Intrusion

Z

zoul59

Nouveau membre
10 Mars 2021
4
0
1
Bonjour,
Depuis environ 2 semaines mon NAS QNAP subit des tentatives d'intrusion.

Cela a commencé par des tentatives de connexion sur le compte admin (compte désactivé chez moi).
Toutes les IP sont situées en France.
Qfirewall est activé avec blocage de toutes les IP hors France.

Maintenant depuis 2 jours, j'ai de nouvelles tentatives de connexion mais avec des comptes autre que admin (olive, jeanna, lyne, henriette ...)
Les IP sont toujours situées en France.

Pour quelques unes que j'ai analysé les IP sont associées à des NAP QNAP qui sont ouverts sur l'extérieur avec le port par défaut 8080.
Certains sont même accessible avec mot de passe par défaut admin/admin !

Comment se prémunir de ce genre d'attaque?

1698741273461.png

1698741445778.png
 
INFORMATION PRIVEE a dit:
Pour quelques unes que j'ai analysé les IP sont associées à des NAP QNAP qui sont ouverts sur l'extérieur avec le port par défaut 8080.
Cliquez pour agrandir...
Des NAS zombie donc :(

INFORMATION PRIVEE a dit:
Comment se prémunir de ce genre d'attaque?
Cliquez pour agrandir...
Malheuresement, du moment que ton NAS est exposé, il n'y a pas de miracle. Il faut suivre les bonnes pratiques de sécurité, et il n'y a rien de plus a faire.

[Topic Unique] NAS - Les bonnes pratiques de sécurité !

NAS - Les bonnes pratiques de sécurité ! CECI EST UNE ÉBAUCHE Les cyberattaques sont de plus en plus fréquentes et c'est même presque devenu "classique". C'est pour cela qu'il est important de bien configurer son NAS, afin de s'en prévenir. Bien sûr, ce guide n'a pas vocation à être une bible...
www.forum-nas.fr www.forum-nas.fr

Si tu n'utilise pas le compte admin par défaut, et que tu utilise un pseudo avec un mot de passe fort, il n'arriverons pas a rentrer. Tu peux y rajouter le 2FA aussi.

Sinon il faut limiter l'exposition, par exemple, avec un acces externe uniquement depuis un VPN

Qnap - [Tuto] Comment configurer un serveur WireGuard sur son NAS QNAP ( QVPN )

Comment configurer un serveur WireGuard sur son NAS QNAP ( QVPN ) 🚧 CECI EST UNE ÉBAUCHE EN COURS DE RÉDACTION BASÉE EN PARTIE SUR LA FAQ DE QNAP 🚧 Pourquoi ce tutoriel ? :giggle: Ce tuto va vous permettre ( je l'espère ) d'apprendre a configurer un serveur WireGuard sur votre NAS QNAP, et a...
www.forum-nas.fr www.forum-nas.fr
 
Dernière édition:
  • J'aime
Réactions: Horax
Salut, il est parfaitement normal d'être l'objet d'attaques incessantes. Une fois que tu le sais, et que tu sais que nous le sommes tous, ça va déjà un peu mieux. Mais seulement un peu ...
Je ne connais pas les NAS propriétaires, j'ai construit le mien de bric et de broc, mais je suppose que tout NAS doit permettre les choses suivantes (si ça n'est pas dans la configuration de base) :
  • garder son système et ses applications en permanence à jour,
  • rendre inutilisable d'une manière ou d'une autre le compte par défaut,
  • réorienter ses flux vers un port différent de celui par défaut,
  • mettre en place un proxy inversé (ex. : nginx),
  • mettre en place un système de détection d'intrusion (de préférence Crowdsec, sinon Fail2ban) qui vont détecter les échecs répétitifs de connexions et interdire l'accès à leurs IP.
Il faut garder en tête qu'un système exposé au Big Bad Web est au milieu de la jungle, et qu'il vaut mieux lui fournir quelques armes pour survivre aux attaques. Et aussi que les armes des attaquants évoluent toujours, et qu'il faut donc en permanence s'occuper de mettre à jour ses propres armes. Ceux qui ne se sentent pas à même de le faire devraient limiter leur système à un usage interne à leur réseau local, pour éviter de devenir eux-mêmes des armes pour les attaquants.
 
  • J'aime
Réactions: macshane et Horax
Bonjour,
Pour protéger ton NAS, tu devrais mettre un Reverse Proxy ce qui empêcherai au hacker qui envoie des commandes "GET" de ,e pas obtenir la signature de ton fabricant du NAS ce qui déclenche d'autre attaque derrière.

Ensuite un blocage après X tentatives est un minimum syndicale.
Et enfin blacklist les Pays si tu peux
 
Salut à tous.

Je réponds à ce post parce que j'ai un problème assez proche depuis plusieurs semaines également, mais si vous me dites que c'est plus simple de créer un nouveau sujet je le ferai.

Je m'explique : j'utilise un QNAP TS-253 qui subit parfois des "vagues" de tentatives de connexion, la dernière cette nuit avec 11 tentatives :

Sans titre.jpg

Les différences par rapport au problème de zoul59 sont principalement les suivantes : les "attaques" viennent de mon réseau local et sont en SSH...

Le poste incriminé ici est un PC sous Windows (celui de ma femme). D'autres vagues ont déjà été détectées avec l'IP du PC de ma fille, également sous Windows.

Pour le moment, aucune intrusion réelle à déplorer, j'utilise un 2FA pour la connexion en admin, et ayant été victime de deadbolt il y a un peu plus de 2 ans, je procède régulièrement à des sauvegardes de mes données sur un disque externe.

Les PC qui semblent être à la source de ces tentatives sont mis à jour régulièrement et équipés d'un antivirus (avast gratuit... même si je sais que c'est loin d'être une assurance tous risques, ça a toujours suffi jusque là...). Le soft du NAS est lui aussi scrupuleusement mis à jour.

Quelle est votre analyse ? Existe-t-il un risque en dépit du 2FA ? Quelle(s) solution(s) pour me débarrasser de ces tentatives d'intrusion (autres que de mettre les PC des filles à la benne si possible 😅) ?

Merci !
 
Salut @Tifuk je pense qu'à ta place j'essaierais d'éradiquer le problème à la source en sauvegardant les données du poste incriminé et en réinstallant Windows. D'ici-là, si ce n'est pas encore fait, je changerais le port ssh.
 
Quelle(s) solution(s) pour me débarrasser de ces tentatives d'intrusion (autres que de mettre les PC des filles à la benne si possible 😅) ?
Cliquez pour agrandir...
Les mettre à la bennes, pas encore😁 mais réinstaller Windows est un minimum, et créer un compte utilisateur "non-admin" Windows à ta fille et ta femme pour commencer. Voir passer à Linux si c'est envisageable...
Changer le port ssh comme indiqué par Enrikir et bannir par qfirewall les adresses IP locales des pc windows infectés si ce sont bien des adresses IP fixes (attribition fixe par le dhcp du routeur).
 
Il est clair que les PC doivent-être contaminés . Déjà il faut déactivé admin et te creer un autre compte administrateur . Les autres utilisateurs doivent avoir chaqun un compte propre dans autre groupe qu'administrateur. Perso je laisse le SSH déactivé , je ne l'active que si besoin et j'ai également changé le n° de port
 
Bonjour,
Pour ma part, j'ouvrirais l'observateur d'événement pour voir l'activité réseau et diagnostiquer l'origine de cette tentative.
D'autre part, je ferai une vérification de ce qui démarre sur le PC car il peut très bien s'agir d'un logiciel légitime qui tente plein de connexion.
L'outil Autoruns de Microsoft permet de voir tout ce qui démarre.
Commence par là.

Ensuite je changerai l'IP du NAS.

PS:
Un logiciel que je citerais pas m'a déjà fait 15k tentative en 1 journée suite à un mot de passe expiré ....
 
Bonjour,

Moi je reinstallerais windows sur les PC et je ne donnerai pas les droits admin.


Interdiction aussi d'installer des logiciels/ jeux cracker et des applications venant d'internet sans mon accord.

Dis toi bien que ce qui font ces "crack" pour applications doivent trouver un moyen de se rémunéré, ( souvent en installant un rootkit ou une backdoor en même temps)

Puis as tu un anti-virus qui analyse régulièrement les postes ?
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas
Retour