Du bist nicht mit dem Internet verbunden.
Galaxus Logo
Hintergrund Computing4660

Angriff auf mein NAS: Werde ich gehackt?

Gute Idee: Für zweieinhalb Wochen in die Ferien gehen. Schlechte Idee: Vor den Ferien auf die Schnelle einen langen Artikel veröffentlichen. Und darin auf einem Bild die öffentliche IP-Adresse deines Servers bekannt geben.

Was bin ich doch bloss für ein Anfänger?!

Als ich den Screenshot des Verderbens angefertigt hatte, ging es mir noch durch den Kopf. Also, dass ich bei diesem Bild noch mal mit dem Kopierstempel in Photoshop darüber huschen werde. Inklusive öffentlicher IP-Adresse darf es nicht ins Netz.

Ja, genau da stand für lange Zeit meine öffentliche IP-Adresse.

Was ist geschehen?

Vor dem Veröffentlichen meiner Plex-Anleitung haben wohl bereits die Gedanken an Holland, das Meer und Amsterdam meine Sinne benebelt. So ging das Retuschieren der IP-Adresse vergessen. Der Artikel ging live und ich verschwand in die Ferien.

So richtest du deinen Plex-Server ein
KnowhowComputing

So richtest du deinen Plex-Server ein

Sehr dumm von mir!

Heute kurz vor Feierabend habe ich endlich meine Mails aus der Zeit der Ferienabwesenheit zu Ende überflogen. Heute ist Donnerstag. Du meine Güte, warum habe ich in den Ferien konsequent keine Mails angeschaut? Und warum habe ich nicht zumindest nach den Ferien die Mails Anfang der Woche durchgelesen?

Ein sehr netter sowie aufmerksamer Leser hat mich in meiner Abwesenheit auf meinen dummen Fehler hingewiesen.

Danke, vielen lieben Dank! (Und sorry, dass ich noch nicht zurückgeschrieben habe.)

Upsi, was nun?

Nach dem Sichten dieser wichtigen Mail war mir etwas flau im Magen. Ist mir noch immer.

Und als ich danach Richtung Bahnhof hastete, kam es mir wieder in den Sinn: Heute morgen startete ich mein NAS neu. Dies, nachdem ein SFTP-Zugriff auf mein NAS mehrfach nur mit sehr langsamer Geschwindigkeit möglich war und mein Plex-Server keine Musik liefern wollte.

Im Zug versuchte ich dann den Server herunterzufahren. Doch bekam ich keinen Zugriff auf die Weboberfläche des NAS. Auch konnte ich auf dem heutigen Heimweg keine Musik mit Plex geniessen.

Ab nach Hause, dem Hacker das Hacken austreiben

Glücklicherweise wurde mein Fahrradschloss nicht gehackt. Wie vom Affen gebissen bin ich nach Hause gerast.

Im Treppenhaus bekomme ich dann endlich den lang ersehnten Zugriff auf mein WLAN. Ein Check der öffentlichen IP ergibt, dass mein Router noch immer mit der im Artikel veröffentlichten IP-Adresse unterwegs ist. Trotz dynamischer IP-Vergabe. Naja, die IP bleibt halt dennoch manchmal wochenlang die selbe. Da habe ich Pech.

Der Weg durchs Treppenhaus reicht auch noch, um die Login Page der NAS-Weboberfläche zu erreichen. Doch nach Eingabe des Kennwortes dauert das Laden ewig. Wie lange finde ich nicht heraus, da ich 30 Sekunden später meinen Router erreiche und ausschalte.

Und nun? Lauert da vielleicht irgendwo ein Trojaner?

Phu, endlich Zeit zum Verschnaufen. Ich setze mich erst mal hin und versuche in Gedanken wieder ans Meer zurück zu finden. Es gelingt mir nur halbwegs, weshalb ich am Smartphone den Hotspot aktiviere. Ich tausche im Artikel das besagte Bild des Verderbens aus und schreibe diese Zeilen.

Der Router bleibt erst mal vom Netz. Wenn ich genügend lange warte, werde ich eine neue IP-Adresse bekommen.

Doch was dann?

Ich meine, noch bin ich nicht mal sicher, ob man mich wirklich gehackt hat. Vielleicht wurde ich auch nur durch die Mail paranoid und mein NAS hat ein anderes Problem. Oder war da doch was? Vielleicht hat mir gar einer einen Trojaner installiert. Hmmm…

Mal sehen, was die Log-Dateien auf dem NAS zu den vergangenen Wochen sagen werden. Doch vorerst gönne ich mir irgendwas. Heute, und vielleicht auch morgen bleibt das Teil erstmal ausgeschaltet.

Was den allfälligen Hacker angeht: Bitte melde dich bei mir. Ich würde dich gerne interviewen! Ich werde dich nicht anzeigen oder sonstige Boshaftigkeiten mit dir anstellen. Selbst dann nicht, solltest du Amsterdam-Fotos gefunden haben.

PS: Bitte drücke unten auf «Autor folgen», wenn du weitere Dummheiten meiner Person nicht verpassen möchtest.

Update vom 10. Mai 2019, 12:00 Uhr:
Habe den reisserischen Titel entschärft.

Diese Beiträge könnten dich auch interessieren

<strong>NAS-Migration:</strong> Lang lebe Boba Fett!
KnowhowComputing

NAS-Migration: Lang lebe Boba Fett!

So richtest du deinen Plex-Server ein
KnowhowComputing

So richtest du deinen Plex-Server ein

Avatar

Martin Jud, Zürich

  • Editor
Der tägliche Kuss der Muse lässt meine Kreativität spriessen. Werde ich mal nicht geküsst, so versuche ich mich mittels Träumen neu zu inspirieren. Denn wer träumt, verschläft nie sein Leben.

46 Kommentare

3000 / 3000 Zeichen
Es gelten die Community-Bedingungen

User carcharoth

Der Artikel hat momentan übelstes Blick-Niveau. Bisher sieht man nur Anschuldigungen und Vermutungen, aber keinen einzigen brauchbaren Beweis.
Setz dich mal zum Bärlocher und lass ihn drübergucken.

10.05.2019
User Anonymous

Solange da keine Sicherheitslücken ausnutzbar sind ist es doch vollkommen egal ob jemand deine IP kennt. :/

10.05.2019
User JiSiN

Yep *thumbs up*
- Auto IP-Ban aktivieren... sobald mehrere fehlversuche innerhalb von so und soviel Minuten stattfinden direkt sperren und nach so und soviel Tage wieder entfernen.
- Geo-Locations sperren von Länder die man so oder so niemanden kennt

10.05.2019
User ichibansenshi

Auto IP-Ban habe ich eingeschaltet. das mit dem Geo-Locations ist eine noch bessere Idee. Aber wie richte ich das bei meinem QNAP ein?

11.05.2019
Antworten
User toniflueckiger

Ein ganz schlechter Artikel. Ob ein Gerät gehackt werden kann, ist absolut nicht davon abhängig ob die öffentliche IP im Internet irgendwie kommuniziert/platziert wurde oder nicht.
Das 1. was man bei einem NAS machen muss, egal welcher Hersteller, ist "fail2ban" einrichten. Also 3 falsche Loginversuche innerhalb von z.B 5 Min = IP gebannt.
Wenn man dies nicht tut, erfolgen pro Stunde mehrere Tausend Loginversuche aus dem Internet (von Bot-Nets, nicht von Hackern...). Wenn man ein NAS mit Standard-Settings (kein fail2ban) betreibt, ist es also nur eine Frage der Zeit bis das richtige Passwort gefunden wird.
Sorry, aber der Verfasser dieses Berichts wurde nur aufgrund seines Halbwissens gehackt :)

10.05.2019
User jeevanandk

Ich habe bei mir nur HTTPS-Verbindungen von Aussen erlaubt, mit 24 Stunden ban wenn einer 5 Fehlversuche hatte. Zusätzlich ist der admin-User mit 2FA gesichert, falls es einer doch schafft das Passwort zu erraten.

10.05.2019
User Anonymous

Seh ich genau so. (Security through obscurity ftw.. /ironie off)
Ich hab noch Cloudflare davorgeschaltet, sprich nur https connections über CF sind erlaubt incl. cert check. CF filtert schon viele bots, welche über die domain/dns kommen raus.

10.05.2019
Antworten
User it-freak

Die IP ist nicht direkt das Problem, alles was du ins Internet hängst wird angegriffen. Deshalb schalte ich immer einen ReverseProxy mit Schutzmechanismen davor. Ich finde die Bekanntgabe des Ports zu der IP schlimmer, denn normale "Hacker-Bots" scannen i.d.R. nicht im High-Port Bereich.
Trotzdem würde ich mir zweimal überlegen ob du dein NAS ins Internet stellst, oder doch lieber z.B. ein VPN einrichtest.

10.05.2019
User Gilricht

IP-Adressen sind sowieso ein Stück weit öffentlich. Wieso aber teilst du uns den Port mit?

10.05.2019
User Schuf

Weil es der Plex-Standart Port ist ;)

10.05.2019
User oliverknoll

Jemand, der Sicherheit durch „IP Adresse wegretouchieren“ definiert, der ändert auch keine Standardports ;)

Im Übrigen ist gerade das Öffentlichmachen eines Medienservers wie PLEX schon problematisch: ich möchte den nicht schlechtreden, aber Security ist meist nicht die Stärke solcher Software (da nicht im Fokus)...

10.05.2019
Antworten
User kupferwerk

Hey Martin,
Ich empfehle dir wärmstens die Synology VPN app um ganz einfach einen sehr sicheren VPN server einzurichten. Mindestens mit L2TP/IPsec. So kann dies nicht mehr so einfach passieren

10.05.2019
User oliverknoll

Wer sein NAS durch "reines Verstecken der IP-Adresse" zu schützen versucht, hat schon verloren ;) Öffentliche IP-Blöcke werden STÄNDIG systematisch auf "offene, bekannte Ports" abgeklappert, und wer denkt, er sei durch das "Wegretuschieren einer öffentlichen IP-Adresse" sicher, der/die sollte sowieso gleich das Netzwerkkabel vom NAS entfernen. Geradesogut könnte man zuhause sein Klingelschild überkleben, um sein Heim zu schützen ;)

Besser ist es, alle NAS-Dienste gar nicht erst von aussen her zugänglich machen! Schotten dicht - vor allem auch im heimischen Router!

Nur wer dann (noch) weiss, was er tut, kann anfangen, gezielt einzelne Dienste nach aussen hin zu öffnen. Bei meinem NAS ist das einzigst und alleine ein VPN-Server.

Plus natürlich immer zeitgleich Updates einspielen - und betten, dass nicht doch der VPN-Server eine Sicherheitslücke nach aussen hin öffnet ;)

Aber ja, wer sein zuhause nicht abschliesst und dann noch auf öffentlichen Plakaten seine Adresse bewirbt - doppelt blöd ;)

10.05.2019
User thug_life96

So so. Komische Beitrag.

10.05.2019
User CommanderCater

#Blick-Niveau

10.05.2019
User branduin

Hallo Martin.
Autsch, ja das war wohl ein Missgeschick welches dir kein zweites mal widerfährt ^^, andererseits muss man ja auch sagen, dass es viele Leute gibt welche einen DynDNS oder einen normalen DNS eintrag nutzen um auf ihre Geräte zuzugreifen, dort lassen sich die Öffentlichen IP Adressen ja auch auflösen und somit erreichen. Ich deke man sollte in solchen Situationen entweder ein gezieltes Portforwarding auf das Nas einrichten (HTTPS only) und sicherlich die 2FA Authentisierung einrichten (so wie bei Digitec <3 ) oder noch besser Open VPN nutzen, dieser Dienst ist auch als Paket für Synology Nas' verfügbar. Weiterhin viel Spass mit deinem Synology :)
Gruss Branduin

10.05.2019
User Softloader

Im NAS:
Systemsteuerung öffnen -> Sicherheit -> Tab 'Konto'

*Automatische Blockierung aktivieren
Login-Versuche: 3
Innerhalb von (Minuten): 10

Sollte vollkommen reichen den 0815 Hacker rauszuhalten. Wenn jemand jedoch "wirklich" an deine Daten will kommt er sowieso ran.
Ich habe schon etliche gesperrte IP-Adressen in der Liste, unter anderem von: England, Russland, Portugal, Hong Kong und Holland.

11.05.2019
User schrottbox83

War bestimmt nicht unbedingt schlau, allerdings allzu grosse Sorgen würde ich mir dann doch nicht machen.
Dein NAS ist ja auch von aussen erreichbar, wenn du deine IP NICHT gepostet hättest. So hast du evtl. etwas die Angriffs-Menge erhöht aber nicht unbedingt die Qualität.
Fail2Bann, 2FA würde ich definitiv noch einrichten (falls nicht bereits geschehen) und die Synology-Firewall lässt sich übrigens Länderspezifisch einrichten. Mein NAS ist grundsätzlich nur aus der Schweiz erreichbar.. wenn ich in Urlaub gehe, füge ich das entsprechende Land halt temporär hinzu. Und für den Rest gibts VPN.
Für jemand der wirklich auf DEIN NAS will und Kompetenz mitbringt, sind das alles keine unüberwindbare Hürden. Aber ich behaupte mal niemand will genau DICH angreifen, sondern es werden einfach systematisch schwache Systeme abgegrast. Funktioniert dann admin/admin nicht, wird halt weitergezogen.

Könnte mir vorstellen, dass die nicht Erreichbarkeit deines NASes vieleicht durch die vielen Anfragen zu Stande gekommen ist, oder dein dyndns zickte rum (falls benutzt).

10.05.2019
User mozzie

Also dass er den Namen seines Plex Servers auf dem 2. Screenshot veröffentlicht, finde ich noch viel bedenklicher. Nicht, das er den Namen generell veröffentlicht, sondern dass er eben diesen spezifischen Namen veröffentlicht.

10.05.2019
User mozzie

Okay, ich dachte es wäre eine Anspielung auf irgendwas, stellt sich heraus es ist nur sein Name. Alles ok.

10.05.2019
Antworten
User eichof99

Goldene Regel. Ein NAS gehört nicht ins Internet. So einfach ist das...

10.05.2019
User jeevanandk

Also meinst du man sollte konsequenterweise 2 Netzwerke einrichten (eines mit Internet und eines ohne) und jedes Mal hin und herswitchen? Ist das nicht Overkill? Erinnert mich an meine damalige Sekundarlehrerin, die musste jeweils den Drucker "aufbauen", weil sie ihn damals nach jeder Benutzung wieder im Schrank verräumt hat und damals gab es kein Plug&Play, also auch noch neu starten.

10.05.2019
Antworten
User phaupt

Huch, kann leider sehr schnell passieren!
Falls das NAS wirklich erfolgreich gehackt wurde, solltest du es vielleicht in dem Netzwerk ohne Internetzugriff inspizieren, damit es nicht erneut die neue IP Nachhause übertragen kann...

Ich freue mich schon auf den NAS-Inspektions-Artikel!

10.05.2019
User Anonymous

vor allem da es keine öffentliche ip ist. das ist ein 192.168. er Range was eine private interne ip ist. die richtige öffentliche kommt vom provider. Und wenn man keine Ahnung von der Materie hat, sollte man keine solche Anleitungen veröffentlichen. Da die meisten eben nicht wissen, das vieles offen ist, vor allem wenn man keine entsprechende sicherheit implementiert hat, kann es sehr wohl sein, dass jemend mit scannen eben diese Löcher gefunden hat. Man sollte halt schon etwas einsetzen, wie z.B. Opnsense aber das setzt entsprechendes wissen voraus. syonology scheisse und co. sollte man auch nicht nutzen. Ich betreibe seit Jahren ein Nas, openvpn und Plex und hatte noch nie Probleme. Aber ich weiss auch was ich machen muss. hoffentlich hat man dir allea gelöscht oder sonst irgendetwas eingepflanzt. Genau wegen Leuten wie dir, die nichts überlegen und einfach nur Nutzen passieren solche Dinge und danach heult man.

11.05.2019
User Anonymous

Nicht wirklich konstruktiv...

14.05.2019
Antworten
User andreas_kocher

Mein NAS, welches ich unterdessen verkauft habe, wurde immer wieder mit falschen Logins "angegriffen". Schlussendlich habe ich in der Synology Software die Anzahl Versuche auf 5 runter gesetzt, um die Angreifer IP zu sperren. Dieses NAS war, wie von Branduin erwähnt, einzig bei einem dynamischen DNS hinterlegt. Ich denke also auch, dass diese Daten öfters dazu benutzt werden, um es einfach mal zu versuchen. Solche Dinge haben bei mir auch dazu geführt, dass ich meine "richtigen" Daten lieber bei einem Provider hoste und auf eine persönliche Cloud à la Dropbox Funktionen verzichte. Privat hat man solche Dinge schlicht zu wenig im Griff.

10.05.2019
User swissroach

Ich würde mal behaupten, dass es die Provider nicht viel besser im Griff haben, wie wenn man es zu Hause auf dem NAS betreibt. Man sollte einfach immer die Updates machen und beim Passwort nicht zu leichtsinnig sein. Die grossen Provider werden noch viel häufiger und wahrscheinlich auch von viel professionelleren Hackern angegriffen. So gesehen bleibt es bei mir lieber zu Hause auf meinem NAS. Sollen sich die vielen gelangweilten Menschen die wohl leider keinen normalen Beruf haben die Zähne an meinem NAS ausbeissen. Ich habe noch nie gesehen, dass einer erfolgreich in mein NAS kam.

10.05.2019
User michelzoll

Beim Provider ist der Angreifer aber nicht direkt im eigenen Heimnetzwerk.

10.05.2019
User oliverknoll

„Ich habe noch nie gesehen, dass einer erfolgreich in mein NAS kam.“

Genau DAS könnte das Problem sein ;)

10.05.2019
User andreas_kocher

Ich gebe dir Recht Swissroach, dass die Provider öfters angegriffen werden. Der Unterschied macht für mich die Anzahl Sicherheitsprofis, die den ganzen Tag nichts anderes tun, als Lücken zu finden oder zu schliessen. Ich meine damit nur, dass ich persönlich zu wenig von der Materie verstehe um zu behaupten, dass ich das besser hinkriege als Google, Apple, Swisscom etc. Daher nutze ich lieber eine Cloud Lösung statt NAS.

10.05.2019
User swissroach

Ihr habt auch recht. :)
@oliverknoll: hmmm ok, permanent schau ich mir die logs nicht an, das gebnich zu

10.05.2019
Antworten
User mindtech

Hallo Martin, wenn du keine Ahnung von Netzwerk hast solltest du es lassen. Frag doch mal bei der internen IT jemanden. IP 192.168.1.22 ist privat.... die ist geNATed und von deinem Internetprovider hast du eine IP in einem ganz anderen Subnetz. Somit hat deine Public IP niemand gesehen...

10.05.2019
User mindtech

und übrigens ipconfig /renew in einem Command Prompt auf Windows gibt dir sofort eine neue IP vom Provider.

10.05.2019
User phaupt

Hey Mindtech
Inzwischen hat er seine public IP zensiert - ich denke Martin kann eine public von einer private IP unterscheiden :)
Dein Vorschlag mit "ipconfig /renew" funktioniert übrigens nicht! Da müsstest du schon ein sehr interessantes Setup haben (dein Computer müsste quasi dein Router sein), damit dieses Command so funktioniert wie von dir beschrieben...

10.05.2019
User andurilwinterthur

Eventuell ist er noch im Jahre 1998 wo PCs von Cablecom via Bridge und nicht via Router/NAT angeschlossen wurden :D

10.05.2019
User senic35

@Mindtech, mal das Bild richtig anschauen, links steht sogar "Privat" neben der IP und rechts "Öffentlich", hat er aber mittlerweile zensiert, wie schon von Phaupt erwähnt...

10.05.2019
User eichof99

192.168.1.[...] ist immer Lokal, dies IP's sind nicht Public sondern für die lokale Domain reserviert.

10.05.2019
Antworten