NAS under angreb?
- mediumaevum
- Medlem
- Indlæg: 3656
NAS under angreb?
Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).
Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.
Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?
Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.
Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.
Hvordan kan den pludselig blive kendt?
Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.
Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?
Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.
Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.
Hvordan kan den pludselig blive kendt?
Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
Haha, der er ikke nogen der har videregivet din IP adresse, der er ingen adresser der er hemmelige eller sikre, alle bliver forsøgt angrebet, og hvis de regner ud hvilket udstyr der står i den anden ende, eller de får svar fra en service efter de har scannet, så bliver de ved med at angribe. Lev med det og tag din netværkssikkerhed seriøst. Hold din NAS opdateret og sørg for at den laver autoblokkering af IP'er der mislykket prøver at logge på den efter f.eks. 3-5 forsøg.
"Knobs? Where we're going, we don't need knobs!" - 14 år med ørene i Lydmaskinen -
- mediumaevum
- Medlem
- Indlæg: 3656
Ok. Fik at vide at de kunne have haft sniffere som afsøger nærmest alle IP-adresser. Det sikreste er nu engang papir og blyant, som man siger.Hald skrev:Haha, der er ikke nogen der har videregivet din IP adresse, der er ingen adresser der er hemmelige eller sikre, alle bliver forsøgt angrebet, og hvis de regner ud hvilket udstyr der står i den anden ende, eller de får svar fra en service efter de har scannet, så bliver de ved med at angribe. Lev med det og tag din netværkssikkerhed seriøst. Hold din NAS opdateret og sørg for at den laver autoblokkering af IP'er der mislykket prøver at logge på den efter f.eks. 3-5 forsøg.
- mediumaevum
- Medlem
- Indlæg: 3656
Man må da kunne anmelde alle disse forsøg? Hvis de f.eks. kommer fra USA (hvilket flere af IP-adresserne gjorde) burde man da i det mindste i teorien kunne få dem anklaget for hackingforsøg, hvilket er ulovligt - også i USA. Så kunne man få dem spærret inde i et amerikansk fængsel som har helt andre standarder end danske, og få sin hævn.
Det lyder som en god plan...
Det lyder som en god plan...
- Christoffer I. N.
- Lydmaskinist
- Indlæg: 35559
- Sted: Hørsholm
Prøv at ringe til din lokale politistation og hør hvad de vil gøre ved det.
25. Oktober 2022 - ny musikalsk videolog - Mørkt og minimalt, 5-lags soundscape
-
Jeg er betatester for BABY Audio.
-
Jeg er betatester for BABY Audio.
- Kvaksalver
- Forum Donator
- Indlæg: 141
- Sted: 8000C
Hvis angrebene kommer fra USA, skal han vel have fundet ud af præcist hvor, og så have fat i den lokale county sheriff?Christoffer I. N. skrev:Prøv at ringe til din lokale politistation og hør hvad de vil gøre ved det.
LOL!!!mediumaevum skrev:Man må da kunne anmelde alle disse forsøg?
Alle kan "banke på din dør" .. men om de kommer ind er din egen hovedpine! Nu ved jeg ikke hvilken service (læs: port) der blev forsøgt adgang til, men jeg gætter umiddelbart på ftp! Konfigurer din server om til "Implicit FTP" og dyk ned i certificater hvis du er decideret paranoid .. men vigtigst af alt: brug et password som du aldrig har brugt andre steder nogensinde.
Alle verdens hackere skyder løs på samtlige ip-adresser - og at tro din ip er noget særligt, er spild af tid og paranoia. Det eneste hackere er ude efter er konti med kendte passwords, som kan bruges til at spamme med ..
Så altså - ta den med ro; sørg for at de services du har eksponeret mod nettet anvender de sikreste protokoller - og i særdeleshed med unikke passwords .. så skal det nok gå det hele! <3
edit: sendt pm ~
Rune Borup :: Producer / Sangskriver / Synth-hvisker @ FishCorp
- Søren Steinmetz
- Medlem
- Indlæg: 268
- Sted: Gislinge området
Det med at melde IP adressen...
Hvordan kan du være sikker på den person, som på et givet tidspunkt er tilknyttet adressen, nu også er den person som laver "drive by" port skanning ?
Det kan meget vel være hans maskine er blevet ramt af en trojaner, og hackeren/script kiddien bare benytter den som platform uden ejerens viden.
oh og ps: FTP er så 1970 at det bare bør slåes fra.
Det er lige så sikkert som at sende cpr + bank + nemID via et åbent postkort ophængt i det lokale supermarked.
(ingen kryptering, med mindre man bruger SFTP, men stadig dårligere end SSH/SCP )
Hvordan kan du være sikker på den person, som på et givet tidspunkt er tilknyttet adressen, nu også er den person som laver "drive by" port skanning ?
Det kan meget vel være hans maskine er blevet ramt af en trojaner, og hackeren/script kiddien bare benytter den som platform uden ejerens viden.
oh og ps: FTP er så 1970 at det bare bør slåes fra.
Det er lige så sikkert som at sende cpr + bank + nemID via et åbent postkort ophængt i det lokale supermarked.
(ingen kryptering, med mindre man bruger SFTP, men stadig dårligere end SSH/SCP )
- mediumaevum
- Medlem
- Indlæg: 3656
Jeg tror jeg er udsat for spoofing. Eller, det er de amerikanske IP-adresser nok også, som login-forsøgende udgav sig for at komme fra?
https://www.berlingske.dk/samfund/it-ek ... -og-deling
https://www.berlingske.dk/samfund/it-ek ... -og-deling
WTF? Dvs. nu kan vi alle sammen - helt almindelige danskere, anklages for at lave ulovligheder, endda hackingforsøg i det helt store, uden vi har været bare i NÆRHEDEN af det?
»Spoofing sker ved, at man sætter et stykke software op foran sin router, så det ser ud, som om man arbejder fra en anden IP-adresse, selv om man sidder med sin egen. Man faker med andre ord en IP-adresse for at kunne skjule sine handlinger,« siger Christian Hansen.
Han forklarer, at det kræver en del tekniske færdigheder at kunne udføre spoofing, men at det er ganske almindeligt blandt hackere. Ud fra sin faglige viden vil han mene, at spoofing kan være relevant i disse sager, hvis krænkelserne faktisk har fundet sted. Ifølge ham er det nemlig meget atypisk, at almindelige mennesker ulovligt deler filer i de størrelsesordner, som ses i stævningerne.
- mediumaevum
- Medlem
- Indlæg: 3656
Øhh... nej. Og heller ikke alle franskmænd, tyskere, kinesere, amerikanere (fortsæt selv listen).bryla skrev:Det er rigtigt. Alle danskere skal bare i fængsel!
I det hele taget bør man stoppe med at bruge IP-adresser som bevis for noget somhelst.
Jeg må indrømme at IP-spoofing er et helt nyt begreb for mig. Jeg troede ganske enkelt ikke at det kunne lade sig gøre.
Jeg troede, at alle IP-adresser blev tildelt på en central hos internetudbyderen, som derfra ledte dem videre ud i verden, og at der derfor ikke kan snydes med IP-adresser.
Jeg troede ydermere, at antallet af IP-adresser er begrænset (mange, men dog begrænset) og at det i sidste ende lå hos endnu større centraler at udbyde IP-adresser, f.eks. i USA eller andre steder. Og at danske internetudbydere såmænd bare "lejer" sig ind/køber sig adgang til en portion IP-adresser de kan give deres kunder.
det svarer til at have din webserver stående derhjemme.
der kommer en scanner, og den finder enheden, og den kan se at det er en NAS, så nu vil den se dine filer og evt. kopiere dem.
hvis du installerer www.malwarebytes.org så bliver alle indgående requests afvist af dens firewall.
der kommer en scanner, og den finder enheden, og den kan se at det er en NAS, så nu vil den se dine filer og evt. kopiere dem.
hvis du installerer www.malwarebytes.org så bliver alle indgående requests afvist af dens firewall.
- Søren Steinmetz
- Medlem
- Indlæg: 268
- Sted: Gislinge området
Malwarebytes er et klient program til Windows/OSX, ikke til servere og NAS som f.eks. Synology/QNap osv.
Omkring IP adresser, arbejder de fleste stadig med IP v4, det gode velkendte xxx.xxx.xxx.xxx adresse format, der er sammenlagt lidt over 4 milliarder adresser til deling for hele planeten.
Som med alt andet elektronisk, kan en IP adresse spoofes, hvis man ved hvordan.
Det mest udbredte er dog, at en computer bliver inficeret med en trojaner/bagdør, og derefter bliver benyttet af hackeren som "springpunkt" for evt. angreb videre ud. Ofte uden ejeren bag den inficerede maskine ved det.
Min undren er dog, hvorfor op's NAS var sat på nettet uden at sidde bag en router/firewall ?
Hvis den sidder internt på et net, bag en router, kan den ikke tilgås fra internettet med mindre man selv har åbnet for porte i routeren, f.eks. port 80 til web/http trafik eller (guderne forbyde det) port 20/21 til FTP eller andet.
Selv bruger jeg kun SCP (som kører via SSH protokollen) og på min firewall benyttes ikke standard porten 22 men en anden port, det holder i det mindste nysgerrige script kiddies væk.
Omkring IP adresser, arbejder de fleste stadig med IP v4, det gode velkendte xxx.xxx.xxx.xxx adresse format, der er sammenlagt lidt over 4 milliarder adresser til deling for hele planeten.
Som med alt andet elektronisk, kan en IP adresse spoofes, hvis man ved hvordan.
Det mest udbredte er dog, at en computer bliver inficeret med en trojaner/bagdør, og derefter bliver benyttet af hackeren som "springpunkt" for evt. angreb videre ud. Ofte uden ejeren bag den inficerede maskine ved det.
Min undren er dog, hvorfor op's NAS var sat på nettet uden at sidde bag en router/firewall ?
Hvis den sidder internt på et net, bag en router, kan den ikke tilgås fra internettet med mindre man selv har åbnet for porte i routeren, f.eks. port 80 til web/http trafik eller (guderne forbyde det) port 20/21 til FTP eller andet.
Selv bruger jeg kun SCP (som kører via SSH protokollen) og på min firewall benyttes ikke standard porten 22 men en anden port, det holder i det mindste nysgerrige script kiddies væk.
Jeg håber da godt nok at den er bag en router, og at routeren er bare lidt seriøs og opdateret med nyeste firmware mod evt huller.
Jeg har 3 NAS kørende herhjemme, og Synology er søde til at skrive en mail når der er en sikkerhedsrisiko både om det blot er en opdatering eller vejledning om andre tiltag. Jeg sover trygt om natten velvidende at min Firewall i routeren bliver prøvet med lidt af hver hver eneste dag, og mislykkede loginforsøg på NAS'en er helt almindeligt i dag.
Jeg har 3 NAS kørende herhjemme, og Synology er søde til at skrive en mail når der er en sikkerhedsrisiko både om det blot er en opdatering eller vejledning om andre tiltag. Jeg sover trygt om natten velvidende at min Firewall i routeren bliver prøvet med lidt af hver hver eneste dag, og mislykkede loginforsøg på NAS'en er helt almindeligt i dag.
"Knobs? Where we're going, we don't need knobs!" - 14 år med ørene i Lydmaskinen -
- mediumaevum
- Medlem
- Indlæg: 3656
Jeg har aldrig nogensinde sagt min NAS ikke sidder bag en router. Hvor har du det fra?Søren Steinmetz skrev: Min undren er dog, hvorfor op's NAS var sat på nettet uden at sidde bag en router/firewall ?
Selvfølgelig har jeg da en router, og med stærk adgangskode osv.
Jeg havde lavet indstillinger på NAS'en om at den skulle kunne tilgås fra nettet ved blot at skrive min IP-adresse. Men efter jeg opdagede at folk ville tilgå den, slog jeg indstillingerne fra, så den kun figurerer på lokalnetværket, hvilket betyder at jeg skal skrive lokalnetværkets IP (og ikke min offentlige IP) for at tilgå den - og jeg kan derfor kun tilgå den fra mit eget netværk, ikke når jeg er andre steder.Søren Steinmetz skrev: Hvis den sidder internt på et net, bag en router, kan den ikke tilgås fra internettet med mindre man selv har åbnet for porte i routeren, f.eks. port 80 til web/http trafik eller (guderne forbyde det) port 20/21 til FTP eller andet.
Selv bruger jeg kun SCP (som kører via SSH protokollen) og på min firewall benyttes ikke standard porten 22 men en anden port, det holder i det mindste nysgerrige script kiddies væk.
- Søren Steinmetz
- Medlem
- Indlæg: 268
- Sted: Gislinge området
Må være varmen, eller noget, fik fejlagtigt indtrykket af den måske sad på en åben linje my bad......
Uanset hvad man gør, vil man næsten altid opleve forsøg på hacking/uautoriseret adgang.
Der er flere måder at minimere det på, men ved en NAS er det mest effektive jeg har fundet, at lave en forward i routeren f.eks. fra x+postnr (f.eks. 26850) og internt forwarde den til den normale port på NAS'en (f.eks. 80 hvis http)
Det holder standard programmerne og nybegynderne på afstand.
De øvede hackere starter alligevel med at hacke din router så dem er det næsten umuligt at holde væk.
Jeg har så yderligere en server imellem, som kræver et bruger login via SSH (ikke på standard port), for at kunne få forbindelse til min NAS (på en anden ikke standard port)
Det har fjernet 99% af alle fremmede forsøg i min log.
Uanset hvad man gør, vil man næsten altid opleve forsøg på hacking/uautoriseret adgang.
Der er flere måder at minimere det på, men ved en NAS er det mest effektive jeg har fundet, at lave en forward i routeren f.eks. fra x+postnr (f.eks. 26850) og internt forwarde den til den normale port på NAS'en (f.eks. 80 hvis http)
Det holder standard programmerne og nybegynderne på afstand.
De øvede hackere starter alligevel med at hacke din router så dem er det næsten umuligt at holde væk.
Jeg har så yderligere en server imellem, som kræver et bruger login via SSH (ikke på standard port), for at kunne få forbindelse til min NAS (på en anden ikke standard port)
Det har fjernet 99% af alle fremmede forsøg i min log.
Det her er jo ikke min stærke side. Men hvordan kan man vide om man er “under angreb”? Min ellers forholdsvis nye NAS opfører sig meget underligt idag. Har haft svært ved overhovedet at komme i kontakt med den (den har blinket i LED’en og dermed indikeret at den er restartet) og nu hvor det er lykkedes virker den ekstremt langsom. Men jeg kan høre disken knokler og kan se på de små led’er ved netværkskablet at der foregår ting og sager ind og ud.... Nu har jeg revet internet stikket ud af routeren og begyndt at kopiere de mest uundværlige filer rundt omkring til andre drev og computere....
Men hvor ser jeg om der er forsøg på at få access til den??
Kh
Nicolai
Men hvor ser jeg om der er forsøg på at få access til den??
Kh
Nicolai
mediumaevum skrev:Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).
Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.
Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?
Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.
Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.
Hvordan kan den pludselig blive kendt?
Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
[size=85]Jupiter: 8, 6, 4, MKS-80, 8000
Juno: 60, 106, MKS-50
JX: 10, 8p, 3p, MKS-30
JD: 800, 990 Vintage
D: 50, 550
JV: 2080, 1080, 880, 80
SH: 1, 1000, 2000
V-synth, FantomG7
(OB-8, Moog Voyager, Prophet-600, Trident2, PolySix, MS-20m, NordLead2, Virus osv osv)[/size]
Juno: 60, 106, MKS-50
JX: 10, 8p, 3p, MKS-30
JD: 800, 990 Vintage
D: 50, 550
JV: 2080, 1080, 880, 80
SH: 1, 1000, 2000
V-synth, FantomG7
(OB-8, Moog Voyager, Prophet-600, Trident2, PolySix, MS-20m, NordLead2, Virus osv osv)[/size]
- mediumaevum
- Medlem
- Indlæg: 3656
Loggen på NAS'en viste uautoriserede forsøg på at få adgang, fra udenlandske IP-adresser.Nicolai skrev:Det her er jo ikke min stærke side. Men hvordan kan man vide om man er “under angreb”? Min ellers forholdsvis nye NAS opfører sig meget underligt idag. Har haft svært ved overhovedet at komme i kontakt med den (den har blinket i LED’en og dermed indikeret at den er restartet) og nu hvor det er lykkedes virker den ekstremt langsom. Men jeg kan høre disken knokler og kan se på de små led’er ved netværkskablet at der foregår ting og sager ind og ud.... Nu har jeg revet internet stikket ud af routeren og begyndt at kopiere de mest uundværlige filer rundt omkring til andre drev og computere....
Men hvor ser jeg om der er forsøg på at få access til den??
Kh
Nicolai
Løsningen var at koble den af internettet i NAS'ens indstillinger, så den kun kan tilgås på lokalnetværket. Jeg tror det er bedst at holde al online-diskplads hos professionelle virksomheder som dropbox o.lign. istedet for selv at give sig i kast med det.
Jeg kunne godt få den koblet på nettet, men jeg tør ikke for jeg har ikke nok forstand på det sikkerhedsmæssige i det. Og tør ikke løbe nogen risiko.
Der er 4294967296 IP-adresser i alt (hvoraf ikke alle dog kan bruges) til cirka 7720000000 mennesker. Det er cirka én IP-adresse til hver anden person på jorden. Med andre ord, så er der rift om dem, og der er meget få ledige adresser tilbage.
Så hvis man snupper en tilfældig IP adresse, så er chancen for at få en fisk på krogen altså stor!
Så mit gæt er at det slet ikke er mennesker der sidder og prøver at logge ind på din NAS, men bare robotter (scripts) der er sat op til at prøve tilfældige adresser med tilfældige brugernavne og passwords, og så håbe på at der er "bid". Derfor er det en dårlig idé at bruge et password som "1234" eller "password".
Det sker sansynligvis for alle her på lydmaskinen, din nabo, din hunds dyrlæge, hans venner, og deres families venners omgangskreds. Er man på nettet, så får man besøg! Så husk at låse døren.
Så hvis man snupper en tilfældig IP adresse, så er chancen for at få en fisk på krogen altså stor!
Så mit gæt er at det slet ikke er mennesker der sidder og prøver at logge ind på din NAS, men bare robotter (scripts) der er sat op til at prøve tilfældige adresser med tilfældige brugernavne og passwords, og så håbe på at der er "bid". Derfor er det en dårlig idé at bruge et password som "1234" eller "password".
Det sker sansynligvis for alle her på lydmaskinen, din nabo, din hunds dyrlæge, hans venner, og deres families venners omgangskreds. Er man på nettet, så får man besøg! Så husk at låse døren.
Jeg laver også gratis plugins: www.robotplanet.dk/audio_plugins
Derfor er det også en dårlig idé at bruge standard kontoen "admin" på din server. Så har du allerede givet halvdelen af informationen til hackeren for at kunne komme ind på din maskine.Joachip skrev:Derfor er det en dårlig idé at bruge et password som "1234" eller "password".
ingen har videregivet din ip adresse, nødvendigvis.mediumaevum skrev:Jeg har en netværksserver stående, som indtil for få minutter siden var tilkoblet internettet. Jeg lagde mærke til, at der var konstant aktivitet på den, så jeg tjekkede min log og fandt ud af flere forsøg fra ukendte IP-adresser på at logge ind (mislykkedes).
Der var konstant nogen som forsøgte at logge ind. Hele tiden, indtil jeg ændrede indstillingerne og fik den af internettet.
Spørgsmålet melder sig nu: Hvem fanden har vidergivet min IP-adresse (statisk)?
Jeg troede at de hjemmesider jeg besøgte - ordentlige som de end er (DR.dk, TV2.dk, Lydmaskinen.dk osv. osv.) var ordentlige og ikke vidergav besøgendes IP.
Jeg har heller aldrig nogensinde offentliggjort min IP for nogen somhelst, nogensinde.
Hvordan kan den pludselig blive kendt?
Disclaimer: Jeg anklager ikke nogen, det er bare et undrende spørgsmål om hvordan en IP generelt kan blive kendt, uden man bruger den til andet end privat hjemmebrug.
der kører robotter rundt på nettet, ligesom crawlere fra søgemaskiner
nogle af dem leder efter hjemmesider som er hostet i dit hjem
andre leder efter din NAS
og så finder de ud af hvad du har på dit netværk, og scanner løs for at få info om din windows.
og nu ved den så hvad din nas hedder, NETBIOS navnet, og ip adressen internt.
og så forsøger de bare at kopiere det hele, for at sælge hvad der kan sælges.. (hjemmelavet porno, kreditkort osv)
jeg bruger kun min nas til backup, og den er kun tændt når jeg tager backup.
ergo bliver jeg aldrig angrebet, fordi robotterne finder ud af, at jeg ingenting har
desuden kan de slet ikke komme ind,da jeg har malwarebytes. den fungerer som firewall der beskytter alle programmer.
hvis nogen siger en besked til et program, kommer der en popup hvem der siger ævl, og min computer svarer ikke tilbage. (malwarebytes får min computer til andrig at svare på noget)
så kan der komme den ene tossede robot efter den ande, de får ikke noget ud af det!
- SustainerPlayer
- Medlem
- Indlæg: 12411
- Sted: På kanten
Det den bedste slags. Fra den gamle fabrik ...SIDwave skrev: ... hjemmelavet porno ...