FTP op Qnap NAS gehacked?

Ik sta voor een klein raadsel. Ik merkte wat extra activiteit op mijn NAS dus ik kijk gisteren de logfiles na en zag dit:

1245,"Information","2013-09-10","15:43:42","gebruiker2","94.23.24.58","localhost","FTP","---","Logout"
1244,"Information","2013-09-10","15:43:31","gebruiker2","94.23.24.58","localhost","FTP","xt","Write"
1243,"Information","2013-09-10","15:43:28","gebruiker2","94.23.24.58","localhost","FTP","xt","Write"
1242,"Information","2013-09-10","15:43:26","gebruiker1","94.23.24.58","localhost","FTP","---","Logout"
1241,"Information","2013-09-10","15:42:47","admin","94.23.24.58","localhost","FTP","---","Logout"
1240,"Information","2013-09-10","15:42:36","admin","94.23.24.58","localhost","FTP","xt","Write"
1239,"Information","2013-09-10","15:42:32","admin","94.23.24.58","localhost","FTP","xt","Write"
1238,"Information","2013-09-10","15:42:29","gebruiker2","94.23.24.58","localhost","FTP","---","Login OK"
1237,"Information","2013-09-10","15:42:28","admin","94.23.24.58","localhost","FTP","---","Login OK"
1236,"Information","2013-09-10","15:42:28","gebruiker1","94.23.24.58","localhost","FTP","---","Login OK"

Op dat tijdstip zat ik gewoon op werk, en heb de NAS niet benaderd. Ook gebruiker1 waarvan een vriend de inlog van heeft verklaard toen niet ingelogd te hebben.

Op een aantal ip tracker websites wordt aangegeven dat dit IP uit Parijs komt.

Ik had een niet standaard FTP poort om het voor hackers lastiger te maken, en voor alle accounts een uitgebreid wachtwoord. De inloggegevens van gebruiker1 (met beperkte rechten) staat alleen in hotmail dus die kan gekaapt zijn, maar wat ik niet snap is waarom het mogelijk is dat admin en gebruiker2 ingelogd kan zijn zonder foute inlogpogingen?

Ik ben nu de NAS helemaal aan het scannen met de ingebouwde virusscanner. Daarna ga ik kijken of ik het 'xt' bestandje kan vinden die in de root zou zijn gezet volgens de log.

Mijn pc heb ik gescand en is gewoon virusvrij, dus ik kan lastig verklaren hoe dit kan. Wat denken jullie, is het een bug in het logging systeem o.i.d. of is de FTP server van Qnap TS212 met de nieuwste firmware zo lek als een mandje?

De laatste firmware is uitgebracht op 29-07-2013. Ik dacht ergens gelezen te hebben dat vanaf versie 4.01 die in juni is uitgebracht ook security fixes zijn uitgebracht. Maar blijkbaar nog steeds zo lek als een mandje.

Wat erop lijkt is dat mijn hotmail of die van mijn vriend gehacked is, daar het wachtwoord van gebruiker1 en het poortnummer van zijn overgenomen. En via het gebruiker1 account (die beperkte rechten heeft) het admin account gekaapt is. Dit laatste zou dan een grote algemene lek betekenen.

In mijn speedtouch router staat niks in de logs wat wijst op een aanval poging.

LnC schreef op maandag 16 september 2013 @ 12:23:
Het Franse ip adres is een adres van OVH Servers. Grote kans is dat deze server ook gehackt is en dat zij vanaf die server verder hacken.

Mijn aanraden is:
• Scan je eigen pc ook met je Anti-virus of een andere programma.
• Kijk je logs na op je pc of er op die tijdstippen of daarvoor ook activiteit is geweest om zodoende te kunnen zien of zij op je pc zijn geweest.
• Stuur een mail met je logs naar de admins van OVH met de vraag of zij er ook naar kunnen kijken.

Gister even een kort mailtje gestuurd naar OVH, nog geen reactie gehad. PC en NAS gescand, zonder resultaat. Ik heb via SSH geprobeerd of ik dat xt bestandje kon vinden, maar kon het niet vinden. Wellicht had hij die meteen weer verwijderd omdat hij al zag dat hij schijf-rechten had. Op het moment dat de hacker toegang had zat mijn pc uit aangezien ik op werk zat.

Vanzelfsprekend heb ik alle wachtwoorden op de NAS en Hotmail gewijzigd. Mijn collega zegt dat SFTP een stuk veiliger is tegen dit soort aanvallen, klopt dat?

Oke, dan stap ik wel over naar SFTP als die meer hacker-proof is.

Ik denk niet dat mijn eigen pc geïnfecteerd is. Ik heb al gescand met Hitman, Housecall en MRT (Microsoft) maar werd niks gevonden. De account details van admin stond nergens bewaard, ook niet in de cliënt. Het kan zijn dat een vriend (gebruiker1) wel zijn login gegevens met poort heeft bewaard in de client en dat die een virus heeft. Maar dit account had beperkte rechten en kon alleen in een public map. Verder staan de login gegevens van gebruiker1 ook in Hotmail, de kans is groot dat die daar vandaan is geplukt.

Maarja, dan nog was het geen ramp geweest als alles was verwijderd waar het gebruiker1 account bij kon. Waar het mij voornamelijk om gaat is dat blijkbaar via een exploit na het inloggen van gebruiker1 kon worden ingelogd met elk ander account. Ondanks alle sterke wachtwoorden blijkt gewoon dat de FTP server van Qnap gewoon veels te onveilig is. Alles had wellicht zo verwijderd kunnen worden...

[ Voor 4% gewijzigd door tboynl op 19-09-2013 23:42 . Reden: typo ]

Op Wikipedia staat:
"
Het kan onnodig zijn om het gegevenskanaal te coderen als de overdracht volgens één van onderstaande scenario's gebeurt:

1. De verstuurde bestanden zijn van een niet-gevoelige aard waardoor de beveiliging overbodig wordt.
2. De verstuurde bestanden zijn al op bestandsniveau gecodeerd waardoor de beveiliging die FTPS biedt overbodig wordt.
"

Bij mij is punt 1 van toepassing, althans de bestanden die via FTP verkeer worden verstuurd zijn niet zo spannend, dus encryptie had ik destijds daarom niet geactiveerd. Dat de wachtwoorden als plain tekst over de lijn gaat was mij ook bekend, daarom gebruikte ik FTP alleen op vertrouwde locaties, dus niet via een gratis hotspot o.i.d.

Wat ik mij nog afvraag is of FTPS enkel encryptie toevoegt, of dat het meer omvat. Als FTPS alleen encryptie toepast heb ik er wellicht nog niks aan omdat de eerste de beste hacker gewoon weer gebruik maakt van hetzelfde lek.

SFTP lijkt me het veiligst, maar op mijn NAS kan enkel het admin account gebruik maken van dit protocol.

Het OS van Qnap draait op Linux. Via de webinterface kan je een aantal services uitzetten en wellicht kom je met SSH nog een stukje verder.

Als FTPS eigenlijk ook niet zo secure is overweeg ik gewoon de file-station te gebruiken via HTTPS. De naam zegt het eigenlijk al, daarmee kan je de bestanden via een webinterface downloaden en uploaden. Ik dacht voorheen dat FTP wat veiliger zou zijn dan een zelf gebouwde Qnap webapplicatie. Of dat zo is moet nog blijken in de toekomst. Maar dan nog hangt daar ook weer een nadeel aan. Want in de nieuwste firmware 4.x moeten de webapplicaties allemaal via dezelfde poort gaan. In de firmware 3.x gebruikte de webapplicaties de poortnummer die je zelf kon opgeven bij de webserver zodat de NAS-configuratiepagina gescheiden is van de rest.

Thralas schreef op maandag 07 oktober 2013 @ 00:08:
Als je de keuze hebt en het verder weinig uitmaakt, waarom zou je dan niet je verkeer netjes versleutelen?

Het risico dat iemand je verkeer onderschept en zo je FTP-credentials bemachtigt is stukken kleiner dan de kans op een virus dat al je credentials steelt, en omschakelen naar SFTP helpt dan weinig (die passwords/keys kun je immers ook stelen).

tl;dr:

• Pas op voor virussen
• Stuur geen plaintext credentials over de mail
• Gebruik FTPS/SFTP als je de mogelijkheid hebt

Destijds heb ik geen versleuteling gekozen omdat het ten koste kan gaan van de performance. Erg krachtig is die ARM CPU niet van de NAS, maar in de praktijk zal het snelheidsverschil misschien niet eens te merken zijn. Dus achteraf was FTPS sowieso een betere keus geweest vanwege het feit dat de inloggegevens versleuteld verstuurd wordt, dat advies is helemaal duidelijk

Concluderend over ongeautoriseerde toegang tot de FTP-server via admin:

Ik denk niet dat hier een virus de oorzaak is. Virussen zijn meestal meer geïnteresseerd in mijn bankgegevens of het omzeep helpen van mijn pc. Niet om specifiek toegang tot mijn FTP-server te krijgen (en er vervolgens niks mee doen). Tuurlijk zijn die er wel maar tot dusver ben ik zo nog nooit tegen gekomen.

Dat er een man-in-middle attack heeft plaats gevonden lijkt me ook onwaarschijnlijk. De FTP-server is nooit benaderd vanaf een onvertrouwde locatie, zoals een gratis hotspot. Waarom zou iemand uberhaupt de moeite nemen om dit te doen, en waarom dan dagen lang wachten met inbreken als je na de tap toch al de inloggegevens hebt, en toegang kan krijgen? Dat ik met admin op afstand heb ingelogd is ook minimaal een half jaar geleden.

Wat is er dan mogelijk wel gebeurd?

Afgaand op het gedrag en het patroon van de acties wat in het log naar voren komt, lijkt dit gewoon te zijn uitgevoerd door een geautomatiseerd proces. Ik denk dat iemand bewust een massale scan heeft uitgevoerd naar FTP servers. Wanneer een FTP-server achter de poort bleek te zitten is deze automatisch getest op kwetsbaarheid zodat de hacker eventueel later zelf een kijkje kan nemen op de FTP-servers die vatbaar zijn.

In het log wordt weergegeven dat een xt bestand onder gebruiker 'admin' en 'gebruiker2' twee keer wordt weggeschreven als test. De tweede write is denk ik een delete, via SSH kon ik namelijk nergens een 'xt' bestandje op de NAS vinden. Als iemand zelf handmatig achter de knopen zat had hij echt wel verder gekeken.

Een massale scan blijkt ook niet zo moeilijk:
nieuws: 'Portscanner kan hele internet in 3 minuten scannen'


Of ik uberhaupt nog veilig op afstand mijn bestanden kan benaderen weet ik niet. Werken via een (gratis) cloudopslagdienst is ook niet alles qua beveiliging, als daar iets op straat ligt weet je het soms niet eens, en qua opslagcapaciteit en andere zaken weegt dit natuurlijk niet op tegen een eigen NAS-oplossing. In elk geval ga ik zoals het er nu uitziet geen enkele variatie van FTP (ook niet FTPS/SFTP) meer gebruiken via Qnap.

Dan maar de file-station applicatie gebruiken. Dan hoop ik dat de webinterface wel betere beveiliging biedt, want als ze daar nu inkomen met admin hebben ze pas echt full-control via de configuratiepagina.

Dat is inderdaad een goede optie . Ik heb VPN eerder getest op de NAS (alweer een paar firmware versies terug). OpenVPN heb ik niet aan de praat gekregen, maar met PPTP VPN werkte de basis-functies wel gewoon.