News QNAP: NAS-Systeme von Ransom­ware „eCh0raix“ angegriffen

ata2core

Lieutenant
Dabei seit
Mai 2008
Beiträge
649
Wenn man sich aktiv schützt kann kann durch Brute-Force-Angriffe nichts passieren, man muss sich halt vorher Gedanken manchen und die Sicherheitsfunktionen nutzen die angeboten werden:
802621


Erkannt durch:

802622


Wer will kann ja mal nachschauen wo die IP-Adresse lokalisiert ist.
 

>|Sh4d0w|<

Commander
Dabei seit
Jan. 2009
Beiträge
2.417

Xmechanisator

Lt. Junior Grade
Dabei seit
Apr. 2012
Beiträge
329
Ich erstelle ab und zu Backups vom PC auf meinem NAS. Brauche ich jetzt eine einzelne 8TB Festplatte um ein Backup meines NAS zu erstellen?
Also wenn du es wirklich richtig machen willst:
1. Backup PC -> NAS
2. Backup NAS -> Externe HDD
3. Weiteres Backups der NAS auf eine externe HDD, welche sich nicht in deiner Wohnung/Haus befindest, sondern bei Kollegen/Arbeit oder ähnlich unterkommt. Im Idealfall nimmt man eine externe HDD mit zu dem Kollegen/Arbeit und tauscht die HDDs dort einfach miteinander.

Abgesichert* bist du damit gegen:
1. PC Ausfall
2. NAS Ausfall
3. "Ausfall" deines Wohnsitzes (sprich, dir brennt alles ab oder ähnliches)

* Abgesichert ist immer mit Vorsicht zu genießen. Deine Daten sind da, aber der Zustand ist an den Zustand der Daten zum Kopierzeitpunkt gekoppelt.
 

Gnageseil

Ensign
Dabei seit
März 2017
Beiträge
135
Ein Backup auf ein NAS ist ein ziemlicher Unsinn.
Der Sinn eines NAS ist es Daten für verschiedene Endgeräte über ein Netzwerk zur Verfügung zu stellen. Da auf ein Backup idealerweise niemand ausser dem Administrator direkten Zugriff haben sollte ist ein NAS völlig ungeeignet.
Das ergibt für mich keinen Sinn.
Man kann schlecht mit externen Festplatten durch die Gegend rennen. Umfangreiche Systeme lassen sich so gar nicht vernünftig sichern, vor allem wenn sie größer werden und regelmäßig gesichert werden sollen. Genau da spielen NAS und SAN ihre Stärken aus (Snapshots, Kaskadierung bla bla). Um den Zugriff zu steuern gibt es eine Benutzerverwaltung.
Und ein DAS, ist auch nichts anderes als eine externe Platte, die zu allem Überfluss auch noch direkt neben dem Gerät stehen muss, oder? Stichworte: räumliche Trennung.
Ergänzung ()

3. Weiteres Backups der NAS auf eine externe HDD, welche sich nicht in deiner Wohnung/Haus befindest, sondern bei Kollegen/Arbeit oder ähnlich unterkommt. Im Idealfall nimmt man eine externe HDD mit zu dem Kollegen/Arbeit und tauscht die HDDs dort einfach miteinander.
Das macht man zwei Wochen lang und dann geht es einem auf die Nüsse.
Ich würde eine automatische Sicherung übers Internet, hin zu einem anderen NAS empfehlen. Die Verbindung zwischen Geräten kann dabei verschlüsselt sein oder/und über ein VPN aufgebaut werden.
 
Zuletzt bearbeitet:

S4v4nt

Cadet 3rd Year
Dabei seit
Juni 2019
Beiträge
59
Ich wette die QNAP systeme wurden über myQNAPcloud angegriffen wurden und einfach nicht DAU sicher. Admin/Admin wie du es beschrieben hast. Selbstbau impliziert ein höheres Sicherheitsverständis aber ich geb euch in sofern recht, dass OMV nicht zwangsläufig bedeutet dass es sicherer ist. Aber mir werden fehlgeschlagene Einlogversuche per Mail zugeschickt und bruteforce wird weitestgehend verhindert. Also bleib ich dabei OMV schützt schon besser vor solchen Attacken.
Selbstbau impliziert meistens das Benutzen von Google auf der Suche nach Step by Step Tutorials um dann, gerade im Linux Umfeld, schön Zeile für Zeile zu Copy Pasten ohne sich Gedanken darüber zu machen, was genau man gerade macht. Dein OMV ist nichts anderes als ein Debian. Und deins hängt wohl im Internet. Du bist pauschal gesagt erstmal nicht sicherer.
 

Herdware

Fleet Admiral
Dabei seit
Okt. 2011
Beiträge
15.916
Naja. Wenn alle Daten auf dem NAS selbst schon ein Backup sind, hat er ja immer noch das Original auf dem PC. Wenn etwas mit dem NAS passieren sollte, kann man das z.B. von einem Schädling verschlüsselte Backup/NAS also einfach löschen und neu aufsetzen.

Dreifache Sicherheit ist natürlich besser als doppelte (noch dazu, wenn man auch ein Offsite-Backup hat), aber für den Privatgebrauch muss man es ja nicht unbedingt übertreiben.
 

S4v4nt

Cadet 3rd Year
Dabei seit
Juni 2019
Beiträge
59
klar....mein auto ist auch fast diebstahl sicher, wenn ich die räder jeden abend ab schraube.

den port 8080 zu sperren, ist ja fast so witzig wie den port 21 oder port 23...oder gleich port 80....warum nicht. :evillol:

am ende bleibt stehen, leute die immer noch nicht schaffen, ihre ports zu forwarden und am ende witzige dinge zu nutzen wie 4711 (der alte battle field port, der wird selbst bei hardcore filesharing blocker anbietern nicht gesperrt) , die sollten ihr NAS auch nicht ins internet bringen....

bei mir kommt bei standart ports meist von aussen auch: kein anschluss unter dieser nummer. :smokin:

mfg

p.s.

14567 ist auch einer der "standart" ports, die man nutzen kann und (noch) halbwegs save ist....auch ein alter battlefield port....der ist immer "frei", wird von den anbietern nicht gedrosselt und im zweifel kann von aussen keiner sehen, ob du einen bf1942 server am laufen hast oder etwas anderes machst. zum glück benutzt EA die teile auch noch, daher sind die ziemlich "save" man schwimmt quasi mit der welle mit. für irgend was muss ja auch EA gut sein :heilig:
Natürlich sperrt man die Ports wenn nicht benötigt! Was ist das für eine Argumentation? Wenn du keine Reifen am Auto brauchst, dann schraub sie eben ab. Übrigens verwendet kein normaler Mensch mehr Telnet? Wolltest du einfach ein paar Ports aufzählen oder was?

Außerdem hat das binden auf non-standard Ports keinen Einfluss auf die version disclosure vom entsprechenden Service. Das musst du dann schon selber Einstellen, wenn das unterbunden werden soll. Ein Angreifer macht auch einen Fullrange Portscan (1-65535) und dann findet der trotzdem deine tolle NAS auch wenn du den Port auf 4711 geforwarded hast. Das ist ein bekannter Port für Filesharing etc. Als Angreifer würde ich da nochmal besonders nachbohren.
 
Zuletzt bearbeitet:

[wege]mini

Commodore
Dabei seit
Juli 2018
Beiträge
4.206
Als Angreifer würde ich da nochmal besonders nachbohren.
genau....du warst noch niemals angreifer....du kannst nicht wissen, wen du anbohrst.

irgend welche home user, gerne...einen EA server...lass mal lieber sein....bestimmte ports lässt man bei full range scan aus. oder du weist vorher wen du penetrieren willst. dann ist aber unsere gesamte argumentation nutzlos.

wenn jmd. weis, dass ich einen server habe, ist das grundsätzlich mein fehler.

mfg
 

Troma_Fanboy

Cadet 4th Year
Dabei seit
Okt. 2011
Beiträge
123
Nö ist es nicht. Hab ich z.B. auch für mein Mac das wird auf dem NAS gesichert und auch nochmals mittels externer HDD jede Woche.
Nur weil du es macht ergibt es nicht automatisch Sinn ;)
Ein Backup auf das von vielen Seiten zugegriffen werden kann und permanent online ist ist immer in der Sicherheits eingeschränkt.


Das ergibt für mich keinen Sinn.
Man kann schlecht mit externen Festplatten durch die Gegend rennen. Umfangreiche Systeme lassen sich so gar nicht vernünftig sichern, vor allem wenn sie größer werden und regelmäßig gesichert werden sollen. Genau da spielen NAS und SAN ihre Stärken aus (Snapshots, Kaskadierung bla bla). Um den Zugriff zu steuern gibt es eine Benutzerverwaltung.
Und ein DAS, ist auch nichts anderes als eine externe Platte, die zu allem Überfluss auch noch direkt neben dem Gerät stehen muss, oder? Stichworte: räumliche Trennung.
Ergänzung ()


Das macht man zwei Wochen lang und dann geht es einem auf die Nüsse.
Ich würde eine automatische Sicherung übers Internet, hin zu einem anderen NAS empfehlen. Die Verbindung zwischen Geräten kann dabei verschlüsselt sein oder/und über ein VPN aufgebaut werden.
Verstehe deine Ausführungen nicht. Warum sollte ich mit externen Festplatten durch die Gegend rennen? Und warum sollte das nicht gehen?
Ich verstehe auch nicht warum ein NAS für Snapshots und inkrementelle Backups nötig sein sollte, das mache ich alles auch auf meinem DAS.
Ein NAS steht auch zu 99% in der gleichen Wohnung wie die Geräte von denen die Backups eingespielt werden, da ist dann auch keine räumliche Trennung gegeben.

Ich kann den Komfort verstehen der damit verbunden ist viele verschiedene Geräte zentral auf einen großen Massenspeicher im Netzwerk zu sichern. Nur sind die Daten dort halt nicht sicher sondern recht einfach angreifbar. Es muss nur eines der Geräte die Zugriff drauf haben kompromitiert sein, oder wie hier beschrieben das NAS selbst und alle Backups sind gefährdet. Das hat halt wenig mit Datensicherung zu tun.

Der entscheidende Schritt wäre bei so einer Konfig dann das NAS entsprechend zu Sichern mit einer separaten Platte die nicht angeschlossen wird wenn kein Backup laufen soll.

Das Ranking der Gründe für Datenverlust dürfte irgendwie so aussehen:
Hardwarefehler (Festplatte oder Raidcontroler defekt)
Human error (versehentlich gelöscht etc.)
Ransomware
Naturkatastrophen/Brände

Wobei der letzte Punkt sehr selten ist wenn man Blitzeinschläge wegrechnet.
Ein nicht angeschlossenes DAS ist jedoch vor Überspannung recht sicher.
Ein Backup auf ein NAS schützt sicher nur gegen Hardwaredefekt und eingeschränkt vor Benutzerfehlern. Erhöht dabei aber die Gefahr von Ransomware.

Daher halte ich ein Backup nur auf ein NAS für absolut nicht sinnvoll. Ideal ist es auf ein Medium zu speichern das nur für das Backup selbst online ist und auf das nur von Denjenigen zugegriffen werden kann die auch drauf zugreifen müssen.

Die räumliche Trennung beim Backup ist sinnvoll, die Wahrscheinlichkeit das ich es brauche aber deutlich geringer. Da reicht es (mir) schon aus ein mal im Jahr die Daten auf eine externe Fesplatte zu sichern die ich in einem anderen Haushalt lagere.

Grüße
Alexander
 

S4v4nt

Cadet 3rd Year
Dabei seit
Juni 2019
Beiträge
59
genau....du warst noch niemals angreifer....du kannst nicht wissen, wen du anbohrst.

irgend welche home user, gerne...einen EA server...lass mal lieber sein....bestimmte ports lässt man bei full range scan aus. oder du weist vorher wen du penetrieren willst. dann ist aber unsere gesamte argumentation nutzlos.

wenn jmd. weis, dass ich einen server habe, ist das grundsätzlich mein fehler.

mfg
Naja ich bin jeden Tag Angreifer. Beruflich versteht sich.
Man lässt eben keine Ports aus bei einem unbekannten System. Wie sonst soll man auch was finden?
EA Server werden auch gehacked. Was willst du mir sagen?

Naja wir wissen ja jetzt, dass du eine NAS auf einen nicht standard Port laufen lässt :p
 

[wege]mini

Commodore
Dabei seit
Juli 2018
Beiträge
4.206
es geht doch nicht darum, nicht gehacked zu werden....dafür gibt es eine tür, die für jeden idioten zu "hacken" ist...dann landet man in der hardware firewall umgebung und im 1ten netzwerk. ich will wissen, wer mich hackt.

wenn du EA hackst, bekommst du ganz sicher hinter her post. die sind ja eher noch harmlos und da kommt keiner bei dir zu hause vorbei. :smokin:

ich hoffe, dass wenn du mich mal hacken solltest, du mir auch erklärst, dass du das beruflich machst.

sonst hast du echte probleme^^

mfg
 

S4v4nt

Cadet 3rd Year
Dabei seit
Juni 2019
Beiträge
59
es geht doch nicht darum, nicht gehacked zu werden....dafür gibt es eine tür, die für jeden idioten zu "hacken" ist...dann landet man in der hardware firewall umgebung und im 1ten netzwerk. ich will wissen, wer mich hackt.

wenn du EA hackst, bekommst du ganz sicher hinter her post. die sind ja eher noch harmlos und da kommt keiner bei dir zu hause vorbei. :smokin:

ich hoffe, dass wenn du mich mal hacken solltest, du mir auch erklärst, dass du das beruflich machst.

sonst hast du echte probleme^^

mfg
Doch es geht darum nicht gehacked zu werden. Wir reden hier von NAS Systemen, die in Heimnetzwerken stehen und nach "Außen" offen sind. Nicht um Honeypots. Wenn du einen Honeypot hast, ist das ja schön aber dann weiß ich nicht über was wir diskutieren?

Warum sollte ich dich hacken wollen? Bist du paranoid?
 

Herdware

Fleet Admiral
Dabei seit
Okt. 2011
Beiträge
15.916
Der entscheidende Schritt wäre bei so einer Konfig dann das NAS entsprechend zu Sichern mit einer separaten Platte die nicht angeschlossen wird wenn kein Backup laufen soll.
Da ist dann aber das Problem, dass das so unkonfortabel ist, dass die meisten das regelmäßige Backup irgendwann vernachlässigen werden.
Jeden Tag oder auch nur wöchentlich daran zu denken, eine externe Platte anzustöpseln und das Backup manuell zu starten, ist auf Dauer schon eine ganz schöne Herausforderung für einen typischen Privatanwender. Da schließe ich mich mit ein. Der Mensch ist halt faul und schusselig. 😉

Eine ständig angeschlossene Backupfestplatte (USB-Laufwerk) und ein vollautomatisch vom NAS angestoßenes, regelmäßiges Backup, passiert halt zuverlässig, ohne dass man sich nach dem erstmaligen Einrichten um etwas kümmern muss. Ist zwar ein Kompromiss, aber besser als nichts.
(Bei mir ist das USB-Backuplaufwerk immerhin so eingerichtet, dass nur der NAS-Admin-Account darauf zugreifen kann. Die per normalen Benutzerkonten angemeldeten Rechner sehen es nicht.)

Zumal es in der Regel zwar ärgerlich ist, wenn die private Datensammlung drauf geht, aber es ist kein totaler Weltuntergang. Im Gegensatz zu Datenverlusten bei Unternehmen.
 

[wege]mini

Commodore
Dabei seit
Juli 2018
Beiträge
4.206
ja, leider auch...natur der sache.

wir schweifen ab...menschen wie du haben die mittel selbst menschen wie mich zu hacken...normalität des seins.

meine persönlichen dinge bringe ich trotzdem von mir zu hause ins internet (3 verschiedene wohnungen) und ich sehe natürlich, wer, wann, warum auf die ftp server oder auf die vpn zugreifen will....

99,9999% kinder....alles easy, dafür sind systeme gebaut, die man einrichten kann.

wie du schon sagtest, nichts ist sicher. die normalen standart ports zu verwenden und nicht einmal zu versuchen, durch täuschen und tarnen in der masse der anderen unter zu gehen, ist mMn jedoch grob fahrlässig.

nicht mehr, nicht weniger.

wer den 8080 offen hat (von aussen) dem ist nicht zu helfen. wer den 8080 weiter verwendet und ihn einfach umlegt, weis wahlweise was er tut oder hat dicke eier :evillol:

alles gut m8, no offensive....

mfg
 

Captain Flint

Lieutenant
Dabei seit
Jan. 2017
Beiträge
963
Also nicht falsch verstehen aber ich unterstelle mal das 90% bis 95% der User die sich ein wenig "aufblasen" einfach keine wichtigen/sensiblen Daten haben.
Die meisten haben ihre "Sicherungskopien" von Filmen (bevorzugt Pornos) :D und Serien oder Urlaubsbilder/Videos auf dem NAS liegen.
Die "Erinnerungen" lassen sich ganz einfach und kostengünstig sichern, sogar mehrfach. Der Rest ist doch vollkommen hupe ob weg/verschlüsselt/gelöscht oder abgebrannt ;)

Wirklich sensible Daten, wenn denn vorhanden, erwarten ein wenig KnowHow und eine seriöse Datensicherung (Beratung von Fachleuten)
Ich bin seit ca. 25 Jahren in der Branche und ich kenne niemanden (seriös zu sichernde sensible Daten) der überhaupt weiß was oder wer EA ist.
Wenn sich jemand mit Datensicherheit befasst dann ist schnell klar das der/das PC/NB eine strikte Trennung von allem anderen haben muss! Wer gerne spielt und auf dem gleichen PC seine Projekte für ein High Tech Unternehmen erarbeitet und dazu noch Vavoo (o.ä) und/oder Usenext für Downloads von Warez nutzt...der gehört eh verkloppt.

Die Zeiten das Geschäftsleute vor mir standen mit einem (eins) NB wo die Frau FB und Candy C suchtet, die Kids auf *.ru Kinofilme guckten, der "Chef" auf Youporn seine Pausen verbrachte und zeitgleich das einzigen NB im Haushalt auch für Angebote, Rechnungen und das Finanzamt zuständig waren, sind nahezu vorbei.

Aufklärung und Wissen > mächtige Waffen ;) :)
 

k0ntr

Banned
Dabei seit
Okt. 2007
Beiträge
3.391
Bei mir genauso, ich hab aber eine Raidsonic Box die ich per Knopfdruck ein und ausschalten kann.
Da sie quasi nur als Backup-Box dient wird sie nur dafür eingeschaltet. Das Backup Programm startet dann automatisch bei erkennen der Festplatten mit dem Update. Eine Malware müsste also diesen Zeitpunkt abwarten und dann loslegen.
Mein Backup Programm wirbt aber auch mit einem Schutz vor genau solcher Malware, bisher aber noch nicht testen müssen Anhang 802618 betrachten


Ich vermute das es an der stärkeren Konfigurierbarkeit von QNAP liegt, kann das aber selbst nicht wirklich einschätzen da ich nie ein Synologie NAS hatte.
Die Angreifbarkeit des Systems in diesem Fall liegt ja fast eher an User-Error. Es ist noch soo schwer sich zu schützen.


Ein Backup auf ein NAS ist ein ziemlicher Unsinn.


Grüße
Alexander

Ich benutze mein NAS für Filme und als Speicher damit ich keine HDD am PC brauche. Da kann ich ja sicherheitshalber mein PC Backup dort drauf tun ;)
 

Cool Master

Fleet Admiral
Dabei seit
Dez. 2005
Beiträge
30.490

lokked

Ensign
Dabei seit
Dez. 2016
Beiträge
141
QNAP ist in der Tat in der Vergangenheit dadurch aufgefallen das ihr Webinterface vor Lücken nur so gesprudelt hat:
https://blog.securityevaluators.com/multiple-vulnerabilities-discovered-in-qnap-nass-303b720d487b

Ist noch gar net so lange her. Die Ransomware macht nicht nur Brute Force sondern geht auf den Admin-Rechnern auch gezielt auf diese Schwächen.
Brute Force kann allerdings auch sein das man nur 4/5 Versuche braucht um das PW herauszufinden, weil es unter den Top 5 war :daumen:

Davon ab wundert es mich nicht das sie empfehlen SSH abzuschalten, weil die eingebaute Implementation Müll ist. Sie selber empfehlen in ihrer WIKI eine andere zu installieren (frei konfigurierbare Version von OpenSSH).
Warum? Weil man sich NUR als root einloggen kann...und sie kennen ihre Kunden ja
 

S4v4nt

Cadet 3rd Year
Dabei seit
Juni 2019
Beiträge
59
ja, leider auch...natur der sache.

wir schweifen ab...menschen wie du haben die mittel selbst menschen wie mich zu hacken...normalität des seins.

meine persönlichen dinge bringe ich trotzdem von mir zu hause ins internet (3 verschiedene wohnungen) und ich sehe natürlich, wer, wann, warum auf die ftp server oder auf die vpn zugreifen will....

99,9999% kinder....alles easy, dafür sind systeme gebaut, die man einrichten kann.

wie du schon sagtest, nichts ist sicher. die normalen standart ports zu verwenden und nicht einmal zu versuchen, durch täuschen und tarnen in der masse der anderen unter zu gehen, ist mMn jedoch grob fahrlässig.

nicht mehr, nicht weniger.

wer den 8080 offen hat (von aussen) dem ist nicht zu helfen. wer den 8080 weiter verwendet und ihn einfach umlegt, weis wahlweise was er tut oder hat dicke eier :evillol:

alles gut m8, no offensive....

mfg
Ja so eine Grundparanoia hab ich auch :D

Ok, dann versteh ich dich jetzt besser. Alles gut. Es gibt immer einen Usecase für die Dinge die aus Sicherheitsaspekten kritisch sind. In Unternehmen macht man dann eine Risikoanalyse zum Beispiel.

Ein Heimanwender macht das hald nicht. Die meisten denken Sie brauchen die Urlaubsfotos von der NAS immer erreichbar. Das kann hald dann auch nach hinten los gehen. Da muss man hald abwägen. Das Ding ist, dass vielen die Risiken und die verschiedenen Angriffvektoren nicht bekannt sind.

Never ending Story :D

greetz
 
Top