Seguridad Qnap ¿ posible ataque externo SSH ?
#1
Hola de nuevo a todos, como no entiendo mucho aun de los procesos internos de Qnap u aplicaciones terceras no aseguro que haya sido victima de un ataque por SSH, pero no lo descarto.
Esto ha coincidido con un problema con mi conexión por SSH tras actualizar a QTS 4.3.3 e instalar lodicaldoc, pero nuestro compañero C303N instalo logicaldoc por lo que descarto que sea un proceso interno.
Este es la captura de unos pocos intentos de acceder por SSH como root a mi qnap:
En la imagen no se aprecia bien pero las ip eran de fuera de mi rango de ip local ya que yo estoy en la estándar  192.168.1.***
Concretamente una IP era: 123.183.209.132
Otra Ip: 116.41.116.41


[Imagen: 7CbmYoTh.png]



Siempre las mismas dos IP, al llegar a casa hoy tenia mas de 78 avisos de intento de conexión por SSH fallidos como usuario root. ( para los mas familiarizados con Linux no les sera extraño el nombre del user ya que root en Linux es el superuser o administrador ).
Pos si las moscas me he echo un escaner de la red donde aparecen todas mis ip:

[Imagen: 8H83pgah.png]
Como se puede ver como era de esperar ninguna ip desconocida esta dentro de mi red.
No tranquilo por mi desconocimiento he ido a Qnap para ver las posibles redes virtuales o servicios activos ( SQL, phpMyadmin, Java ), igual era mi propio NAS ya que no tengo ni idea de como funciona su sistema Linux.

[Imagen: UNx1fdJh.png]



Pues las IP no coinciden con las de los intentos de acceso root.
Pues tampoco tengo nada activo que intente un acceso SSH, que por lo que yo se siempre sera una conexión externa.
Así que por lo comprobado y hasta donde yo se me estaban atacando por SSH, cosa que me extraña mogollón ya que no soy hacienda o el banco de España, pero algún programa de los instalados en Windows para intentar conectar por SSH podría tener algún proceso oculto.
Bueno mientras a mi nadie me diga que estoy como el antivirus en modo paranoico la solución a sido bien sencilla:
Panel de control >  Protección de acceso a la red ( activarla ) y luego depende de cada uno poner las reglas que crea oportunas, yo lo he dejado así:

[Imagen: VZHgGcu.png]

De este modo mientras no sepa que son esas ip con intento de acceso SSH, se quedan bloqueadas:

[Imagen: vRC0ZQd.png]

Espero sirva de ayuda a alguien y si alguien conoce alguna razón para ese intento de conexiones, que no dude en informarme.
Menos mal que no tenia configuradas las alertas por E-mail, habría entrador en modo paranoico como mi antivirus :D :D :D :D

Buenas noches.
Hasta luego lucas... beepp, beepp
[Imagen: XRAKW0em.jpg]
  Responder
#2
Hola Rayeta!,

Te dejo un link que te va a venir muy bien. Has hecho muy bien en bloquear las ip's que no conoces.
http://www.qnapclub.es/showthread.php?ti...ght=ataque

Saludos!

PD: Gracias por ilustrar tan bien tus post!.
  Responder
#3
(21-02-2017, 01:45 AM)DonPeter escribió: Hola Rayeta!,

Te dejo un link que te va a venir muy bien. Has hecho muy bien en bloquear las ip's que no conoces.
http://www.qnapclub.es/showthread.php?ti...ght=ataque

Saludos!

PD: Gracias por ilustrar tan bien tus post!.

Gracias por la informacion.
Yo opto por una buena contraseña, bloquear las ip´s atacante de por vida y lo de cambiar puertos, no me gusta como solucion.
Me explico, aunque tu "Don" creo que ya lo sabes, es muy sencillo con aplicaciones de linuz como nmap en terminal o zenmap en GUI, escanear una ip publica, o de tu router, un dominio en concreto, y hay que recordar que cloudlink al final de todo es un domino web en un entorno seguro de Qnap. Bueno al lio que en unos 20 minutos con el escaneado mas completo tienes el tipo de sistema operativo, puertos abiertos, cantidad de nodos por los que pasa esa ip y seguridad de cada uno de los nodos, vamos que tiene simpatia al program ya que al final del escaneado te da una puntuacion valorada por lo vulnerable que sea el atacado y te anima.
Ejemplo 256 good luck....

PD: no todo es malo en estos programas, ya que nos sirven para hacer una propia auditoria a nuestro nas y router, ver que tenemos abierto y si no lo vamos a usar cerrarlo.
No soy un experto en zenmap, wifisark o Hydra... pero si los sabes usar un poco te ayudar a reforzar tu sistema local.
Por desgracia creo que las conexiones SSH, FTP, SFTP, Telnet etc no permiten un filtrado mac, seria un buen refuerzo para evitar intrusiones, aunque tambien luego esta el fakemac para emular una que este autorizada... bueno esto ya se sabe medidas y contramedidas.
Hasta luego lucas... beepp, beepp
[Imagen: XRAKW0em.jpg]
  Responder
#4
Hola amigos del club,
Sigo recibiendo ataques en mi qnap por SSH. Pero ahora han cambiado el patron de ataque han cambiado el tiempo de ataque, antes en un minuto intentaban acceder mas de 5 veces, por lo que la ip era directamente puesta en lista negra y punto. Ahora han cambiado 2 cosas, ya no intentan entrar con el nombre de usuario "root" ahora han optado por otro típico de cualquier router la famosa "1234" por suerte la contraseña es larga y con mayúsculas, minúsculas símbolos y caracteres especiales. No has que poner las cosas fáciles.
Por otra parte voy a explicarme por partes de la manera mas sencilla que se y si me equivoco que alguien con mas experiencia me corrija.
Ya muchos estamos habituados a trabajar con las ip locales si las famosas 192.168.1.1 ( router por defecto ) o 192.168.0.1 ( router por defecto de otra compañía ) y que dentro del rango 192.168.1.*** como es mi caso estoy dentro de mi red. Aunque se sale un poco del tema, no hay que olvidar el tema de la mascara de red una IP 192.168.1.2 con una mascara de red 255.255.0.0 no vera la red principal con mascara de red 255.255.255.0.
Estas Ip a las que estamos mas o menos habituados no sirven de nada fuera de nuestra red local ( ose todo lo conectado al router por wifi o swich ) vamos por cable o inalámbrico.
Estas ip de lo que se llama red interna o local ( no sirven para nada fuera de nuestra red interna, local o intranet, como la queráis llamar ).
Lo que realmente identifica nuestra equipos en la central telefónica o desde fuera de la red es nuestra IP Publica que podéis averiguar desde el Nas o en esta web http://cual-es-mi-ip-publica.com/. Esta IP es a la que se dirige un pirata informático.
La asigna el distribuidor de la red y a no ser que tengais dinero de sobra es normalmente IP dinamica, no estatica.
Diferencia:
Estática: para empresas y pimes que necesiten servidores, ellos pagan un plus para que su ip publica 96.152.24.1 se siempre suya, no cambiara nunca es decir 96.152.24.1 es la ip de la empresa www.tomatesverdes.com.
Dinámica: la mayoria de los humanos, la asigna la empresa de adsl y mantienen un registro de que ip publica usa un usuario en ese momento ( porque ese registro, por si hace cosas ilegales trincarte ), ya que esa ip no es nuestra, cada vez que apagamos el router y esperamos un tiempo para que la central de esa ip a alguien diferente, cuando encendamos de nuevo el router tenemos una IP publica diferente. Por eso llevan el registro de usuarios, cosa que en algunos países es prohibido dar por la ley de protección de datos y de aquí la red thor que se conecta a servidores en países que no están obligados a dar la informacion de las IP publicas. Así si piensas atacar un banco por Internet primero roba la contraseña del vecino para que lo trinquen a el.
En resumen, que he apagado el router de Orange, y  he arrancado con una IP publica distinta, pero he aquí la sorpresa, sigo teniendo ataques por SSH, ¿ como han localizado mi dirección IP publica de nuevo de nuevo ? Las locales son las mismas pero da igual a esas desde fuera solo accedes por la IP publica y ahora no es la misma.
¿ que alguien me lo explique ? Lo que esta claro que están usando lo llamado un robot de software y han cambiado el intervalo de conexiones para que no ponga la ip en lista negra a la primera.
Yo de momento se lo que voy a hacer, reiniciar el router y abrir solo los puertos necesarios, y desde luego del de SSH no lo voy a abrir.
No hay que olvidar que la primera puerta de defensa es el router y desde la ip publica es como acceden a nuestro nas, si en el router tenemos el puerto SSH abierto pues ya tienen acceso al nas por ese puerto.
Como yo solo me conecto a mi nas por SSH en local con tenerlo activo en el nas pero cerrado en el router se termino el problema.
Aquí pongo un pequeño ejemplo de zenmap y como te dice que puertos están abiertos en un dominio web, server, router o nuestro nas.
[Imagen: cxohMCU.png]
Hasta luego lucas... beepp, beepp
[Imagen: XRAKW0em.jpg]
  Responder




Usuarios navegando en este tema: 1 invitado(s)