attaque sur mon nas ?

M

manou1988

Nouveau membre
27 Février 2023
18
2
3
Bonjour tout le monde et meilleurs voeux pour 2024,
Je reviens vers vous aujourd'hui avec un peu de stress ,
Hier en voulant changer quelque données dans mon plex je suis passé en ssh (jusqu'alors toujours désactivé) à 9h du matin, j'ai bidouillé mon bazard et après avoir fini j'ai zapper de désactiver le ssh.
Le soir à 18h je veux télecharer un petit log en utilisant jdownloader et là surprise il ne répond plus.
Je me connecte donc à mon compte my jdownloader et je me rend compte que certaines valeurs ont étaient modifiés comme
le nom utilisateur le mdp et le nom de mon nas qui se retrouve nommé http:/ nom d'un site .ovh
et en plus que 1TB de fichiers (d'environs 500mo) chacun ont étaient téléchargé à mon insu sur mon nas (que des fichiers en .bin).
J'ai tout de suite désactivé le ssh , supprimé tout les fichiers et supprimer le containeur jdownloader.
Ce matin pas de mouvement apparent sur mon nas , j'ai donc retenter une installation propre de jdownloader mais cela ne fonctionne plus :.(
Je ne sais pas trop ce que cela peut etre ... une attaque ? De quelle genre peut il s’agir à m'envoyer autant de données ? et que dois-je faire ?
Merci de votre aide c'est un peu la panique du coup
Je suis sous omv6
 
Hello,

C'est effectivement très étrange.
Le première chose, es-tu sûr que les fichiers ne sont pas de fichier de travail de jdownloader ?
Si ton NAS est exposé, est-ce que c'est les ports par défaut ? J'imagine que tu n'as pas ouvert le port SSH 22 sur ta box ou routeur.
Tu utilises bien des mots de passe fort ?

Après les attaques Brute-Force, il y en a tous les jours. Je suis surpris qu'ils se soient intéressés à jdownloader... au moment même où tu as activé le SSH.
 
salut,

Merci de ta réponse, mon nas et sous le dmz de ma box donc j'imagine que logiquement ouvert ... ensuite pourquoi pas des fichiers de travail mais 1TB !!! ca me parait enorme !!! ils etaient tous sous la meme forme une suite de chiffre (environ 15) et en .bin
mes mdp ont bien une majuscule, chiffre et caractère spéciaux (du coup je les ai changés)
Il c'est passé une dizaine d'hueres avant que je m'en rende compte mais vu l'ampleur des fichiers téléchargés ca a du se passer quelques minutes après avoir activer le ssh ...

Bref je ne sais pas trop quoi faire..; Il y a t-il un antivirus efficace sous omv ? sur mon pc je suis sous kaspersky
 
Dans l'attente de voir plus clair, bloque tous les accès externe au niveau du firewall d'OMV. Par défaut il laisse tout passer.

Ajoute les règles suivantes pour tout bloquer en entrée sauf ce qui vient du LAN :

Je prends comme hypothèse que ton LAN est en 192.168.1.x (surtout met bien la règle pour le port 80 sur ton LAN, sinon tu vas te retrouver bloquer sans accès à l'interface).
J'ouvre les ports nécessaires (HHTP, FTP, SSH, DNS si PiHole ou équivalent) pour accéder depuis ton LAN et tout le reste est bloqué.

Code: 
INPUT ACCEPT ALL -m conntrack --ctstate ESTABLISHED,RELATED (Tout ce qui est déjà établie ou référant)
INPUT ACCEPT ALL -i lo (Loppback In)
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.x:ICMP (Ping In)
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.x:21:TCP (FTP In)
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.x:22:TCP (SSH ou SFTP In)
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.xxx:53:TCP (DNS In) # optionnel
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.xxx:53:UDP (DNS In) # optionnel
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.x:80:TCP (HHTP In)
INPUT ACCEPT 192.168.1.0/24 ALL ALL:137,138:UDP (SMB/CIFS)
INPUT ACCEPT 192.168.1.0/24 ALL 192.168.1.x:139,445:TCP (SMB/CIFS)
INPUT DROP ALL

Pour les anti virus, il y a ClamAV sur OMV, mais pas vraiment utile dans ton cas.
 
manou1988 a dit:
1TB !!! ca me parait enorme !!! ils etaient tous sous la meme forme une suite de chiffre (environ 15) et en .bin
Cliquez pour agrandir...
Quand tu parles de fichiers téléchargé sur ton nas tu veux dire quoi ?
Qu’ils ont été récupérés donc copiés depuis ton nas vers ailleurs ? Ou bien envoyés d’ailleurs vers ton nas.

Si c’est la deuxième options il se peut que ce soit juste les fichiers de jdownloader comme le dit @FX Cachem
Mais ça peut aussi être tes fichiers qui ont étés chiffrés par un ransomware.

Dans tous les cas c’est vraiment une bien mauvaise idée de mettre un nas en dmz d’une box !!
 
mon nas et sous le dmz de ma box donc j'imagine que logiquement ouvert
Cliquez pour agrandir...
Ne jamais faire ça !!!

As-tu vérifé que tes données ne sont pas touchées par un ransomware ? Car les .bin pourraient être tes données
 
  • J'aime
Réactions: FX Cachem
Ce sont des fichiers qui viennent d'ailleur vers mon nas
je vous rassure ce nas ne me sert que pour stockage vidéos ... j'en ai un autre dédié à mes archives qui lui est bien au chaud derrière des règles bien définies.
J'ai bien verifié et tout est present sur mon nas , dans tout les cas j'ai effacé les fichiers .bin et il y en avait 995 et je n'ai pas autant de fichiers que ca sur mon nas ... le plus étrange c'est que tout ses fichiers étaient dans mon dossier download et qu'il viennent bien de jdownloader ...
Je ne comprend vraiment pas , et le plus étrange c'est le changement de nom d'utilisateur et mdp dans jdownloader
Limite j'ai l'impression que j'ai télécharger sans le vouloir les dossiers d'un autre contenu sur un site en .ovh, mais je ne vois pas comment
 
Un NAS sous DMZ, même s'il ne contient pas de données critiques pour toi, peut être une porte d'entrée pour tout ton réseau local.
Ce n'est donc vraiment pas une bonne idée de faire cela.
Jdownloader devait être accessible à tout le monde et qqun est parvenu à en prendre le contrôle pour uploader ces fichiers .bin
Peux-tu donner une capture d'écran du site .ovh (afin que les robots ne le référence pas) mais qu'on puisse regarder ce qu'il y a derrière ? Ce ne sont pas tes données ?
 
Je te suggère de regarder l'historique des connexions ssh (last -10 te donne les 10 dernières connexions). Tu peux aussi regarder l'historique des commandes shell (history). Enfin, je te conseille vivement de lire le post sur les bonnes pratiques de sécurité, et de mettre en place un système de détection d'intrusion (regarde crowdsec).
 
J'avais pas pensé à ca , j'ai fais au plus simple en me disant qu'au pire c’était pas grave de perdre quelques videos ...
Je vais essayé de voir si je retrouve le site ovh mais étant donné que j'ai tout dégagé vite fait dès que j'ai vu ca ...
Message automatiquement fusionné :

Eirikr70 a dit:
Je te suggère de regarder l'historique des connexions ssh (last -10 te donne les 10 dernières connexions). Tu peux aussi regarder l'historique des commandes shell (history). Enfin, je te conseille vivement de lire le post sur les bonnes pratiques de sécurité, et de mettre en place un système de détection d'intrusion (regarde crowdsec).
Cliquez pour agrandir...
Il va me falloir un petit cours là dessus j'ai l'impression , autant sous synology c'est assez simple à mettre en place autant sur omv je pense que je vais m'amuser ...
Message automatiquement fusionné :

pierre liths a dit:
Un NAS sous DMZ, même s'il ne contient pas de données critiques pour toi, peut être une porte d'entrée pour tout ton réseau local.
Ce n'est donc vraiment pas une bonne idée de faire cela.
Jdownloader devait être accessible à tout le monde et qqun est parvenu à en prendre le contrôle pour uploader ces fichiers .bin
Peux-tu donner une capture d'écran du site .ovh (afin que les robots ne le référence pas) mais qu'on puisse regarder ce qu'il y a derrière ? Ce ne sont pas tes données ?
Cliquez pour agrandir...
Je ne pense vraiment pas que ce soit mes données car tout les téléchargement étaient referencé dans jdownloader
 
manou1988 a dit:
Il va me falloir un petit cours là dessus j'ai l'impression , autant sous synology c'est assez simple à mettre en place autant sur omv je pense que je vais m'amuser ...
Cliquez pour agrandir...
Je ne connais pas OMV : je suis sur Debian. Mais comme OMV est basé sur Debian, je suppose que ça doit se faire aussi facilement.
Et que disent tes recherches sur les récentes connexions ssh et l'historique des ordres shell ?
Message automatiquement fusionné :

@FX Cachem Ne serait-il pas pertinent de déplacer ce post sous la rubrique Sécurité ? Chacun ses lubies ; pour ma part je suis assez sensible à ce que chaque personne qui expose des services sur le Big Bad Web soit suffisamment sensibilisée à la sécurité. Et plus les utilisateurs verront les problématiques consécutives aux attaques, plus ils seront susceptibles de prendre en main leur sécurité, en ayant également en tête qu'un serveur mal sécurisé est non seulement un risque pour celui qui l'exploite mais aussi une arme entre les mains des attaquants.
Edit : typo.
 
Bonjour, plusieurs questions :
Le nom d'utilisateur est créé au niveau de JDownloader ou de OMV ?

Je ne connais pas bien OMV, il y a un historique des connexions afin de voir si l'utilisateur c'est connecter ?.

Regarde a l'aide des commandes partagées précédemment ce qui c'est passé sur ton NAS.
Eirikr70 a dit:
Je te suggère de regarder l'historique des connexions ssh (last -10 te donne les 10 dernières connexions). Tu peux aussi regarder l'historique des commandes shell (history).
Cliquez pour agrandir...


Ensuite il se peut que cela soit une attaque par brute force qui était déjà en cours sur ton NAS mais que le mot de passe ai été trouvé à ce moment là, ou tu étais déjà infecté mais que l'activation du ssh à envoyer un message au groupe derrière l'attaque.

En tout cas le fait qu'un utilisateur a été créé signifie qu'une personne a eu un accès root à ton NAS.
Il est donc compromis.


Les fichiers bin peuvent être un logiciel malveillant qui a été installé sur ton NAS.
pas forcément un ransomware mais plutôt un botnet qui utilisera ton NAS pour faire d'autres attaques .


A ta place je ferai une sauvegarde des fichiers importants ( en vérifiant qu'il n'y a pas de fichiers indésirables) et je ferai une réinstallation complète du serveur et des services avec des utilisateurs \ mots de passe différents.

Surtout si tu utilise ces identifiant et mot de passe ailleurs change les de suite.
 
ok je vais partir la dessus , j'ai des groupe de DD different , un pour le systeme , un pour les download et un pour mes fivhiers videos , si je reinstalle est ce que je peut concerver les videos ou il seront forcement formatés ?
 
Cette infographie indique le temps estimé début 2023 pour trouver un mot de passe par brute force en fonction de ces caractéristiques si le hackeur utilise un seul PC

1704742700419.png

Maintenant il faut se dire que l'attaquant utilise peut être des PC déjà infecté pour attaquer d'autres PC ( parfoisdes centainesdepc ou des milliers), les fichiers. Bin peuvent être par exemple ve que l'on appelle dans le Jargon un "dictionnaire" ( fichiers contenant une base de données de mot de passe courant comme par exemple motdepasse, mot2passe et toute les variantes possibles ....)

manou1988 a dit:
ok je vais partir la dessus , j'ai des groupe de DD different , un pour le systeme , un pour les download et un pour mes fivhiers videos , si je reinstalle est ce que je peut concerver les videos ou il seront forcement formatés ?
Cliquez pour agrandir...
Je ferai une sauvegarde de tout et une réinstallation complète en formatant tous les disques.


Mais de mon côté je suis plutôt du genre à tout réinstaller régulièrement.
 
j'ai regardé mes historiques et j'ai des centaines de connexions qui ont étaient ban en ssh , parcontre je ne sais pas avant le fait que j'ai coupé si d'autre sont passées ... de toute facon la finalité est la meme je degage tout et recommence une installation propre avec des bonnes regles de parfeu
 
Les connexions bannies en ssh ont démarré quand tu as oublié ton ssh ouvert ou avant ? Dans le second cas, as-tu une idée de comment ç'a pu se produire ?
Message automatiquement fusionné :

Si tu réinstalles, j'insiste un peu lourdement mais lis le post sur les bonnes pratiques de sécurité
Message automatiquement fusionné :

Par ailleurs, en regardant l'historique des commandes shell, tu peux éventuellement te faire une idée de jusqu'où ton système est compromis : les commandes passées se limitent-elles au NAS considéré ou se promènent-elles sur tout ton réseau local ?
 
Neo974 a dit:
Cette infographie indique le temps estimé début 2023 pour trouver un mot de passe par brute force en fonction de ces caractéristiques si le hackeur utilise un seul PC

Voir la pièce jointe 10962

Maintenant il faut se dire que l'attaquant utilise peut être des PC déjà infecté pour attaquer d'autres PC ( parfoisdes centainesdepc ou des milliers), les fichiers. Bin peuvent être par exemple ve que l'on appelle dans le Jargon un "dictionnaire" ( fichiers contenant une base de données de mot de passe courant comme par exemple motdepasse, mot2passe et toute les variantes possibles ....)


Je ferai une sauvegarde de tout et une réinstallation complète en formatant tous les disques.


Mais de mon côté je suis plutôt du genre à tout réinstaller régulièrement.
Cliquez pour agrandir...

Salut Neo,

Je pense que le petit graphique, c'est dans le cas d'une fuite de données avec récupération du hash MD5 (par défaut et n'est plus conseillé car assez 'facile' à casser) du mot de passe, sinon c'est beaucoup plus long et souvent bloqué par des mécanismes de bannissement temporaire après x essais infructueux.
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas