ataque por fuerza bruta: ip 188.214.39.61
#1
Hola

Esta madrugada he sufrido el intento de acceder al NAS más bizarro en lo que hace que lo tengo.
a las 4 de la mañana empezaron a llegarme avisos al teléfono porque tengo activadas las notificaciones push (y por fin vuelven a funcionar despu´s de los últimos firmwares)
Me llegaron 100 mensajes

Increible , el sistema funcionó y bloqueo la ip a los cinco intentos como lo tengo configurado, pero siguio intentandolo 100 veces más. Aqui tengo una duda: 

¿no se supone que una vez baneada la ip ya no puede ni siquiera intentar el login? El caso es que mirando de donde procedia (Rumania) y todo eso puse en la black list un buen rango de ip de ese país para evitar que se pueda repetir.

No se porque pero luego se reiniciaron todos los servicios de Nas. No se si tendría algo que ver

Lo comento aquí para que no bajeis la guardia si teneís el nas abierto al exterior.


Archivos adjuntos Imagen(es)
   
  Responder
#2
(18-04-2020, 12:33 PM)Miffa escribió: Hola

Esta madrugada he sufrido el intento de acceder al NAS más bizarro en lo que hace que lo tengo.
a las 4 de la mañana empezaron a llegarme avisos al teléfono porque tengo activadas las notificaciones push (y por fin vuelven a funcionar despu´s de los últimos firmwares)
Me llegaron 100 mensajes

Increible , el sistema funcionó y bloqueo la ip a los cinco intentos como lo tengo configurado, pero siguio intentandolo 100 veces más. Aqui tengo una duda: 

¿no se supone que una vez baneada la ip ya no puede ni siquiera intentar el login? El caso es que mirando de donde procedia (Rumania) y todo eso puse en la black list un buen rango de ip de ese país para evitar que se pueda repetir.

No se porque pero luego se reiniciaron todos los servicios de Nas. No se si tendría algo que ver

Lo comento aquí para que no bajeis la guardia si teneís el nas abierto al exterior.

me esta pasando lo mismo a mi ya es la segunda vez con la misma IP y también la tengo bloqueada y también mas de 100 intentos
https://www.qnapclub.es/showthread.php?tid=3391
  Responder
#3
(18-04-2020, 01:28 PM)nilsans escribió:
(18-04-2020, 12:33 PM)Miffa escribió: Hola

Esta madrugada he sufrido el intento de acceder al NAS más bizarro en lo que hace que lo tengo.
a las 4 de la mañana empezaron a llegarme avisos al teléfono porque tengo activadas las notificaciones push (y por fin vuelven a funcionar despu´s de los últimos firmwares)
Me llegaron 100 mensajes

Increible , el sistema funcionó y bloqueo la ip a los cinco intentos como lo tengo configurado, pero siguio intentandolo 100 veces más. Aqui tengo una duda: 

¿no se supone que una vez baneada la ip ya no puede ni siquiera intentar el login? El caso es que mirando de donde procedia (Rumania) y todo eso puse en la black list un buen rango de ip de ese país para evitar que se pueda repetir.

No se porque pero luego se reiniciaron todos los servicios de Nas. No se si tendría algo que ver

Lo comento aquí para que no bajeis la guardia si teneís el nas abierto al exterior.

me esta pasando lo mismo a mi ya es la segunda vez con la misma IP y también la tengo bloqueada y también mas de 100 intentos
https://www.qnapclub.es/showthread.php?tid=3391
hola
y porque no pones la nas en estado de suspension a unas horas concretas?.yo lo tengo que entre en suspension a las 1:30 y que despierte a las 8 de la mañana.
como a esas horas no lo utilizo me viene genial.
Ausente
  Responder
#4
(18-04-2020, 02:37 PM)antonio13 escribió:
(18-04-2020, 01:28 PM)nilsans escribió:
(18-04-2020, 12:33 PM)Miffa escribió: Hola

Esta madrugada he sufrido el intento de acceder al NAS más bizarro en lo que hace que lo tengo.
a las 4 de la mañana empezaron a llegarme avisos al teléfono porque tengo activadas las notificaciones push (y por fin vuelven a funcionar despu´s de los últimos firmwares)
Me llegaron 100 mensajes

Increible , el sistema funcionó y bloqueo la ip a los cinco intentos como lo tengo configurado, pero siguio intentandolo 100 veces más. Aqui tengo una duda: 

¿no se supone que una vez baneada la ip ya no puede ni siquiera intentar el login? El caso es que mirando de donde procedia (Rumania) y todo eso puse en la black list un buen rango de ip de ese país para evitar que se pueda repetir.

No se porque pero luego se reiniciaron todos los servicios de Nas. No se si tendría algo que ver

Lo comento aquí para que no bajeis la guardia si teneís el nas abierto al exterior.

me esta pasando lo mismo a mi ya es la segunda vez con la misma IP y también la tengo bloqueada y también mas de 100 intentos
https://www.qnapclub.es/showthread.php?tid=3391
hola
y porque no pones la nas en estado de suspension a unas horas concretas?.yo lo tengo que entre en suspension a las 1:30 y que despierte a las 8 de la mañana.
como a esas horas no lo utilizo me viene genial.
 por donde se hace eso?
  Responder
#5
Hola Nilsans

Tu ataque parece que viene de un servidor de Mongolia, de los Ferrocarriles. En ambos casos los que intentan entrar en tu maquina y la mia tienen debian y webmin, por lo que igual los que atacan usan una vulnerabilidad de este tipo de maquina

202.72.245.58:10000
188.214.39.61:10000

Lo que no entiendo es porque estando la ip en la black list siguen saliendo los avisos.

Antonio13, me lo he planteado, el tema de apagar la nas por la noche pero por comodidad y por servicios que están abiertos como la gestión de los puntos de acceso, el reindexado de Plex y demás no lo he llegado a hacer.

De todas maneras aunque sea en horario de "oficina" es igual de problematico.

También he de decirte que dado el historial de las NAS (qnap y synology) al final todo lo importante (economicamente y sentimentalmente) esta en un Poweredge sin acceso desde fuera de la red interna y que esta apagado salvo para las tareas de backup. Es una pena pero es mejor esto que lamentar.

Si estar un paso por delante o por detrás de los ataques requiere que este siempre en vilo o pendiente del NAS prefiero la vuelta al pasado y dedicar el tiempo a otras cosas.

Saludos
  Responder
#6
Hola
Lo que debéis hacer es cerrar el puerto web de login a la nas en vuestro router. 

Recordad que es el router nuestra primera y mas importante defensa. Por eso hago hincapié en cerrar todo.

¿es verdaderamente necesario tener acceso a la web de gestión de la nas (puetos 8080, 80 y 443) desde internet?
En la inmensa mayoría de casos no y es por eso que recomiendo cerrarlo.
Evidentemente estando en la misma red podemos acceder sin problemas ya que estamos tras el cortafuegos.

Un problema de QNAP a nivel de seguridad es que el usuario admin es por defecto. Y fijaros que en la sección de seguridad, en lo referente a la sección de "protección a la cuenta" pone claramente que "a todos los usuarios que NO sean admin". Es decir con el usuario admin NO se cumple esta regla y pueden intentarlo todas las veces que quieran  Angry

Hay gente que se crea un usuario alternativo con los MISMOS privilegios y luego deshabilita el usuario admin. Con eso ya no pueden intentar entrar como admin  Wink
Con este proceso hay un pero, y es que por ssh sólo entra el admin, nadie mas. Si no os importa no usar ssh (muchos no los usan), es una buena medida.
Un saludo

Agur eta ondo ibili

Ganekogorta (TS-469Pro, TVS-673e, QBoat Sunny, TS-453Be, TR-002 y QHora-301w) Ʀɐɯ0η
  Responder
#7
(18-04-2020, 02:53 PM)Miffa escribió: Hola Nilsans

Tu ataque parece que viene de un servidor de Mongolia, de los Ferrocarriles. En ambos casos los que intentan entrar en tu maquina y la mia tienen debian y webmin, por lo que igual los que atacan usan una vulnerabilidad de este tipo de maquina

202.72.245.58:10000
188.214.39.61:10000

Lo que no entiendo es porque estando la ip en la black list siguen saliendo los avisos.

Antonio13, me lo he planteado, el tema de apagar la nas por la noche pero por comodidad y por servicios que están abiertos como la gestión de los puntos de acceso, el reindexado de Plex y demás no lo he llegado a hacer.

De todas maneras aunque sea en horario de "oficina" es igual de problematico.

También he de decirte que dado el historial de las NAS (qnap y synology) al final todo lo importante (economicamente y sentimentalmente) esta en un Poweredge sin acceso desde fuera de la red interna y que esta apagado salvo para las tareas de backup. Es una pena pero es mejor esto que lamentar.

Si estar un paso por delante o por detrás de los ataques requiere que este siempre en vilo o pendiente del NAS prefiero la vuelta al pasado y dedicar el tiempo a otras cosas.

Saludos


hola no lo apago,lo pongo en suspencion(que tarda como 1 minuto en despertar)y no tengo problemas ni con plex,ni con pi-hole,a mi me funciona bien ese metodo.
aparte de tener cerrado puerto web.tambien tengo desabilitado admin y creado otro usuario(ya que ssh lo utilizo casi nada).
todo eso lo hice por recomendacion de Gamekogorta,y de naseros ya hace tiempo que lo tengo asi 
Ausente
  Responder
#8
(18-04-2020, 03:33 PM)Ganekogorta escribió: Hola
Lo que debéis hacer es cerrar el puerto web de login a la nas en vuestro router. 

Recordad que es el router nuestra primera y mas importante defensa. Por eso hago hincapié en cerrar todo.

¿es verdaderamente necesario tener acceso a la web de gestión de la nas (puetos 8080, 80 y 443) desde internet?
En la inmensa mayoría de casos no y es por eso que recomiendo cerrarlo.
Evidentemente estando en la misma red podemos acceder sin problemas ya que estamos tras el cortafuegos.

Un problema de QNAP a nivel de seguridad es que el usuario admin es por defecto. Y fijaros que en la sección de seguridad, en lo referente a la sección de "protección a la cuenta" pone claramente que "a todos los usuarios que NO sean admin". Es decir con el usuario admin NO se cumple esta regla y pueden intentarlo todas las veces que quieran  Angry

Hay gente que se crea un usuario alternativo con los MISMOS privilegios y luego deshabilita el usuario admin. Con eso ya no pueden intentar entrar como admin  Wink
Con este proceso hay un pero, y es que por ssh sólo entra el admin, nadie mas. Si no os importa no usar ssh (muchos no los usan), es una buena medida.
yo ya los tenia cerrados después del primer intento y incluso así he tenido un segundo intento Angry Huh
  Responder
#9
Hola

A mi me venía bien poder acceder al exterior desde el 8080 o 443 cuando estaba fuera porque conectarse desde fuera de casa via vpn no siempre es fácil ni posible en todas las redes cautivas ni dispositivos.

Cierto que ahora no hay ninguna necesidad o sea que cerrados quedan.

Lo siguiente será apagar o suspender el NAS, ya lo hice con un Synology durante bastante tiempo y así estuvo hasta que murieron los discos.

Saludos
  Responder
#10
Hola me ha estado pasando lo mismo, he tenido un monton de intentos de acceso a través de la cuenta de admin.
Comenzaron los ataques con la IP 34.73.13.83 que es de Houston, USA.
Como tengo otro usuario con privilegios de administrador decidi dar de baja el admin. y gestionar a traves del otro, y bloquear esa IP.
Al día siguiente nuevo ataque con la IP 188.166.28.211 De un hosting holandes.
Entonces busque el rango comun de IPs de Telefonica, mi proveedor, y cerre todo el resto del tráfico a las IPs que estuviesen fueran del rango del 79... al 88...
Al día siguiente recibí otro ataque desde...
81.29.192.212 Que corresponde a un proveedor de hosting Italiano de Milan. Curiosamente entraba en el rango, pero puse un rango tan amplio porque ponerlos los... cerca de 50 tramos que tiene telefonica era una locura.

Sospecho que son los mismos, mas que nada porque hacia meses que no tenia algo así y de repente ha pasado, creo que han encubierto su ip original por las otras a traves de una vpn como esta al otro día...

185.236.201.132

bueno, pues una vez vistas las alternativas el paso siguiente que quiero consultaros es anular el acceso de gestion externo y dejar la gestion solo desde casa. Ya que el router solo tiene archivos privados de estudio de la familia y mios, y yo voy a estar siempre cerca.

Pero si cierro la gestion externa del nas anulando los puertos (80 y 443) entonces no funcionará el servicio de ssl de Let's Encrypt que estaba a punto de activar y me exigió esta disponibilidad de puertos.

¿Es posible que el ataque pueda borrar archivos si entran como alguno de los usuarios o es mucho mas efectivo y seguro bloquear la gestion externa de un administrador, y no preocuparme del acceso como usuario (activando Let's Encrypt)?
  Responder




Usuarios navegando en este tema: 1 invitado(s)