QNAP Club en Español

Hola a todos
Hoy, al entrar en mi NAS me he encontrado con numerosas advertencias de seguridad que me decían que había habido decenas de intentos fallidos de acceder al usuario admin.
Os adjunto una captura de pantalla para que veáis de qué se trata. Aunque solo aparecen los últimos intentos, hay intentos de acceso desde hace 24 horas. ¿Me podéis dar alguna idea de qué hacer?
Supongo que es un intento de ataque masivo, pero la ip que refleja es 127.0.0.1, que obviamente no es la ip desde la que están intentando entrar. ¿Hay algún modo de saber desde qué ip real están realizando los intentos de acceso?

Muchas gracias, agradezco de antemano cualquier orientación.

Vuelvo a reabrir este hilo para volver a pedir ayuda. En la ocasión anterior no conseguí saber si efectivamente estaba sufriendo un ataque, como sospechaba. El caso es que cambié de NAS y, después de una temporada, he vuelto a sufrir los mismos síntomas. Intentos de acceso reiterados desde lo que se supone es mi propia red 127.0.0.1, algo que no es cierto, pero el caso es que no sé cómo atajar el problema. Agradecería cualquier ayuda.

Hola
127.x.x.x no es un equipo de tu red. Es tu propia nas
¿Puedes decirnos que servicios y aplicaciones tienes funcionando en la nas?
Se me ocurre que alguna de ellas tiene un usuario Admin con la clave mal guardada y la envía constantemente.
Además dice que son http
¿Algún cambio o actualización los últimos días?



Agur eta ondo ibili

Eliseo José

Muchas gracias por la respuesta. Me pongo a buscar.

Enviado desde mi GT-N8000 mediante Tapatalk

Los servicios que tengo funcionando son
Download Station
Cloudlink
Photo Station
Notes Station
Virtualization Station
Dropbox
Happyget 2
Malware remover
Optoware IPKG
Plex
La verdad es que en ninguna creo tener ningún login equivocado. Gracias, elijoputa, por tu ayuda

Enviado desde mi GT-N8000 mediante Tapatalk

Hola
En principio descartamos malware remover y optoware ipkg.
Para descartar que son las apps. Usa el punto medio para prueba y error.
Me explico detén la mitad y mira si sigue el error.
Si sigue podemos descartar las paradas. Si no sigue, el problema es de paradas.
Ahora detenemos la mitad de las sospechosas de antes... Y así sucesivamente.
En pocos pasos compruebas si son las aplicaciones.

¿Tienes abiertos puertos en tu router para acceder a la nas?
Si cortas el acceso de tu router a internet ¿siguen los intentos?

También estoy pensando en aumentar la seguridad bloqueando 30 min tras 5 intentos fallidos en menos de 1 minuto en accesos http.
Si eres tú el que lo provoca, veras que determinado maquina y web te dejan funcionar durante 30 minutos....

Como veo que ya has tenido más de una qnap no eres un novato que instala de todo. ¿Desde cuando te lo va haciendo? Echa una ojeada al log para ver las anotaciones anteriores a los intentos de acceso.



Agur eta ondo ibili

Eliseo José

Bueno, compañero
Te he hecho caso y aquí están los resultados parciales.
He parado los siguientes programas
Notes Station
Virtualization Station
Dropbox
Notes Station
Happyget 2
Además he parado los siguientes, que estaban dentro de HDStation y se me habían pasado:
Chrome
Firefox
SuperTux
Wesnoth

Desde hace 6 horas no he vuelto a tener mensajes. Quizá es demasiado pronto, pero llevaba una semana sufriendo "ataques" de continuo.

Me preguntabas

"¿Tienes abiertos puertos en tu router para acceder a la nas? "

Efectivamente. Para mí es fundamental acceder desde fuera al NAS, así que sí los tengo abiertos.

Me decías también esto
"También estoy pensando en aumentar la seguridad bloqueando 30 min tras 5 intentos fallidos en menos de 1 minuto en accesos http.
Si eres tú el que lo provoca, veras que determinado maquina y web te dejan funcionar durante 30 minutos...."

Y la verdad es que no funciona para este problema en concreto. Si una máquina en concreto (mi ordenador, por ejemplo) se intenta conectarse erróneamente, la banea, pero con 127.0.0.1 no surte ningún efecto, no se banea ninguna máquina.

Supongo que el problema está en alguna de las aplicaciones que he apagado, pero la verdad es que antes comprobé los login de acceso de ellas y en ninguna vi error alguno. La única que me hacía cosas raras era Dropbox, que me creaba archivos duplicados...

He echado un vistazo a los logs y lo mismo me ocurrió en abril durante una semana, apareció y desapareció solo. No tengo conciencia de haber instalado ni desinstalado nada en esos días.
En fin, muchas gracias por tus indicaciones. A ver si funciona...
Un slaudo

Hola
Me alegro.
Ahora ve activando una a una las apps y a observar el log para ver quien te la lía.
En cuanto a puertos supongo que abrirás sólo los justos y necesarios.


Enviado desde mi Lenovo A5500-F mediante Tapatalk

Hola a todos
Vuelvo a reflotar este hilo para dar alguna indicación nueva, aunque no sé si muy útil.
Tal y como me recomendó elijoputa, fui desactivando todas las apps y activándolas una a una para descubrir que ninguna de ellas provocaba esos accesos fallidos desde 127.0.0.1. El caso es que los intentos de acceso desaparecieron hasta que el otro día me di cuenta de una cosa curiosa. Si accedo a Download Station a través del programa Qget, en mi móvil android, y lo dejo abierto, es probable que comiencen otra vez los errores. ¿Tiene esto sentido para vosotros? Porque para mí no lo tiene, pero el caso es que es la única pauta (y no absoluta, porque no funciona siempre al 100%) que he encontrado en esta cuestión.
Gracias a todos