Bonjour,
Je créé ce topics suite aux évènements survenus durant cette nuit.
Plusieurs tentatives de connexions sur mon serveur Nas ont échouées cette nuit et cela avec l'IP "::1" (IP local pour l'IPv6, la même que celle utilisé par le support QNAP j'y reviens un peu plus tard..).
Il faut également savoir que j'ai eu une mésentente avec le support Qnap, (lors d'un case "voir ce sujet") sur le fait que lorsqu'il se sont connecté à mon Nas avec le "Centre d'Assistance à Distance" ils :
Actuellement, mon Nas n'est plus connecté au réseau.
J'ai mis en pièces jointes, une archive .zip qui contient :
En temps normal, je me serai rapproché du support QNAP mais depuis leur manque de communications de la dernière fois et ce qui se passe aujourd'hui (moins d'une semaine après avoir fait appel à leur aide..), j'ai bien peur de ne plus vraiment leurs faire confiance. (Je dis le support QNAP, mais j'en veux plus particulièrement au technicien qui à travaillé sur mon case. Je suis sûr qu'il y'a pleins de technicien chez eux qui ne manque pas de communication, surtout lorsqu'il s'agit de rentrer dans le Nas des gens..)
Le support QNAP se connecte surement en VPN à via l'application (Centre d'Assistance à Distance). Pourtant la session n'est plus activé depuis la fermeture de mon ticket...
Je ne sais même pas par où l'attaquant est passé pour avoir effectué toutes ces tentatives de connexions échouées.. "::1"
Je ne sais pas quel autre information je pourrai vous fournir pour avancer dans mon problème (et c'est sur qu'il y'en as ... ). N'hésitez pas à revenir vers moi et je vous transmettrai les informations qui pourrait vous aider.
Merci encore pour votre aide !
Cordialement,
Riad
Je créé ce topics suite aux évènements survenus durant cette nuit.
Plusieurs tentatives de connexions sur mon serveur Nas ont échouées cette nuit et cela avec l'IP "::1" (IP local pour l'IPv6, la même que celle utilisé par le support QNAP j'y reviens un peu plus tard..).
Il faut également savoir que j'ai eu une mésentente avec le support Qnap, (lors d'un case "voir ce sujet") sur le fait que lorsqu'il se sont connecté à mon Nas avec le "Centre d'Assistance à Distance" ils :
- ne m'ont pas prévenu de leur connexion le jour J.
- ont activé le compte admin et sont repartis en le laissant activé. (je l'ai redésactivé juste après qu'ils aient fini leurs opérations.)
- Un dernier point mais qui ne vient pas du technicien mais plutôt du fonctionnement de l'application "Centre d'assistance à Distance".
- L'application parvient parfaitement à créer l'utilisateur "_qnap_support", pourquoi ne le supprime t-il pas à la fin de la session ?
Actuellement, mon Nas n'est plus connecté au réseau.
J'ai mis en pièces jointes, une archive .zip qui contient :
- Le journal d'accès à mon Nas (fichier : AccessLog_20241214_16_40_08.xlsx)
- Les blocages d'IP effectué par QuFirewall "IP local ::1 ..." (fichier : IP Banned by QuFirewall.xlsx)
- La principal question : par où et/ou quoi l'attaquant à pu se connecter au NAS ? (Sur Qvpn, Wireguard est activé pour mon téléphone. Suite à cela, je l'ai désactivé et restera désactivé jusqu'à ce je comprenne ce qui à bien pu se passer. Malheureusement, je ne sais pas du tout comment fonctionne les logs sur Qvpn car pour Wireguard, je n'ai aucun logs d'évènements dessus.. )
- Est-ce que l'attaquant a finalement réussi à se connecter malgré toutes ces connexions infructueuse ? (Je pense que non d'après mes notifications de connexions mais je ne suis plus vraiment sur de rien..)
- Si oui, qu'a t-il fait ?
- Vous verrez dans le fichier "AccessLog_20241214_16_40_08.xlsx" qu'il y'a des tentatives venant de l'IP "::1" Est-ce un service qui utilise l'IPv6 qui permet de faire liaison VPN avec l'extérieur qui à ouvert l'accès à mon attaquant ? (d'ailleurs l'IPv6 est désactivé sur mon nas, m'enfin...)
- Puis-je désactiver le fonctionnement du HTTP ou alors forcer la redirection vers le HTTPS sans endommagé les services qui pourrait potentiellement fonctionner sur ce port (même si j'ai un doute qu'il y'ait des un/des services qu'ils utilisent...)
En temps normal, je me serai rapproché du support QNAP mais depuis leur manque de communications de la dernière fois et ce qui se passe aujourd'hui (moins d'une semaine après avoir fait appel à leur aide..), j'ai bien peur de ne plus vraiment leurs faire confiance. (Je dis le support QNAP, mais j'en veux plus particulièrement au technicien qui à travaillé sur mon case. Je suis sûr qu'il y'a pleins de technicien chez eux qui ne manque pas de communication, surtout lorsqu'il s'agit de rentrer dans le Nas des gens..)
Le support QNAP se connecte surement en VPN à via l'application (Centre d'Assistance à Distance). Pourtant la session n'est plus activé depuis la fermeture de mon ticket...
Je ne sais même pas par où l'attaquant est passé pour avoir effectué toutes ces tentatives de connexions échouées.. "::1"
Je ne sais pas quel autre information je pourrai vous fournir pour avancer dans mon problème (et c'est sur qu'il y'en as ... ). N'hésitez pas à revenir vers moi et je vous transmettrai les informations qui pourrait vous aider.
Merci encore pour votre aide !
Cordialement,
Riad
Pièces jointes
Dernière édition: