und b) meine Sicherheitseinstellungen verbesserungsfähig sind.

Grundlegend ist das standard-adminkonto in der Benutzerkontensteuerung deaktiviert und für mein Benutzerkonto eine 2-FA Authentifizierung eingerichtet. Also eigentlich kann da schonmal keiner dran, ohne dass ich es wüsste.

Die Einstellung der QuFirewall ist auf subnets only. Zusätzlich habe ich alle lokale IP Adressen, außer der meines PCs manuell geblockt, da ich nicht alleine im Netzwerk bin. Es muss von nirgendwo außer meinem PC auf den NAS zugegriffen werden, da der einzige Zweck des NAS eine zusätzliche Datensicherung ist.

Falls es nicht klar sein sollte, ich hab prinzipiell wenig bis gar keine Ahnung hiervon. Also bitte sprecht auch so mit mir 😅

 

[Eye-Q]

::1 ist localhost wie es bei IPv4 die 127.0.0.1 ist, das war also im Prinzip das NAS, was versucht hat, sich bei sich selbst anzumelden.

Wenn das Teil sowieso nur eine zusätzliche Datensicherung ist, kannst Du das testen, indem Du mal das Netzwerkkabel für eine Stunde abziehst und dann prüfst, ob die Loginversuche immer noch vorhanden sind. Gibt es irgendwelche Aufgaben in der Aufgabenplanung auf dem NAS? Welche Firmware ist installiert?

 

[Infin1tum]

Die aktuelle firmware ist QTS 5.2.0.2860, die hab ich jetzt gerade aktualisiert auf QTS 5.2.1.2930
Hatte das Gerät jetzt gestern den ganzen Tag aus während ich auf Arbeit war und habe es erst abends ohne Netzwerkkabel wieder eingeschaltet. Ohne Netzwerk keine Zugriffe, sobald das Kabel wieder drin ist, geht es wieder los.

aber wie ich inzwischen rausgefunden habe, sind viele davon Geräte in meinem lokalen Netzwerk sind, darunter mein eigener PC. Zumindest trifft das auf die IP Adressen zu, die ich im Protokoll sehen kann, da steht aber nicht alles drin wie es scheint. Ich verstehe zwar nicht, warum a) mein PC mutmaßlich geblockt wird, der ja eigentlich darauf Zugriff haben soll - und meine automatische Sicherung auf den NAS funktioniert ja - und b) warum andere Geräte versuchen, darauf zuzugreifen.


Was mich ebenfalls irritiert, ist diese ungewöhnliche Häufung von Anmeldeversuchen am 08.11. morgens. Das ging im 5 Sekunden Takt zwischen 06:00:28 und 06:07:51. Und wie erwähnt ist das admin-Konto deaktiviert. Warum teilweise auch gar kein Benutzername dort steht, check ich auch nicht ganz. Gabs davor aber auf jeden Fall nie.

komischerweise hat die Firewall für diesen Zeitraum nur ein einziges Ereignis aufgezeichnet:

 

[Eye-Q]

Ich verstehe zwar nicht, warum a) mein PC mutmaßlich geblockt wird, der ja eigentlich darauf Zugriff haben soll - und meine automatische Sicherung auf den NAS funktioniert ja

Die Warnungen kommen vom HTTP(S)-Zugriff, die Sicherung dürfte über SMB laufen. HTTP(S) wird von der Firewall anders behandelt, vor allen Dingen was Anmeldeversuche angeht, da bei einer erfolgreichen HTTP(S)-Anmeldung das komplette NAS konfiguriert werden kann, bei erfolgreicher SMB-Anmeldung können aber i.d.R. "nur" Dateien hoch- und heruntergeladen oder gelöscht werden, sofern es keine SMB-Lücken in der Firmware gibt.

wie ich inzwischen rausgefunden habe, sind viele davon Geräte in meinem lokalen Netzwerk sind, darunter mein eigener PC.

Dann hört es sich danach an als dass sich deine Geräte Malware eingefangen haben, worüber dann im Netzwerk nach Webservern, NAS-Systemen etc. gescannt und dann Standard-Anmeldedaten ausprobiert werden. Somit empfehle ich, alle Rechner offline z.B. per Desinfec't nach Malware zu scannen.
Wenn Du eine Software wie den QNAP Qfinder installiert hättest, dürfte die nicht versuchen, sich direkt als admin anzumelden, sondern die müsste nach Logindaten fragen, somit halte ich das für unwahrscheinlich.

 

[Infin1tum]

Ich danke dir, dann habe ich ja meine Tagesaufgabe für heute gefunden. Werd jetz erstmal alles Plattmachen und neu einrichten.

 

[Eye-Q]

Hui, nicht so schnell, das war nur eine Vermutung, keine Feststellung. Wie geschrieben sollte erstmal nach Malware gescannt werden, bevor Du alles platt machst und neu einrichtest...

 

[Infin1tum]

Ach, halb so wild. Das stand sowieso mal an Prinzipiell sind es ja auch nur zwei Handys, ein Tablet und mein Rechner.
Die Malwarescans auf meinen Mobilgeräten waren alle ergebnislos, das hätte mich auch gewundert. Ein Scan via Windows Defender und Malwarebytes auf dem PC ebenfalls, da hätte es mich etwas weniger überrascht wenn etwas gefunden worden wäre. Ganz koscher ist es mir trotzdem nicht und das mein Windows schon länger nicht mehr entmüllt wurde, werde ich da einfach mal drüberbügeln und neu installieren. Schadet ja nicht.

Gehe ich denn recht in der Annahme, dass der NAS selbst und die Daten darauf in der Theorie Malwarefrei sein sollten in diesem speziellen Szenario? Ich würde nämlich gern auf Nummer sicher gehen und das Thema Malware komplett abhaken können, bevor wir da tiefer auf die Suche gehen.