hackers op mijn NAS

Begin eerst eens om je NAS te controleren en de toegang vanaf internet dicht te zetten. Wellicht maken ze gebruik van een backdoor? Zit er geen firewall op de NAS zelf? Of op je modem? Bijv. alleen toestaan van bepaalde IP adressen of landen? Los dus eerst het probleem op, ga daarna eens over een hw firewall denken.

Alleen mijn eigen wan ip adres staat in de lijst van toegestane verbindingen. Alle andere worden geblokkeerd.

Dat helpt natuurlijk niks, want alles van internet komt via je wan IP binnen. Ofwel, iedereen mag er bij.

[ Voor 28% gewijzigd door Microkid op 06-07-2024 15:27 ]

Wat al gezegd wordt: Eerst de boel van het internet zetten. Dan kijken of er firewall in de Qnap aangezet kan worden. Trouwens waar gebruik je Qnap voor extern met poort 8080 open voor? Als je dat niet nodig hebt: Dichtzetten. Wil je verder met een externe verbinding: Denk eens aan een VPN-verbinding op de Qnap met een goede firewall.

Even via een smartphone via internet connecten en fixen?

LOL

De enige verbinding welke je nu nog mág gebruiken nadat je jezelf probeerde te beschermen is precies diegene welke door KPN dicht gezet is

Heb je toevallig ergens een (L3) router liggen waarbij je alles zélf in kunt stellen zonder afhankelijk te zijn van een internetverbinding?

En anders: Een NAS is maar een NAS en dus géén Back-Up .... Factory-Reset does the Job....

[ Voor 14% gewijzigd door Will_M op 06-07-2024 15:43 ]

Gewoon resetten dat ding: https://www.qnap.com/en/h...le/how-can-i-reset-my-nas

downtime schreef op zaterdag 6 juli 2024 @ 15:29:
[...]

Dan moet je jouw PC gewoon dat externe adres geven.

Jawel:
- PC het externe IP adres geven (fixed IP)
- kabeltje tussen pc en NAS
- inloggen op NAS en firewall aanpassen zodat 192.168.2.x er weer bij mag

Microkid schreef op zaterdag 6 juli 2024 @ 15:43:
[...]

Jawel:
- PC het externe IP adres geven (fixed IP)
- kabeltje tussen pc en NAS
- inloggen op NAS en firewall aanpassen zodat 192.168.2.x er weer bij mag

Je vergeet voor het gemak even dat het management adres (waarschijnlijk) een RFC1918 Private-Range-Adres is en er dus ergens een vertaalslag gemaakt moet gaan worden?

zou ook even proberen vast te stellen dat de NAS nog niet geïnfecteerd is met malware en/of illegale pr0n staat te serveren.
er vanuit gaande dat er wel de laatste firmware en updates op draaien voor de aanval begon?

Will_M schreef op zaterdag 6 juli 2024 @ 15:47:
[...]


Je vergeet voor het gemak even dat het management adres (waarschijnlijk) een RFC1918 Private-Range-Adres is en er dus ergens een vertaalslag gemaakt moet gaan worden?

Hmm, verhip..

rubberbutt schreef op zaterdag 6 juli 2024 @ 15:48:
Ik kan er weer bij. Nu even goed kijken welke WAN ip ik kan blokkeren. Als ik ALLE wan ip zou blokkeren kom ik er met nap cloud niet meer in. Dus eigenlijk wil ik alles blokkeren, behalve Qnap cloud en mijn WAP ip.

WAN is ingaand. Afgaand op het bericht van KPN stond je NAS blijkbaar naar internet te praten. Ga dus eerst eens zoeken wat je NAS naar buiten praat.

Ben ik de enige die dit maar een vaag verhaal vindt?
Detective mode:

Ongeveer 2 weken geleden kreeg ik een e-mail van KPN, waarin werd gezegd dat er verdachte activteit is waargenomen vanuit mijn WAN ip adres.

Dus vanaf jouw IP is verdachte activiteit waargenomen. Heeft de KPN niet wat meer info gegeven over wat die activiteit was? Spam versturen bijvoorbeeld?
In elk geval: die activiteit kan dus ook van een ander (eventueel geïnfecteerd) apparaat in jouw netwerk komen.

Nu blijkt dat ze mijn Qnap NAS probeerden te hacken. Deze hangt slechts via KPN Experiabox aan het internet.

Hoe weet je dat ze je NAS probeerden te hacken? Als de NAS de bron is van de verdachte activiteit dan is dat hacken blijkbaar al gelukt.

Alleen mijn eigen wan ip adres staat in de lijst van toegestane verbindingen. Alle andere worden geblokkeerd.

Je eigen IP in de whitelist zetten van een apparaat dat achter dat IP zit lijkt me vrij zinloos.

Mijn vrgaa: heeft het zin/nu om een hw firewall te gaan gebruiken ?

Eerst maar eens uitzoeken wat er precies aan de hand is/was. Er is een reëele mogelijkheid dat de NAS niet de bron van de verdachte activiteit was.

[ Voor 3% gewijzigd door gerritjan op 06-07-2024 16:32 ]

rubberbutt schreef op zaterdag 6 juli 2024 @ 18:17:
Ik zag in de logfile dat iemand met ip adres 45.142.182.121 (iemand uit duitskand) probeerde om op het admin account in te loggen van de NAS
[...]

vraag me bij dat soort geo tagging wel af of het geen rus of chinese onderdaan is die proxy'd via Duitskantje maar ook daar naartoe proxy'd via de VS, etc.

rubberbutt schreef op zaterdag 6 juli 2024 @ 18:17:
Ik zag in de logfile dat iemand met ip adres 45.142.182.121 (iemand uit duitskand) probeerde om op het admin account in te loggen van de NAS

Lijkt me niet dat de melding van de KPN hiermee te maken had, dan kunnen ze half NL wel een melding sturen.
Het IP dat je noemt is een bekende scanner.

Van QNAP heb ik geen verstand, maar aanrader is wel om het standaard admin-account te disabelen.
Mijn NAS heeft de mogelijkheid om een IP te blacklisten na een instelbaar aantal pogingen. Gebeurde bij mij wel eens totdat ik een geo-block instelde.

rubberbutt schreef op zaterdag 6 juli 2024 @ 15:51:
[...]

Dat was idd niet in orde. Inmiddels alles geupdate, geluukig geen verdachte P*rn aangetroffen

Als het inderdaad alleen niet-verdachte pr0n is dan is het goed

Maar hoe is het probleem opgelost op dit moment? Je NAS (of welk apparaat dan ook?) had verdacht gedrag. Genoeg voor KPN om je verbinding te blokkeren.

Je hebt zelf weer toegang tot je NAS, maar dat lost nog steeds niets op? Wanneer je NAS gehackt is, is die niet ineens spontaan in orde omdat je zelf een keer bent ingelogd?

Kpn ziet verdacht verkeer vanaf jouw netwetwerk komen dus is die Nas (of een ander device) hoogst waarschijnlijk allang geïnfecteerd met malware.
Dus maatregelen om infecties te voorkomen zijn niet meer voldoende, je moet het probleem opsporen en verwijderen.

Met het opsporen van de oorzaak kan de abuse afdeling van KPN je vast helpen. Ik zou contact met ze opnemen om er achter te komen wat ze gezien hebben en wat voor hun de reden was om in actie te komen. Die mensen hebben veel ervaring met dit soort zaken.

rubberbutt schreef op zaterdag 6 juli 2024 @ 15:48:
Pff heb het gelukkig gefixt. Toen ik die NAS had geplaatst had ik een Qnap cloud account aangemaakt. Daarop ingelogd, en tijdelijk profiel van prive op openbaar gezet. Nu kon ik inloggen en de settings weer terugzetten. NAS is nu lokaal weer bereikbaar. Uiteraard Qnap cloud profiel nu weer op prive gezet.

Ik kan er weer bij. Nu even goed kijken welke WAN ip ik kan blokkeren. Als ik ALLE wan ip zou blokkeren kom ik er met nap cloud niet meer in. Dus eigenlijk wil ik alles blokkeren, behalve Qnap cloud en mijn WAP ip.

In ieder geval bedankt voor het meedenken allemaal...

Heb je niet nog een rondslingerend apparaatje in huis, of een hippe router waarop je bijv wireguard of OpenVPN kan instellen? Dan kan je er bij zolang je een vpn-verbinding hebt, en anders niet. Dat lijkt me veel beter dan toch dingen rechtstreeks open zetten naar buiten.

Wat Kpn ziet is dat er vreemd verkeer vanaf jouw Lan komt.
Dat stopt uiteraard als KPN je blokkeert, maar daar is natuurlijk de oorzaak niet mee weggenomen.

Ofwel er komt veel spam mail vanaf jouw netwerk ofwel jij bent onderdeel van een botnet geworden dat deelneemt aan bijvoorbeeld DDOS aanvallen en dat moet je nu allereerst gaan uitzoeken.

rubberbutt schreef op zondag 7 juli 2024 @ 12:57:
Nog eens even diepe[Afbeelding]r in de logfiles van de NAS gekeken. Dat is toch wel zorgwekkend...

Nee, als jij ssh publiek op internet beschikbaar stelt, weet je 100% zeker dat je continu inlogpogingen krijgt (brute force). Jij moet ervoor zorgen dat de authenticatie voldoende beveiligd is, zodat zeker is dat deze pogingen zullen falen. Daarnaast kun je het beperken met tools als fail2ban, etc. Of gewoon een VPN en/of IP-filter.

Waarom heb je SSH nodig vanaf internet? En als het echt nodig is, dan bij voorkeur op een niet-standaard poort, zodat het minder makkelijk gevonden wordt. Bijv op poort 3149 ofzo...

Synology heeft zo'n fail2ban trouwens standaard aan boord. Als een gebruiker bijv 3x binnen een bepaalde tijd probeert in te loggen zonder succes, wordt het IP geblokt. Wel zo handig en veilig. Geen idee of QNAP ook zoiets heeft.

En zoals eerder aangegeven, wellicht kan je fiteren dat bijv. alleen NL IP's naar binnen mogen. Dat scheelt ook al weer veel aanvallen vanuit het buitenland. zie ook https://www.qnap.com/nl-nl/software/qufirewall

[ Voor 56% gewijzigd door Microkid op 07-07-2024 13:27 ]

Een niet standaard poort is weer zo'n schijn veiligheid, een port scanner maakt daar heel snel gehakt van.
Schijn veiligheden adviseren is nooit verstandig.

Het beste is geen toegang vanaf het internet toe te laten en als je perse vanaf het internet bij je Lan moet komen, moet je een VPN server opzetten in bijvoorbeeld je Nas en met een Vpn client vanaf het internet bij je Lan komen..

Ben(V) schreef op zondag 7 juli 2024 @ 13:24:
Een niet standaard poort is weer zo'n schijn veiligheid, een port scanner maakt daar heel snel gehakt van.
Schijn veiligheden adviseren is nooit verstandig.

True. De meeste hackers scannen wel eerst de standaard poorten. Vind hij daar niks, heb je kans dat ze een deurtje verder gaan. Je moet dus een volhardende hacker hebben die dan nog een portscan gaat draaien, aangezien dat veel langer duurt.

Microkid schreef op zondag 7 juli 2024 @ 13:29:
[...]

True. De meeste hackers scannen wel eerst de standaard poorten. Vind hij daar niks, heb je kans dat ze een deurtje verder gaan. Je moet dus een volhardende hacker hebben die dan nog een portscan gaat draaien, aangezien dat veel langer duurt.

Je kunt echt beter zorgen dat je basisbeveiliging op orde is dan dit soort 'security by obscurity'. Zeker als advies naar een onervaren gebruiker.

rubberbutt schreef op zondag 7 juli 2024 @ 12:57:
Dat is toch wel zorgwekkend...

Ga naar Control Panel op die Qnap, daarna Security.

Vul simpelweg de juiste toegangen in voor achtereenvolgens
Allow/Deny List - zet letterlijk alleen jouw local IP range (desnoods de DHCP range kopieren) hier in. Als je now iets als Container Station hebt draaien, voeg localhost (127.0.0.1) toe.
IP en Account Access Protection naar wens - iets als 3 foutieve logins -> block forever is prima.
Password policy niet te slap zetten en zet 2FA aan.

Zo moeilijk is het niet om het al iets beter beveiligd te hebben. QVPN is vlot te installeren als je toegang van buiten wilt.

Daarnaast kun je in App Center de app Security Counselor installeren, geeft een goed overzicht welke gaten er open staan zowel in- als uitgaand. Je krijgt dan ook verwijzingen en opmerkingen hoe die te dichten.

... schiet mij te binnen, je doet wel aan updates van het OS?

Knoop apparatuur zoals een NAS, thuisserver, PC's etc. gewoon niet aan het internet.
Ook niet services als SSH verplaatsen naar een andere niet well-known poort want daar ben je met een Nmap zo achter.

Ga voor een oplossing zoals een VPN naar huis, dan ben je ook nergens meer van afhankelijk.
Anders oplossingen als Tailscale, Remote.it oid.

Maar mocht dat niet kunnen en je wil het echt op de port forwarding manier doen, zorg dan wel dat je iig iets van Fail2Ban, SSH keys of 2FA gebruikt.
Maar houd er dan wel rekening mee, aanvallers blijven nog steeds aankloppen aan de deur en kunnen in het ergste geval de server nog wel onderuit trappen (DoS). En dat als er een beveiligingslek (CVE) in bijv. SSH zit (zoals deze in OpenSSH afgelopen week -> https://www.cvedetails.com/cve/CVE-2024-39894/ ) er alsnog een kans is dat kwaadwillenden toegang krijgen tot je systeem.

DeBolle schreef op zondag 7 juli 2024 @ 13:44:
[...]


Ga naar Control Panel op die Qnap, daarna Security.

Vul simpelweg de juiste toegangen in voor achtereenvolgens
Allow/Deny List - zet letterlijk alleen jouw local IP range (desnoods de DHCP range kopieren) hier in. Als je now iets als Container Station hebt draaien, voeg localhost (127.0.0.1) toe.
IP en Account Access Protection naar wens - iets als 3 foutieve logins -> block forever is prima.
Password policy niet te slap zetten en zet 2FA aan.

Zo moeilijk is het niet om het al iets beter beveiligd te hebben. QVPN is vlot te installeren als je toegang van buiten wilt.

Daarnaast kun je in App Center de app Security Counselor installeren, geeft een goed overzicht welke gaten er open staan zowel in- als uitgaand. Je krijgt dan ook verwijzingen en opmerkingen hoe die te dichten.

... schiet mij te binnen, je doet wel aan updates van het OS?

Waarom zo moeilijk doen. NAS niet bereikbaar maken via Internet is voldoende.

Nogmaals, het nu dichtzetten van je NAS, ik vraag me af of je niet veel te laat bent en persoonlijk zou ik het apparaat niet meer vertrouwen tot ik een volledige reset had gedaan.

Een setje poortscans van buitenaf is geen reden voor KPN om je verbinding dicht te gooien neem ik aan(, want ik ga er vanuit dat dit constant gebeurd).

FreakNL schreef op maandag 8 juli 2024 @ 01:06:
[...]


Waarom zo moeilijk doen. NAS niet bereikbaar maken via Internet is voldoende.

Totdat je er achter komt dat er een soort domme forwarding service is (zoals bij Synology?) die je apparaat via hun cloud online beschikbaar maakt. Gewoon zoveel mogelijk authenticatie mogelijkheden aanzetten, lijkt me sowieso geen slecht advies.

sorted.bits schreef op maandag 8 juli 2024 @ 08:16:
[...] Gewoon zoveel mogelijk authenticatiemogelijkheden aanzetten, lijkt me sowieso geen slecht advies.

Nee, dat is juist het tegenovergestelde van veilig. Hoe meer methodes je hebt, hoe groter de kans dat er eentje te zwak is. Gebruik het absoluut minimale en kies de sterkste beveiliging mogelijk.

rubberbutt schreef op vrijdag 12 juli 2024 @ 13:05:
Jongens nog een nieuw vraagje voortbordurend op dit topic.

Ik heb Internet via KPN Experiabox, daarachter een unmanaged TP-Link switch en iets verderop in het huis een managed Ubiquiti PoE switch. Dus uiteindelijk hangen alle devices aan het Internet
Mijn vraag: Is het mogelijk om de NAS te blokkeren voor inkomend verkeer ? Maar wel toegangkelijk op het interne LAN.

Ja hoor. Verwijder alle port forwarders in je Experiabox en zet PnP uit.
Meer is niet nodig. Hou het simpel.

vrotogel schreef op zondag 7 juli 2024 @ 09:19:
Met het opsporen van de oorzaak kan de abuse afdeling van KPN je vast helpen. Ik zou contact met ze opnemen om er achter te komen wat ze gezien hebben en wat voor hun de reden was om in actie te komen. Die mensen hebben veel ervaring met dit soort zaken.

De abuse afdeling weet zeer zeker wat het probleem is, ze hebben je immers om die reden afgesloten. Alleen zullen ze die reden meestal niet gelijk delen, de klant mag via eigen onderzoek aantonen waarom de verbinding afgesloten is en als dat overeen komt met hetgeen de abuse afdeling voor ogen had wordt je weer aangesloten.
Niet iedere klant is ter goeder trouw en je wilt als provider de klant ook niet wijzer maken dan die is.

gerritjan schreef op vrijdag 12 juli 2024 @ 16:10:
[...]

Ja hoor. Verwijder alle port forwarders in je Experiabox en zet PnP uit.
Meer is niet nodig. Hou het simpel.

...zolang het apparaat het ook simpel houdt. Maar dit voorkomt niet dat het appaaraat zelf by design (MQTT oid naar Synology cloud) of besmetting (malware phone home, of aanval op derden) het internet benadert. KPN heeft de boel al dichtgezet wegend die tweede optie hier, dus ik zou zeker ook toegang van de NAS naar het internet blokkeren in de router firewall.

Exact hoe dat in te stellen hangt af van de router in kwestie, maar wat je wilt bereiken is dat alle verkeer vanaf LAN IP van de synology richting het internet tegengehouden wordt. Heb je een IPv6 verbinding, dan moet je dat apart voor IPv4 en IPv6 doen.

dion_b schreef op zaterdag 13 juli 2024 @ 12:47:
[...]

...zolang het apparaat het ook simpel houdt. Maar dit voorkomt niet dat het appaaraat zelf by design (MQTT oid naar Synology cloud) of besmetting (malware phone home, of aanval op derden) het internet benadert.

TS vroeg om het blokkeren van inkomend verkeer naar de NAS en wilde gaan prutsen met managed switches en Linux-firewalls om dat te bereiken.

Uitgaand verkeer vereist inderdaad een volledig andere aanpak, maar het is de vraag of je dat wil blokkeren. Als KPN nog steeds verdachte activiteit ziet moet dat aan de bron worden aangepakt, en dat is niet door het blokkeren van uitgaand verkeer.

gerritjan schreef op zaterdag 13 juli 2024 @ 13:49:
[...]

TS vroeg om het blokkeren van inkomend verkeer naar de NAS en wilde gaan prutsen met managed switches en Linux-firewalls om dat te bereiken.

Uitgaand verkeer vereist inderdaad een volledig andere aanpak, maar het is de vraag of je dat wil blokkeren. Als KPN nog steeds verdachte activiteit ziet moet dat aan de bron worden aangepakt, en dat is niet door het blokkeren van uitgaand verkeer.

TS is van internet afgesloten wegens uitgaand verkeer vanaf zijn netwerk, vermoedelijk vanaf die NAS. Volledig eens dat je idealiter de bron aanpakt, maar vraag is of TS dat lukt (heb zo mijn twijfels) en sowieso, herbesmetting is altijd mogelijk, bijvoorbeeld als de NAS vanuit een van de client devices besmet is en daar nog geen actie genomen is.

Zie het als dat je gedumpt bent door een meid en naar de GGD verwezen bent omdat ze door sex met jou gonorroe opgelopen heeft. Ja, naar de GGD gaan en aan de antibiotica is ten zeerste aan te raden, maar in de tussentijd condooms gebruiken met andere partners is ook wel verstandig, zeker als nog niet helemaal duidelijk is waar jij het opgelopen hebt. Sowieso zijn condooms een goed idee als je elkaar niet 100% kunt vertrouwen.

Idem hier - iets is niet te vertrouwen en je weet niet wat. Dan is voorkomen dat het apparaat wat problemen gaf naar buiten kan praten sowieso een goed idee.

Volgens mij heeft TS nog niet eens bewezen dat zijn NAS het probleem is, heb ik dat gemist? Toen ik nog voor KPN werkte, al is dat vele jaren terug, werd er nooit geblokkeerd op openstaande poorten tenzij het een open SMTP relay betrof.
De brute-force inlogpogingen op de NAS zijn ook niet verwonderlijk en een apparaat hoeft niet 24/7 aan te staan om onderdeel van een botnet te zijn.

rubberbutt schreef op zaterdag 6 juli 2024 @ 14:55:
Hallo allemaal.

Ongeveer 2 weken geleden kreeg ik een e-mail van KPN, waarin werd gezegd dat er verdachte activteit is waargenomen vanuit mijn WAN ip adres.
[...]

Mijn vrgaa: heeft het zin/nu om een hw firewall te gaan gebruiken ?

Die fiirewall heb je al, dat zit namelijk al in je Experiabox.

Heb je toevallig het IP-adres van je NAS ingesteld als DMZ apparaat in je Experiabox?
(Beveiliging > DMZ)

En staan de UDP-poorten open op je NAS?

Zo ja, dan kan dát heel goed de reden zijn dat KPN in paniek is geraakt.
KPN voert regelmatig portscans uit op je WAN-adres en ze lijken daar helemaal in paniek te raken als ze constateren dat je WAN-adres op meerdere UDP-poorten reageert.

(Ik had dus hetzelfde toen ik een honeypot-server als DMZ-host had ingesteld. Mail van abuse@kpn.com met allerlei dreigingen en paniekerige taal. Server weer verwijerd als DMZ-host en "probleem" was over)

rubberbutt schreef op zondag 7 juli 2024 @ 09:42:
[...]
Toen ik merkte dat mijn Internet geblokkeerd was moest ik dus (via andere verbinding uiteraard) een mail sturen naar abuse@kpn.com. Ik had op dat moment nog niets onderzocht wat de reden was. Enkel mijn NAS losgekoppeld v/d switch.

Moest op hun abuse site een aantal vragen beantwoorden. ik kreeg als antwoord terug: Wij hebben gezien dat uw internet verbinding nu wel veilig is. Raar, want ik had daar niets aan gedaan.
[...]

Jawel, als ik het goed begrijp had je de NAS op dat moment losgekoppeld? Dus als de NAS inderdaad het probleem was, dan is het logisch dat KPN detecteert dat het probleem weg is als je de NAS hebt losgekoppeld.

Maar dat wil natuurlijk niet zeggen dat het probleem niet terug komt als je 'm weer aansluit. Zo te zien heb je nog geen enkele maatregel tegen eventuele malware op de NAS genomen.

The Realone schreef op zaterdag 13 juli 2024 @ 15:36:
Volgens mij heeft TS nog niet eens bewezen dat zijn NAS het probleem is, heb ik dat gemist? Toen ik nog voor KPN werkte, al is dat vele jaren terug, werd er nooit geblokkeerd op openstaande poorten tenzij het een open SMTP relay betrof.
De brute-force inlogpogingen op de NAS zijn ook niet verwonderlijk en een apparaat hoeft niet 24/7 aan te staan om onderdeel van een botnet te zijn.

Het lijkt mij ook onwaarschijnlijk dat de NAS het probleem is, maar helaas geeft TS verder weinig informatie.