Wir werden gehackt seit 3 Tagen ohne ende!

Makso

Commodore
Registriert
Okt. 2006
Beiträge
4.111
Hallo Leute

ich bräuchte eure Hilfe.
Wir werden seit 3 Tagen ohne ende DDOS-Attacken ausgesetzt.
Egal was wir machen es funkt genau für 10min und los gehts wieder.

Also folgende Systeme haben wir.

1x Firewall
1x Hauptserver
1x Backupserver
1x NAS Qnap
8x Workstation
100Mbit Down/Upload Kabel Business Leitung.

1x Server als Hauptbackup nicht im gleichen Netzwerk.

Was passiert eigentlich:
Die Workstation funktionieren da passiert nichts.
Die beiden Server auch. Nur die DDOS-Attacken gehen warum auch immer auf die NAS los.
Die NAS hat 2 LAN Anschlüsse. Das geile, beide haben auf einmal die gleich MAC Adresse.
Ja die gleiche. Wie warum wissen wir nicht.
Weiters wird die Leitung blockiert bis zu geht nicht mehr.
Mailverkehr geht kaum mehr. Exchange is extern bei uns.
Wir haben mit unseren Provider telefoniert und haben jetzt auch eine neue Staat ische IP Adresse.
Hat genau 0 genutzt. Die DDOS-Attacken hören nicht auf.
Auch als wir die Firewall ersetzt haben immer das gleiche.
Das einzige was wir herausgefunden haben die DDOS-Attacken kommen aus Hong Kong über Paris.
Was die bei einer kleinen Imkerei wollen weis ich leider auch nicht.

Hab ihr eine Idee wie wir das hinbekommen?

Danke für die Hilfe
 
Vielleicht ein Virus im Bios selber. Gehe mal davon aus das Ihr die Platten auch schon ausgetauscht habt. Auf die Weise kann es sein das euch der Angreifer immer wieder findet. Evtl. ist auch euer Router betroffen. Welches Betriebssystem nutzt Ihr? Kumpel von mir hatte das gleiche Problem und ist dann von Debian auf Win Server umgestiegen.
 
Wie alt ist die NAS? Weil Qnap schon oft Probleme mit Sicherheitslücken in der Firmware hatte. Aktuelle Firmware drauf?
http://m.heise.de/newsticker/meldung/Viele-Qnap-Systeme-sperrangelweit-offen-1883838.html
 
Zuletzt bearbeitet: (Link zugefügt.)
Virenscanner über jede Festplatte laufen lassen.
Auf jdem Gerät überprüfen ob BIOS/Firmware auf dem aktuellsten Stand ist.
 
Das NAS über das Interface zum Firmware-Update bewegen, auch wenn es die selbe Version ist.
Dadurch werden ev. die Mac-Adressen korrigiert und eingeschleußter Code überschrieben, falls es kompromittiert wurde.

Was steht im Firewall-Protokoll? Gibt es außergewöhnliche Ausgänge?
Wenn die Hacker keine Antwort bekommen, ist es besser.
 
Zuletzt bearbeitet:
Mal den eigenen Traffic am Router loggen. Eines eurer Geräte geht vermutlich petzen.

Das sind höchstwahrscheinlich automatische Bots. Die haben euch (und eure Sicherheitslücken) einfach nur gefunden und spulen jetzt ihr Programm ab. Eine gezielte Attacke ist das vermutlich nicht.
 
Zuletzt bearbeitet:
ist aber schon "viel" Equipment für eine kleine Imkerei :D.

Teilweise wird es helfen die Hardware zu ersetzen. Das ist sogar zumeist günstiger als einen "Spezialisten" zu finden. Gibt leider viele "schwarze Schafe" in dieser Branche.

Ein mir bekannter Betrieb hat einfach das ganze Netzwerk lahmgelegt (Strom aus) und einen Stick für Email und Internet zugelegt. Aber das klappt auch nur wenn man Zeitweise auf die Server und Co. verzichten kann.
 
Die Sicherheitslücken wurden bereits ausgenutzt.
Oder hat jemand schon erlebt, dass durch einen externen Zugriff MAC-Adressen in der Firmware umgeschrieben werden?
Auf jeden Fall besteht da schneller Handlungsbedarf.
Diese Attacken sind meist schon personalisiert.
Wer weiß, wo die Reise hingeht, ihr seid Mittel zum Zweck.
Kommt nicht gut, wenn von euch aus weitere Ziele attackiert werden.
 
Zuletzt bearbeitet:
Das ist sogar zumeist günstiger als einen "Spezialisten" zu finden. Gibt leider viele "schwarze Schafe" in dieser Branche.
gibt da keine schwarzen Schafe nur Geizistgeil Pri***** ... die glauben Sicherheit kriegt mn für nen Apple und nen Ei :evillol:

cloudflare & Co ... beim ddos und wenn sie nur auf das NAS losgehen das vom netz nehmen ...
 
Zuletzt bearbeitet:
@O-Saft-Killer
HDD ausgetauscht. Router ebenfalls. Virus haben wir keine gefunden. ESEt NOD Server Securty.

@up.whatever
danke für die Hilfe

@Bartmensch
NAS 1 Jahr alt. Firmaware wurde in August od. Sep draufgespielt.

@emeraldmine
Nein habe ich nicht. Wir haben Kabelsignal in Österreich.
Wir verwenden Zyxel nur welchen weiß ich nicht.

@doof123
Das werde ich morgen mal checken bin mir da nicht so sicher.

@luda
Leider kein Virus auf der HDD. Bios muss ich checken.

@Uridium
Hoffe du hast recht :)

@Rollensatz
Naja kleine Imkerei noch unter die TOP 10 sind wir in Österreich :)

Danke für die Tipps werde morgen mal schauen wie was wann und wo.
Melde mich dann

danke und gn8
 
Da ihr die IP Adresse schon gewechselt habt müssen die Angreifer euch doch wieder gefunden haben.
Ihr habt daher eine Domain die auf die IP Adresse zeigt oder verwendet einen DynDNS Dienst?
Wenn ja und der Angriff zielt auf die Domain ab dann kann man einen DDoS Schutz dazwischen schalten. (Eventuell Cloudflare)
Wenn nein, dann dürfte bereits ein Gerät infiziert sein. Eventuell die Geräte einzeln an einen anderen Internetanschluss überprüfen.
 
Vielleicht ist das jemand der schlechtes Honig von euch bekommen hat :)
 
ohne worte echt.. warum muss das NAS vom Internet aus erreichbar sein?
diese Funktion bitte zum Test abstellen..
 
Zurück
Oben