Non sei connesso a internet.
Galaxus Logo
Retroscena Computer4659

Attacco al mio NAS: mi stanno hackerando?

Che razza di principiante sono?!

Non mi è passato minimamente per la testa dopo aver fatto lo screenshot. Ho dimenticato di ritoccare l’immagine con Photoshop. L’indirizzo IP pubblico non deve essere esposto in rete.

Sì, il mio indirizzo IP pubblico è stato lì per molto tempo.

Cosa è successo?

Prima di pubblicare il mio manuale su Plex, i pensieri erano già in Olanda: mare e Amsterdam avevano già offuscato i miei sensi. Così ho dimenticato di ritoccare l'indirizzo IP. Ho pubblicato l’articolo e sono andato in vacanza.

Come configurare un server Plex
SapereComputer

Come configurare un server Plex

Molto stupido da parte mia!

Oggi ho finalmente letto le mie mail arrivate durante la mia assenza. È giovedì. Dannazione. Perché non ho guardato costantemente le mail durante le vacanze? E perché non ho letto le mail già dopo le vacanze, a inizio settimana?

Un lettore molto gentile e attento mi ha informato in mia assenza del mio stupido errore.

Grazie, grazie mille! (E mi dispiace di non averti ancora scritto).

Ops, e adesso?

Dopo aver visto questa mail importante, ho avuto un crampo allo stomaco. Ce l’ho ancora.

E quando mi sono affrettato verso la stazione, mi è venuto in mente: stamattina ho riavviato il mio NAS! Questo perché l'accesso SFTP al mio NAS era possibile solo più volte a velocità molto bassa e il mio server Plex non voleva trasmettere musica.

Sul treno ho cercato di spegnere il server. Ma non ho avuto accesso all'interfaccia web del NAS. Inoltre non ho potuto ascoltare la musica con Plex sulla strada di casa.

Subito a casa, faccio in modo che l'hacker elimini l'hacker

Fortunatamente, il lucchetto della mia bici non è stato «hackerato». Ho corso verso casa come un forsennato.

Nelle scale ho finalmente accesso alla mia rete WiFi. Un controllo dell'IP pubblico mostra che il mio router utilizza ancora l'indirizzo IP pubblicato nell'articolo. Nonostante la concessione dinamica dell’IP – beh, a volte l'IP rimane lo stesso per settimane. Sono sfortunato.

Il percorso lungo le scale è sufficiente per raggiungere la pagina di login dell'interfaccia web del NAS. Ma dopo aver inserito la password, il caricamento richiede un'eternità. Non saprò mai fino a quando esattamente, perché 30 secondi dopo raggiungo il mio router e lo spengo.

E ora? C'è un trojan in agguato da qualche parte?

Fiu, devo riprendere fiato. Prima mi siedo e cerco di far ritornare i miei pensieri rimasti ancora al mare. Ho avuto successo solo per metà , motivo per cui ho attivato l'hotspot sul mio smartphone. Cambio nell'articolo l'immagine che ha causato tutto e scrivo questo testo.

Il router rimane disattivato per il momento. Se aspetto abbastanza a lungo, otterrò un nuovo indirizzo IP.

Cioè, non sono nemmeno sicuro che mi abbiano davvero hackerato. Forse sono diventato paranoico leggendo la mail e il mio NAS ha invece un altro problema. O c’è davvero qualcosa? Forse qualcuno mi ha persino installato un trojan. Hmmm...

Vediamo cosa diranno i dati di log del NAS sulle ultime settimane. Oggi, e forse anche domani, il mio router rimane spento.

Per quanto riguarda il possibile hacker: contattami, per favore. Vorrei intervistarti! Non ti denuncerò o non ti farò nulla di male. Nemmeno se troverai le mie foto di Amsterdam.

PS: Clicca su «Segui l’autore» qui sotto se non vuoi perdere altre cose stupide su di me.

Potrebbero interessarti anche questi articoli

<strong>Migrazione del mio NAS:</strong> lunga vita a Boba Fett!
SapereComputer

Migrazione del mio NAS: lunga vita a Boba Fett!

Come configurare un server Plex
SapereComputer

Come configurare un server Plex

<strong>Più spazio sul mio NAS:</strong> quale HDD scegliere?
RetroscenaComputer

Più spazio sul mio NAS: quale HDD scegliere?

Avatar

Martin Jud, Zurigo

  • Editor
La mia musa ispiratrice si trova ovunque. Quando non la trovo, mi lascio ispirare dai miei sogni. La vita può essere vissuta anche sognando a occhi aperti.

46 Commenti

3000 / 3000 caratteri

User carcharoth

Der Artikel hat momentan übelstes Blick-Niveau. Bisher sieht man nur Anschuldigungen und Vermutungen, aber keinen einzigen brauchbaren Beweis.
Setz dich mal zum Bärlocher und lass ihn drübergucken.

10.05.2019
User Anonymous

Solange da keine Sicherheitslücken ausnutzbar sind ist es doch vollkommen egal ob jemand deine IP kennt. :/

10.05.2019
User JiSiN

Yep *thumbs up*
- Auto IP-Ban aktivieren... sobald mehrere fehlversuche innerhalb von so und soviel Minuten stattfinden direkt sperren und nach so und soviel Tage wieder entfernen.
- Geo-Locations sperren von Länder die man so oder so niemanden kennt

10.05.2019
User ichibansenshi

Auto IP-Ban habe ich eingeschaltet. das mit dem Geo-Locations ist eine noch bessere Idee. Aber wie richte ich das bei meinem QNAP ein?

11.05.2019
Rispondi
User toniflueckiger

Ein ganz schlechter Artikel. Ob ein Gerät gehackt werden kann, ist absolut nicht davon abhängig ob die öffentliche IP im Internet irgendwie kommuniziert/platziert wurde oder nicht.
Das 1. was man bei einem NAS machen muss, egal welcher Hersteller, ist "fail2ban" einrichten. Also 3 falsche Loginversuche innerhalb von z.B 5 Min = IP gebannt.
Wenn man dies nicht tut, erfolgen pro Stunde mehrere Tausend Loginversuche aus dem Internet (von Bot-Nets, nicht von Hackern...). Wenn man ein NAS mit Standard-Settings (kein fail2ban) betreibt, ist es also nur eine Frage der Zeit bis das richtige Passwort gefunden wird.
Sorry, aber der Verfasser dieses Berichts wurde nur aufgrund seines Halbwissens gehackt :)

10.05.2019
User jeevanandk

Ich habe bei mir nur HTTPS-Verbindungen von Aussen erlaubt, mit 24 Stunden ban wenn einer 5 Fehlversuche hatte. Zusätzlich ist der admin-User mit 2FA gesichert, falls es einer doch schafft das Passwort zu erraten.

10.05.2019
User Anonymous

Seh ich genau so. (Security through obscurity ftw.. /ironie off)
Ich hab noch Cloudflare davorgeschaltet, sprich nur https connections über CF sind erlaubt incl. cert check. CF filtert schon viele bots, welche über die domain/dns kommen raus.

10.05.2019
Rispondi
User it-freak

Die IP ist nicht direkt das Problem, alles was du ins Internet hängst wird angegriffen. Deshalb schalte ich immer einen ReverseProxy mit Schutzmechanismen davor. Ich finde die Bekanntgabe des Ports zu der IP schlimmer, denn normale "Hacker-Bots" scannen i.d.R. nicht im High-Port Bereich.
Trotzdem würde ich mir zweimal überlegen ob du dein NAS ins Internet stellst, oder doch lieber z.B. ein VPN einrichtest.

10.05.2019
User Gilricht

IP-Adressen sind sowieso ein Stück weit öffentlich. Wieso aber teilst du uns den Port mit?

10.05.2019
User Schuf

Weil es der Plex-Standart Port ist ;)

10.05.2019
User oliverknoll

Jemand, der Sicherheit durch „IP Adresse wegretouchieren“ definiert, der ändert auch keine Standardports ;)

Im Übrigen ist gerade das Öffentlichmachen eines Medienservers wie PLEX schon problematisch: ich möchte den nicht schlechtreden, aber Security ist meist nicht die Stärke solcher Software (da nicht im Fokus)...

10.05.2019
Rispondi
User kupferwerk

Hey Martin,
Ich empfehle dir wärmstens die Synology VPN app um ganz einfach einen sehr sicheren VPN server einzurichten. Mindestens mit L2TP/IPsec. So kann dies nicht mehr so einfach passieren

10.05.2019
User oliverknoll

Wer sein NAS durch "reines Verstecken der IP-Adresse" zu schützen versucht, hat schon verloren ;) Öffentliche IP-Blöcke werden STÄNDIG systematisch auf "offene, bekannte Ports" abgeklappert, und wer denkt, er sei durch das "Wegretuschieren einer öffentlichen IP-Adresse" sicher, der/die sollte sowieso gleich das Netzwerkkabel vom NAS entfernen. Geradesogut könnte man zuhause sein Klingelschild überkleben, um sein Heim zu schützen ;)

Besser ist es, alle NAS-Dienste gar nicht erst von aussen her zugänglich machen! Schotten dicht - vor allem auch im heimischen Router!

Nur wer dann (noch) weiss, was er tut, kann anfangen, gezielt einzelne Dienste nach aussen hin zu öffnen. Bei meinem NAS ist das einzigst und alleine ein VPN-Server.

Plus natürlich immer zeitgleich Updates einspielen - und betten, dass nicht doch der VPN-Server eine Sicherheitslücke nach aussen hin öffnet ;)

Aber ja, wer sein zuhause nicht abschliesst und dann noch auf öffentlichen Plakaten seine Adresse bewirbt - doppelt blöd ;)

10.05.2019
User thug_life96

So so. Komische Beitrag.

10.05.2019
User CommanderCater

#Blick-Niveau

10.05.2019
User branduin

Hallo Martin.
Autsch, ja das war wohl ein Missgeschick welches dir kein zweites mal widerfährt ^^, andererseits muss man ja auch sagen, dass es viele Leute gibt welche einen DynDNS oder einen normalen DNS eintrag nutzen um auf ihre Geräte zuzugreifen, dort lassen sich die Öffentlichen IP Adressen ja auch auflösen und somit erreichen. Ich deke man sollte in solchen Situationen entweder ein gezieltes Portforwarding auf das Nas einrichten (HTTPS only) und sicherlich die 2FA Authentisierung einrichten (so wie bei Digitec <3 ) oder noch besser Open VPN nutzen, dieser Dienst ist auch als Paket für Synology Nas' verfügbar. Weiterhin viel Spass mit deinem Synology :)
Gruss Branduin

10.05.2019
User Softloader

Im NAS:
Systemsteuerung öffnen -> Sicherheit -> Tab 'Konto'

*Automatische Blockierung aktivieren
Login-Versuche: 3
Innerhalb von (Minuten): 10

Sollte vollkommen reichen den 0815 Hacker rauszuhalten. Wenn jemand jedoch "wirklich" an deine Daten will kommt er sowieso ran.
Ich habe schon etliche gesperrte IP-Adressen in der Liste, unter anderem von: England, Russland, Portugal, Hong Kong und Holland.

11.05.2019
User schrottbox83

War bestimmt nicht unbedingt schlau, allerdings allzu grosse Sorgen würde ich mir dann doch nicht machen.
Dein NAS ist ja auch von aussen erreichbar, wenn du deine IP NICHT gepostet hättest. So hast du evtl. etwas die Angriffs-Menge erhöht aber nicht unbedingt die Qualität.
Fail2Bann, 2FA würde ich definitiv noch einrichten (falls nicht bereits geschehen) und die Synology-Firewall lässt sich übrigens Länderspezifisch einrichten. Mein NAS ist grundsätzlich nur aus der Schweiz erreichbar.. wenn ich in Urlaub gehe, füge ich das entsprechende Land halt temporär hinzu. Und für den Rest gibts VPN.
Für jemand der wirklich auf DEIN NAS will und Kompetenz mitbringt, sind das alles keine unüberwindbare Hürden. Aber ich behaupte mal niemand will genau DICH angreifen, sondern es werden einfach systematisch schwache Systeme abgegrast. Funktioniert dann admin/admin nicht, wird halt weitergezogen.

Könnte mir vorstellen, dass die nicht Erreichbarkeit deines NASes vieleicht durch die vielen Anfragen zu Stande gekommen ist, oder dein dyndns zickte rum (falls benutzt).

10.05.2019
User mozzie

Also dass er den Namen seines Plex Servers auf dem 2. Screenshot veröffentlicht, finde ich noch viel bedenklicher. Nicht, das er den Namen generell veröffentlicht, sondern dass er eben diesen spezifischen Namen veröffentlicht.

10.05.2019
User mozzie

Okay, ich dachte es wäre eine Anspielung auf irgendwas, stellt sich heraus es ist nur sein Name. Alles ok.

10.05.2019
Rispondi
User eichof99

Goldene Regel. Ein NAS gehört nicht ins Internet. So einfach ist das...

10.05.2019
User jeevanandk

Also meinst du man sollte konsequenterweise 2 Netzwerke einrichten (eines mit Internet und eines ohne) und jedes Mal hin und herswitchen? Ist das nicht Overkill? Erinnert mich an meine damalige Sekundarlehrerin, die musste jeweils den Drucker "aufbauen", weil sie ihn damals nach jeder Benutzung wieder im Schrank verräumt hat und damals gab es kein Plug&Play, also auch noch neu starten.

10.05.2019
Rispondi
User phaupt

Huch, kann leider sehr schnell passieren!
Falls das NAS wirklich erfolgreich gehackt wurde, solltest du es vielleicht in dem Netzwerk ohne Internetzugriff inspizieren, damit es nicht erneut die neue IP Nachhause übertragen kann...

Ich freue mich schon auf den NAS-Inspektions-Artikel!

10.05.2019
User Anonymous

vor allem da es keine öffentliche ip ist. das ist ein 192.168. er Range was eine private interne ip ist. die richtige öffentliche kommt vom provider. Und wenn man keine Ahnung von der Materie hat, sollte man keine solche Anleitungen veröffentlichen. Da die meisten eben nicht wissen, das vieles offen ist, vor allem wenn man keine entsprechende sicherheit implementiert hat, kann es sehr wohl sein, dass jemend mit scannen eben diese Löcher gefunden hat. Man sollte halt schon etwas einsetzen, wie z.B. Opnsense aber das setzt entsprechendes wissen voraus. syonology scheisse und co. sollte man auch nicht nutzen. Ich betreibe seit Jahren ein Nas, openvpn und Plex und hatte noch nie Probleme. Aber ich weiss auch was ich machen muss. hoffentlich hat man dir allea gelöscht oder sonst irgendetwas eingepflanzt. Genau wegen Leuten wie dir, die nichts überlegen und einfach nur Nutzen passieren solche Dinge und danach heult man.

11.05.2019
User Anonymous

Nicht wirklich konstruktiv...

14.05.2019
Rispondi
User andreas_kocher

Mein NAS, welches ich unterdessen verkauft habe, wurde immer wieder mit falschen Logins "angegriffen". Schlussendlich habe ich in der Synology Software die Anzahl Versuche auf 5 runter gesetzt, um die Angreifer IP zu sperren. Dieses NAS war, wie von Branduin erwähnt, einzig bei einem dynamischen DNS hinterlegt. Ich denke also auch, dass diese Daten öfters dazu benutzt werden, um es einfach mal zu versuchen. Solche Dinge haben bei mir auch dazu geführt, dass ich meine "richtigen" Daten lieber bei einem Provider hoste und auf eine persönliche Cloud à la Dropbox Funktionen verzichte. Privat hat man solche Dinge schlicht zu wenig im Griff.

10.05.2019
User swissroach

Ich würde mal behaupten, dass es die Provider nicht viel besser im Griff haben, wie wenn man es zu Hause auf dem NAS betreibt. Man sollte einfach immer die Updates machen und beim Passwort nicht zu leichtsinnig sein. Die grossen Provider werden noch viel häufiger und wahrscheinlich auch von viel professionelleren Hackern angegriffen. So gesehen bleibt es bei mir lieber zu Hause auf meinem NAS. Sollen sich die vielen gelangweilten Menschen die wohl leider keinen normalen Beruf haben die Zähne an meinem NAS ausbeissen. Ich habe noch nie gesehen, dass einer erfolgreich in mein NAS kam.

10.05.2019
User michelzoll

Beim Provider ist der Angreifer aber nicht direkt im eigenen Heimnetzwerk.

10.05.2019
User oliverknoll

„Ich habe noch nie gesehen, dass einer erfolgreich in mein NAS kam.“

Genau DAS könnte das Problem sein ;)

10.05.2019
User andreas_kocher

Ich gebe dir Recht Swissroach, dass die Provider öfters angegriffen werden. Der Unterschied macht für mich die Anzahl Sicherheitsprofis, die den ganzen Tag nichts anderes tun, als Lücken zu finden oder zu schliessen. Ich meine damit nur, dass ich persönlich zu wenig von der Materie verstehe um zu behaupten, dass ich das besser hinkriege als Google, Apple, Swisscom etc. Daher nutze ich lieber eine Cloud Lösung statt NAS.

10.05.2019
User swissroach

Ihr habt auch recht. :)
@oliverknoll: hmmm ok, permanent schau ich mir die logs nicht an, das gebnich zu

10.05.2019
Rispondi
User mindtech

Hallo Martin, wenn du keine Ahnung von Netzwerk hast solltest du es lassen. Frag doch mal bei der internen IT jemanden. IP 192.168.1.22 ist privat.... die ist geNATed und von deinem Internetprovider hast du eine IP in einem ganz anderen Subnetz. Somit hat deine Public IP niemand gesehen...

10.05.2019
User mindtech

und übrigens ipconfig /renew in einem Command Prompt auf Windows gibt dir sofort eine neue IP vom Provider.

10.05.2019
User phaupt

Hey Mindtech
Inzwischen hat er seine public IP zensiert - ich denke Martin kann eine public von einer private IP unterscheiden :)
Dein Vorschlag mit "ipconfig /renew" funktioniert übrigens nicht! Da müsstest du schon ein sehr interessantes Setup haben (dein Computer müsste quasi dein Router sein), damit dieses Command so funktioniert wie von dir beschrieben...

10.05.2019
User andurilwinterthur

Eventuell ist er noch im Jahre 1998 wo PCs von Cablecom via Bridge und nicht via Router/NAT angeschlossen wurden :D

10.05.2019
User senic35

@Mindtech, mal das Bild richtig anschauen, links steht sogar "Privat" neben der IP und rechts "Öffentlich", hat er aber mittlerweile zensiert, wie schon von Phaupt erwähnt...

10.05.2019
User eichof99

192.168.1.[...] ist immer Lokal, dies IP's sind nicht Public sondern für die lokale Domain reserviert.

10.05.2019
Rispondi