J'ai Été Attaqué ?

[pipovip]

Bonjour à tous,

Avant hier, je m'essayais à partagé des fichiers depuis mon NAS vers chez un ami (création d'un lien de téléchargement) ; ce dernier me disant ne pas y parvenir car le fichier concerné parvenais incomplet et apparemment non utilisable.

 

J'ai un peu tâtonné et je me suis dis peut être que j'ai oublié d'activer quelque chose ... j'ai été donc dans "paramètres système", "journaux du système", puis onglet "journaux de connexion au système" et là je vois un "lancer la connexion" ; donc je l'ai activer.

 

Le lendemain, en me connectant à l'interface QTS, je vois 10+ (26 notifications) qui m'alerte sur le fait que différentes IP sources ont tenter des connexion en SSH avec un résultat : login fail :

 

"Number","Type","Date","Time","Users","Source IP","Computer name","Connection type","Accessd resources","Action"
"27","Information","2015-02-12","10:07:52","admin","192.168.0.16","---","HTTP","Administration","Login OK"
"26","Warning","2015-02-12","09:56:15","root","218.65.30.73","---","SSH","---","Login Fail"
"25","Warning","2015-02-12","09:31:35","root","103.41.124.49","---","SSH","---","Login Fail"
"24","Warning","2015-02-12","09:26:14","root","58.218.213.249","---","SSH","---","Login Fail"
"23","Warning","2015-02-12","08:32:13","root","103.41.124.40","---","SSH","---","Login Fail"
"22","Warning","2015-02-12","07:34:38","root","103.41.124.15","---","SSH","---","Login Fail"
"21","Warning","2015-02-12","07:34:23","root","103.41.124.101","---","SSH","---","Login Fail"
"20","Warning","2015-02-12","06:27:27","root","103.41.124.24","---","SSH","---","Login Fail"
"19","Warning","2015-02-12","06:18:15","root","200.29.189.220","---","SSH","---","Login Fail"
"18","Warning","2015-02-12","05:39:19","root","115.231.222.60","---","SSH","---","Login Fail"
"17","Warning","2015-02-12","05:27:08","root","103.41.124.25","---","SSH","---","Login Fail"
"16","Warning","2015-02-12","04:39:00","root","182.100.67.112","---","SSH","---","Login Fail"
"15","Warning","2015-02-12","04:30:29","root","103.41.124.40","---","SSH","---","Login Fail"
"14","Warning","2015-02-12","04:08:41","root","103.41.124.40","---","SSH","---","Login Fail"
"13","Warning","2015-02-12","04:02:59","root","103.41.124.50","---","SSH","---","Login Fail"
"12","Warning","2015-02-12","03:21:50","root","103.41.124.32","---","SSH","---","Login Fail"
"11","Warning","2015-02-12","02:23:32","root","103.41.124.22","---","SSH","---","Login Fail"
"10","Warning","2015-02-12","01:24:32","root","103.41.124.32","---","SSH","---","Login Fail"
"9","Warning","2015-02-12","00:26:06","root","103.41.124.51","---","SSH","---","Login Fail"
"8","Warning","2015-02-11","23:52:44","root","222.161.4.147","---","SSH","---","Login Fail"
"7","Warning","2015-02-11","23:28:02","root","103.41.124.26","---","SSH","---","Login Fail"
"6","Warning","2015-02-11","22:29:39","root","103.41.124.15","---","SSH","---","Login Fail"
"5","Warning","2015-02-11","21:31:33","root","103.41.124.29","---","SSH","---","Login Fail"
"4","Warning","2015-02-11","21:12:25","root","222.161.4.148","---","SSH","---","Login Fail"
"3","Warning","2015-02-11","20:33:25","root","103.41.124.16","---","SSH","---","Login Fail"
"2","Warning","2015-02-11","19:34:52","root","103.41.124.55","---","SSH","---","Login Fail"
"1","Warning","2015-02-11","18:34:43","root","103.41.124.30","---","SSH","---","Login Fail"
 

 

Je recopie donc certaines IP concernés sur google, et là je tombe sur des sites de type : blocklist.de / anti-hacker-alliance.com, etc. et visiblement des provenances de Chine ... (mon ami est n'est pas en Chine ..., mais à Paris).

 

Ai je fais quelque chose qu'il ne fallait pas ?

Dois je m'inquiéter ? En tout cas, je me suis empressé d'interrompre la connexion "journaux de connexion au système" au cas où !

 

Merci.

[father_mande]

Bonjour,

 

Le journal n'y est pour rien ... 

 

En premier changez votre port ssh il doit être resté à 22 ... hors les "scanner" réseau le cible et cible en général tout ce qui est sous 1024 sauf car généralement "ouvert" les ports 80 et 443

Changer le port 8080 de l'admin qui lui aussi est trop connu ...

essayez une valeur ex. 2222 ... qui peut être entre 1024 et 65000 ... il faudra bien sur changer ce port lors de vos propres connexion en ssh ... sur le client.

 

Pour l'instant aucun risque puis qu’aucun n'a réussi a trouver votre mot de passe ... essayez d'en gardez un "fort" mélange de maj. minus. lettre et chiffre + un ou des symboles ...

... surtout pas de prénom, date de naissance, etc.

 

Vous pouvez aussi (menu sécurité) ajouter une règle de rejet de l'adresse I.P. au bout de n tentatives infructueuses ... ils ne pourront de ce fait essayer tout le dictionnaire ...

 

Philippe.

[pipovip]

Merci pour votre réponse.

Donc, il s'agit bien d'une attaque ?

 

Journal ou pas journal, je suis désolé, mais c'est seulement et uniquement lorsque j'ai activé "lancer la connexion" dans "journaux de connexion au système" que j'ai eu ces soucis dans les minutes qui ont suivis ... ce n'était jamais arrivé avant, et depuis que j'ai fais "interrompre la connexion" plus aucun problème ...

 

En fait, j'avais activé cette fonction car je pensais que c’était pour cette raison que mon ami ne parvenais pas à téléchargé correctement mon fichier (video).

D'autre part, je cherchais aussi en réalité à savoir où se trouve le menu permettant de voir si un utilisateur c'était déjà connecté pour téléchargé un fichier et savoir quel fichier il avait réussi à téléchargé ; clairement, un journal des connexions faisant apparaitre qui/quand/quoi a téléchargé ; savez vous où cela se trouve ?

[father_mande]

Bonjour,

 

En fait le QNAP (sauf programmation des alertes via mail ou sms) ... ne dit rien ... puisqu'il a rejeté les demandes ... qui n'ont pu entrer ...

Si vous aviez limité  le nombre de tentatives via le menu sécurité ... vous auriez eu un alerte ... dans le journal général ...

Par contre le log actif de connexion trace tout, les tentatives heureuses comme celles refusées ...

 

Dans la trace des connexions ... en demandant le protocole utilisé, vous aurez un suivi des demandes ... y compris des accès ou téléchargement de fichier ... ce log ne trace pas QUE les problèmes ...

 

Le log n'est pas dans un format "lisible" tel que il y a un outil pour le lire ou mettre vos propres messages ... mais c'est en ligne de commande et pas facile a maîtriser ...

log_tool pour le journal général, conn_log_tool pour le journal des connexions ... mais celui-ci DOIT bien sur être activé

 

Philippe.

[pipovip]

Bonjour,

Désolé, j'ai pas bien compris ...

 

1) le fait de "lancer la connexion" dans "journaux de connexion au système" ; peut me faire exposé à des attaques extérieur ?

Et le seul moyen de contrer ces attaques, serait de limité les tentatives de connexions dans "sécurité" ?

J'étais très loin d'imaginer que le simple fait de "lancer la connexion" dans "journaux de connexion au système" allais me faire exposé à des attaques ...

D'ailleurs, à quoi ça sert mis à part à s'exposer à des tentatives d'intrusions extérieurs ?

 

2) Il n'y a pas d'interface classique et/ou d'appli QNAP pour voir : Qui/Quand/Quoi a téléchargé ?

Pourtant, cela me semble être la moindre des choses de pouvoir suivre/surveiller ce qu'il advient des liens de téléchargement que l'on a généré.

 

Merci.

[father_mande]

Bonjour,

 

là j'ai du mal m'exprimer ...

 

1 le log des connexions n'est qu'un log, il n'ouvre ni ne ferme quoi que ce soit ... il lit le journal (quand il est actif (le journal) et c'est tout

... la sécurité n'a rien à voir ... à part quelle permet d'invalider une I.P. si cet I.P. échoue n fois a se connecter ... cela annule les effets de tout scanner ou introduction en force brute ...

 

2 Le log des connexions EST le log des utilisations de vos ressources en réseau ... dans options vous choisissez quoi regarder ... dont les téléchargements ...

 

TOUT ceci est vrai si l'application log ses informations dans ce log ... si une application a son propre log privé ... ce sera là qu'il faudra regarder ...

 

Philippe.

[pipovip]

Bonjour à tous,

je reviens sur mon sujet après quelques jours d'observations ; et je ne sais pour quelle raison mais je constate que les "intrusions" se poursuivent ...

 

 

 

 

J'ai suivi le conseil de @father_mande de faire en sorte que l'IP qui tente à plusieurs reprises de se connecté soit bannie ; c'est effectivement une solution d'appoint, mais je n'explique pas que je sois la "cible" de nos amis chinois pour la plupart des intrusions (certaines viennent aussi d'Ukraine et USA).

Alors, vu que nos amis chinois sont un peu plus d'1 milliard, je suis pas sorti de l'auberge avec ses tentatives d'intrusions quasi quotidienne !

 

Je n'ai pourtant aucun lien de près ou de loin avec la Chine ; et le contenu de mon NAS n'a vraiment rien d'intéressant (quelques films et surtout des photo/videos de famille) ; c'est juste un NAS de Mr tout le monde.

 

J'ai aussi remarqué que parfois les tentatives proviennent d'IP qui ont la même "racine" et que seule la terminaison change, ce qui présage des milliers de possibilités ...

 

Avez vous, ces même type de tentatives d’intrusions ? pourquoi mon NAS serait il devenu une cible ? J'avoue que j'étais loin d'imaginer que mon NAS interesserait autant de monde ...

 

Y a t il une possibilité de stopper définitivement ce phénomène ?

Ou, peut être j'ai mal configuré quelque chose sur mon NAS et que de ce fait il soit devenu vulnérable ?

 

Merci.

[father_mande]

Bonjour,

 

1 comme indiqué précédemment changer les ports sauf ceux absolument nécessaire (changez les 2 ports Web Admin 8080 et 443) et ne gardez ouvert que le port SSL du Web Apache ( et le port 80) si vous êtes "ouvert" sur Internet

... ne gardez pas telnet ouvert, changer ftp et ssh tous au dessus de 1024 comme valeur (hors des plages de scan classique)

2 vérifiez TOUS vos ports ouverts (sur la box) et ne laisser QUE le minimum et en SSL ... cela ne vous gênera pas ... mais organisera le filtrage au niveau de votre Box

... ATTENTION il y a 2 mode de redirection des ports le manuel et via Upnp IGD par l"application ou part MyQnapCloud

3 vérifiez votre box que les filtres SPI, etc. sont bien actifs (validés)

 

Là vous êtes "tombé" (certainement par hasard ... sauf si vous êtes "connu" professionnellement ou personnellement ) sur des bootnet ... des genres de malware qui s'installe sur des machines utilisateurs et dont le seul rôle et de trouver des ports (connus) ouverts ... si c'est le cas c'est envoyé avec votre I.P. au "central" qui peut tenter une intrusion ou de vous coller le même malware pour attaquer d'autres machines plus intéressantes ... banque, site de vente, etc. etc.

 

Si les ports restent fermés (ou changé) un certain temps ... ou refus systématique ... cela va s'arrêter ... car au bout de n tentatives veines ... le bootnet passe à une autre adresse ...

A priori, vous deviez avoir quelque chose d'ouvert sur lequel tenter (pas gagner) d'aller plus loin chez vous ... donc les bootnet se repassent l'I.P. pour augmenter leurs chances de trouver un trou ...

 

Donc, sauf exception plus haut, ne vous sentez pas visé ... c'est à 99% du au hasard.

 

Philippe.

[GlaceNot]

Bonjour

 

Pour attaquer il faut les voirs ces ports...

 

Avez-vous testé les ports de votre routeur avec un outil comme par exemple; https://www.grc.com/x/ne.dll?bh0bkyd2

 

Faites le test et si vous avez des ports marqués en bleu cela signifie qu'ils sont bloqués mais visible depuis le réseau étendu, donc vulnérables.

 

J'ai déjà eu un router dont les ports étaient supposément invisibles et qui ne l'était pas dans les faits, donnant ainsi libre cours à des attaques. J'ai dû descendre en version logicielle sur le routeur afin de régler temporairement le problème puisque la dernière mise à jour ouvrait cette faille...

[JCCHAP]

Bonjour,

Votre Box est-elle bien paramétrée ?

Pas de DMZ validé !

 

JC Chap