NAS under angreb?

Mac & PC, lydkort, Logic Pro, Cubase, Pro Tools, Ableton Live og andet software.
Nyt svar
Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

NAS under angreb?

Indlæg af mediumaevum »

Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).

Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.

Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?

Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.

Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.

Hvordan kan den pludselig blive kendt?

Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.

Medlemsavatar
Hald
Forum Donator
Indlæg: 10829
Sted: Vind / Holstebro

Indlæg af Hald »

Haha, der er ikke nogen der har videregivet din IP adresse, der er ingen adresser der er hemmelige eller sikre, alle bliver forsøgt angrebet, og hvis de regner ud hvilket udstyr der står i den anden ende, eller de får svar fra en service efter de har scannet, så bliver de ved med at angribe. Lev med det og tag din netværkssikkerhed seriøst. Hold din NAS opdateret og sørg for at den laver autoblokkering af IP'er der mislykket prøver at logge på den efter f.eks. 3-5 forsøg.
"Knobs? Where we're going, we don't need knobs!" - 14 år med ørene i Lydmaskinen -

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

Hald skrev:Haha, der er ikke nogen der har videregivet din IP adresse, der er ingen adresser der er hemmelige eller sikre, alle bliver forsøgt angrebet, og hvis de regner ud hvilket udstyr der står i den anden ende, eller de får svar fra en service efter de har scannet, så bliver de ved med at angribe. Lev med det og tag din netværkssikkerhed seriøst. Hold din NAS opdateret og sørg for at den laver autoblokkering af IP'er der mislykket prøver at logge på den efter f.eks. 3-5 forsøg.
Ok. Fik at vide at de kunne have haft sniffere som afsøger nærmest alle IP-adresser. Det sikreste er nu engang papir og blyant, som man siger.

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

Man må da kunne anmelde alle disse forsøg? Hvis de f.eks. kommer fra USA (hvilket flere af IP-adresserne gjorde) burde man da i det mindste i teorien kunne få dem anklaget for hackingforsøg, hvilket er ulovligt - også i USA. Så kunne man få dem spærret inde i et amerikansk fængsel som har helt andre standarder end danske, og få sin hævn.

Det lyder som en god plan...

Medlemsavatar
Christoffer I. N.
Lydmaskinist
Indlæg: 35559
Sted: Hørsholm

Indlæg af Christoffer I. N. »

Prøv at ringe til din lokale politistation og hør hvad de vil gøre ved det.

Medlemsavatar
Kvaksalver
Forum Donator
Indlæg: 141
Sted: 8000C

Indlæg af Kvaksalver »

Christoffer I. N. skrev:Prøv at ringe til din lokale politistation og hør hvad de vil gøre ved det.
Hvis angrebene kommer fra USA, skal han vel have fundet ud af præcist hvor, og så have fat i den lokale county sheriff?

Medlemsavatar
Hippo
Synth-hvisker
Indlæg: 1553
Sted: FishCorp

Indlæg af Hippo »

mediumaevum skrev:Man må da kunne anmelde alle disse forsøg?
LOL!!!

Alle kan "banke på din dør" .. men om de kommer ind er din egen hovedpine! Nu ved jeg ikke hvilken service (læs: port) der blev forsøgt adgang til, men jeg gætter umiddelbart på ftp! Konfigurer din server om til "Implicit FTP" og dyk ned i certificater hvis du er decideret paranoid .. men vigtigst af alt: brug et password som du aldrig har brugt andre steder nogensinde.

Alle verdens hackere skyder løs på samtlige ip-adresser - og at tro din ip er noget særligt, er spild af tid og paranoia. Det eneste hackere er ude efter er konti med kendte passwords, som kan bruges til at spamme med ..

Så altså - ta den med ro; sørg for at de services du har eksponeret mod nettet anvender de sikreste protokoller - og i særdeleshed med unikke passwords .. så skal det nok gå det hele! <3

edit: sendt pm ~
Rune Borup :: Producer / Sangskriver / Synth-hvisker @ FishCorp

Medlemsavatar
Søren Steinmetz
Medlem
Indlæg: 268
Sted: Gislinge området

Indlæg af Søren Steinmetz »

Det med at melde IP adressen...

Hvordan kan du være sikker på den person, som på et givet tidspunkt er tilknyttet adressen, nu også er den person som laver "drive by" port skanning ?
Det kan meget vel være hans maskine er blevet ramt af en trojaner, og hackeren/script kiddien bare benytter den som platform uden ejerens viden.

oh og ps: FTP er så 1970 at det bare bør slåes fra.
Det er lige så sikkert som at sende cpr + bank + nemID via et åbent postkort ophængt i det lokale supermarked.
(ingen kryptering, med mindre man bruger SFTP, men stadig dårligere end SSH/SCP ) ;)

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

Jeg tror jeg er udsat for spoofing. Eller, det er de amerikanske IP-adresser nok også, som login-forsøgende udgav sig for at komme fra?

https://www.berlingske.dk/samfund/it-ek ... -og-deling

»Spoofing sker ved, at man sætter et stykke software op foran sin router, så det ser ud, som om man arbejder fra en anden IP-adresse, selv om man sidder med sin egen. Man faker med andre ord en IP-adresse for at kunne skjule sine handlinger
,« siger Christian Hansen.

Han forklarer, at det kræver en del tekniske færdigheder at kunne udføre spoofing, men at det er ganske almindeligt blandt hackere. Ud fra sin faglige viden vil han mene, at spoofing kan være relevant i disse sager, hvis krænkelserne faktisk har fundet sted. Ifølge ham er det nemlig meget atypisk, at almindelige mennesker ulovligt deler filer i de størrelsesordner, som ses i stævningerne.
WTF? Dvs. nu kan vi alle sammen - helt almindelige danskere, anklages for at lave ulovligheder, endda hackingforsøg i det helt store, uden vi har været bare i NÆRHEDEN af det?

Medlemsavatar
bryla
Forum Donator
Indlæg: 11442
Sted: Esbjerg

Indlæg af bryla »

Det er rigtigt. Alle danskere skal bare i fængsel!
skriver noder

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

bryla skrev:Det er rigtigt. Alle danskere skal bare i fængsel!
Øhh... nej. Og heller ikke alle franskmænd, tyskere, kinesere, amerikanere (fortsæt selv listen).

I det hele taget bør man stoppe med at bruge IP-adresser som bevis for noget somhelst.

Jeg må indrømme at IP-spoofing er et helt nyt begreb for mig. Jeg troede ganske enkelt ikke at det kunne lade sig gøre.
Jeg troede, at alle IP-adresser blev tildelt på en central hos internetudbyderen, som derfra ledte dem videre ud i verden, og at der derfor ikke kan snydes med IP-adresser.

Jeg troede ydermere, at antallet af IP-adresser er begrænset (mange, men dog begrænset) og at det i sidste ende lå hos endnu større centraler at udbyde IP-adresser, f.eks. i USA eller andre steder. Og at danske internetudbydere såmænd bare "lejer" sig ind/køber sig adgang til en portion IP-adresser de kan give deres kunder.

Medlemsavatar
bryla
Forum Donator
Indlæg: 11442
Sted: Esbjerg

Indlæg af bryla »

Pakker faklerne sammen igen.
skriver noder

Medlemsavatar
SIDwave
Forum Donator
Indlæg: 2636
Sted: Denmark

Indlæg af SIDwave »

det svarer til at have din webserver stående derhjemme.
der kommer en scanner, og den finder enheden, og den kan se at det er en NAS, så nu vil den se dine filer og evt. kopiere dem.
hvis du installerer www.malwarebytes.org så bliver alle indgående requests afvist af dens firewall.

Medlemsavatar
Søren Steinmetz
Medlem
Indlæg: 268
Sted: Gislinge området

Indlæg af Søren Steinmetz »

Malwarebytes er et klient program til Windows/OSX, ikke til servere og NAS som f.eks. Synology/QNap osv.

Omkring IP adresser, arbejder de fleste stadig med IP v4, det gode velkendte xxx.xxx.xxx.xxx adresse format, der er sammenlagt lidt over 4 milliarder adresser til deling for hele planeten.

Som med alt andet elektronisk, kan en IP adresse spoofes, hvis man ved hvordan.

Det mest udbredte er dog, at en computer bliver inficeret med en trojaner/bagdør, og derefter bliver benyttet af hackeren som "springpunkt" for evt. angreb videre ud. Ofte uden ejeren bag den inficerede maskine ved det.

Min undren er dog, hvorfor op's NAS var sat på nettet uden at sidde bag en router/firewall ?

Hvis den sidder internt på et net, bag en router, kan den ikke tilgås fra internettet med mindre man selv har åbnet for porte i routeren, f.eks. port 80 til web/http trafik eller (guderne forbyde det) port 20/21 til FTP eller andet.
Selv bruger jeg kun SCP (som kører via SSH protokollen) og på min firewall benyttes ikke standard porten 22 men en anden port, det holder i det mindste nysgerrige script kiddies væk. ;)

Medlemsavatar
Hald
Forum Donator
Indlæg: 10829
Sted: Vind / Holstebro

Indlæg af Hald »

Jeg håber da godt nok at den er bag en router, og at routeren er bare lidt seriøs og opdateret med nyeste firmware mod evt huller.

Jeg har 3 NAS kørende herhjemme, og Synology er søde til at skrive en mail når der er en sikkerhedsrisiko både om det blot er en opdatering eller vejledning om andre tiltag. Jeg sover trygt om natten velvidende at min Firewall i routeren bliver prøvet med lidt af hver hver eneste dag, og mislykkede loginforsøg på NAS'en er helt almindeligt i dag.
"Knobs? Where we're going, we don't need knobs!" - 14 år med ørene i Lydmaskinen -

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

Søren Steinmetz skrev: Min undren er dog, hvorfor op's NAS var sat på nettet uden at sidde bag en router/firewall ?
Jeg har aldrig nogensinde sagt min NAS ikke sidder bag en router. Hvor har du det fra?
Selvfølgelig har jeg da en router, og med stærk adgangskode osv.
Søren Steinmetz skrev: Hvis den sidder internt på et net, bag en router, kan den ikke tilgås fra internettet med mindre man selv har åbnet for porte i routeren, f.eks. port 80 til web/http trafik eller (guderne forbyde det) port 20/21 til FTP eller andet.
Selv bruger jeg kun SCP (som kører via SSH protokollen) og på min firewall benyttes ikke standard porten 22 men en anden port, det holder i det mindste nysgerrige script kiddies væk. ;)
Jeg havde lavet indstillinger på NAS'en om at den skulle kunne tilgås fra nettet ved blot at skrive min IP-adresse. Men efter jeg opdagede at folk ville tilgå den, slog jeg indstillingerne fra, så den kun figurerer på lokalnetværket, hvilket betyder at jeg skal skrive lokalnetværkets IP (og ikke min offentlige IP) for at tilgå den - og jeg kan derfor kun tilgå den fra mit eget netværk, ikke når jeg er andre steder.

Medlemsavatar
Søren Steinmetz
Medlem
Indlæg: 268
Sted: Gislinge området

Indlæg af Søren Steinmetz »

Må være varmen, eller noget, fik fejlagtigt indtrykket af den måske sad på en åben linje my bad......

Uanset hvad man gør, vil man næsten altid opleve forsøg på hacking/uautoriseret adgang.

Der er flere måder at minimere det på, men ved en NAS er det mest effektive jeg har fundet, at lave en forward i routeren f.eks. fra x+postnr (f.eks. 26850) og internt forwarde den til den normale port på NAS'en (f.eks. 80 hvis http)
Det holder standard programmerne og nybegynderne på afstand.
De øvede hackere starter alligevel med at hacke din router så dem er det næsten umuligt at holde væk.

Jeg har så yderligere en server imellem, som kræver et bruger login via SSH (ikke på standard port), for at kunne få forbindelse til min NAS (på en anden ikke standard port)
Det har fjernet 99% af alle fremmede forsøg i min log.

Medlemsavatar
Nicolai
Forum Donator
Indlæg: 2679
Sted: Vejle

Indlæg af Nicolai »

Det her er jo ikke min stærke side. Men hvordan kan man vide om man er “under angreb”? Min ellers forholdsvis nye NAS opfører sig meget underligt idag. Har haft svært ved overhovedet at komme i kontakt med den (den har blinket i LED’en og dermed indikeret at den er restartet) og nu hvor det er lykkedes virker den ekstremt langsom. Men jeg kan høre disken knokler og kan se på de små led’er ved netværkskablet at der foregår ting og sager ind og ud.... Nu har jeg revet internet stikket ud af routeren og begyndt at kopiere de mest uundværlige filer rundt omkring til andre drev og computere....

Men hvor ser jeg om der er forsøg på at få access til den??

Kh
Nicolai
mediumaevum skrev:Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).

Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.

Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?

Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.

Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.

Hvordan kan den pludselig blive kendt?

Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
[size=85]Jupiter: 8, 6, 4, MKS-80, 8000
Juno: 60, 106, MKS-50
JX: 10, 8p, 3p, MKS-30
JD: 800, 990 Vintage
D: 50, 550
JV: 2080, 1080, 880, 80
SH: 1, 1000, 2000
V-synth, FantomG7
(OB-8, Moog Voyager, Prophet-600, Trident2, PolySix, MS-20m, NordLead2, Virus osv osv)[/size]

Medlemsavatar
mediumaevum
Medlem
Indlæg: 3656

Indlæg af mediumaevum »

Nicolai skrev:Det her er jo ikke min stærke side. Men hvordan kan man vide om man er “under angreb”? Min ellers forholdsvis nye NAS opfører sig meget underligt idag. Har haft svært ved overhovedet at komme i kontakt med den (den har blinket i LED’en og dermed indikeret at den er restartet) og nu hvor det er lykkedes virker den ekstremt langsom. Men jeg kan høre disken knokler og kan se på de små led’er ved netværkskablet at der foregår ting og sager ind og ud.... Nu har jeg revet internet stikket ud af routeren og begyndt at kopiere de mest uundværlige filer rundt omkring til andre drev og computere....

Men hvor ser jeg om der er forsøg på at få access til den??

Kh
Nicolai
Loggen på NAS'en viste uautoriserede forsøg på at få adgang, fra udenlandske IP-adresser.

Løsningen var at koble den af internettet i NAS'ens indstillinger, så den kun kan tilgås på lokalnetværket. Jeg tror det er bedst at holde al online-diskplads hos professionelle virksomheder som dropbox o.lign. istedet for selv at give sig i kast med det.

Jeg kunne godt få den koblet på nettet, men jeg tør ikke for jeg har ikke nok forstand på det sikkerhedsmæssige i det. Og tør ikke løbe nogen risiko.

Medlemsavatar
Joachip
Forum Donator
Indlæg: 2641
Sted: Vesterbro

Indlæg af Joachip »

Der er 4294967296 IP-adresser i alt (hvoraf ikke alle dog kan bruges) til cirka 7720000000 mennesker. Det er cirka én IP-adresse til hver anden person på jorden. Med andre ord, så er der rift om dem, og der er meget få ledige adresser tilbage.

Så hvis man snupper en tilfældig IP adresse, så er chancen for at få en fisk på krogen altså stor!

Så mit gæt er at det slet ikke er mennesker der sidder og prøver at logge ind på din NAS, men bare robotter (scripts) der er sat op til at prøve tilfældige adresser med tilfældige brugernavne og passwords, og så håbe på at der er "bid". Derfor er det en dårlig idé at bruge et password som "1234" eller "password".

Det sker sansynligvis for alle her på lydmaskinen, din nabo, din hunds dyrlæge, hans venner, og deres families venners omgangskreds. Er man på nettet, så får man besøg! Så husk at låse døren. :-D
Jeg laver også gratis plugins: www.robotplanet.dk/audio_plugins

Medlemsavatar
benjisan
Medlem
Indlæg: 3504
Sted: Østerbro, København

Indlæg af benjisan »

Joachip skrev:Derfor er det en dårlig idé at bruge et password som "1234" eller "password".
Derfor er det også en dårlig idé at bruge standard kontoen "admin" på din server. Så har du allerede givet halvdelen af informationen til hackeren for at kunne komme ind på din maskine.

Medlemsavatar
SIDwave
Forum Donator
Indlæg: 2636
Sted: Denmark

Indlæg af SIDwave »

mediumaevum skrev:Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).

Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.

Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?

Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.

Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.

Hvordan kan den pludselig blive kendt?

Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
ingen har videregivet din ip adresse, nødvendigvis.
der kører robotter rundt på nettet, ligesom crawlere fra søgemaskiner
nogle af dem leder efter hjemmesider som er hostet i dit hjem
andre leder efter din NAS

og så finder de ud af hvad du har på dit netværk, og scanner løs for at få info om din windows.
og nu ved den så hvad din nas hedder, NETBIOS navnet, og ip adressen internt.

og så forsøger de bare at kopiere det hele, for at sælge hvad der kan sælges.. (hjemmelavet porno, kreditkort osv)

jeg bruger kun min nas til backup, og den er kun tændt når jeg tager backup.
ergo bliver jeg aldrig angrebet, fordi robotterne finder ud af, at jeg ingenting har

desuden kan de slet ikke komme ind,da jeg har malwarebytes. den fungerer som firewall der beskytter alle programmer.
hvis nogen siger en besked til et program, kommer der en popup hvem der siger ævl, og min computer svarer ikke tilbage. (malwarebytes får min computer til andrig at svare på noget)

så kan der komme den ene tossede robot efter den ande, de får ikke noget ud af det!

Medlemsavatar
SustainerPlayer
Medlem
Indlæg: 12411
Sted: På kanten

Indlæg af SustainerPlayer »

SIDwave skrev: ... hjemmelavet porno ...
Det den bedste slags. Fra den gamle fabrik ...

Nyt svar