Witam.
Od bardzo długiego czasu następowały ataki na mój serwer, skutecznie je jednak odpierał. Niestety dzien 8 stycznia 2010 okazał się dniem w którym mój Qnap poległ. Jakimś cudem z kilkunastu adresów IP (głównie korea, USA) nastąpiły udane logowania na koncie admin'a. Nie wiem jakim cudem się to stało, tym bardziej, że co jakiś czas zmieniam hasła dostępowe dla uzytkownika Admin. Hasło też nie należy do prostych bo używam schematu np: xxxxxx.CCCxxxxx lub XxxxxxxCXxxxxxx (gdzie X to litera, a C to cyfra) lub innych równie dziwnych ze znakami specjalnymi, na zmianę duże/małe litery i przemieszane cyframi.
Zastanawia mnie zatem fakt, że udało się komuś z różnych adresów IP zalogować do mojego QNAP'a. Co ciekawe włam nastapił tylko do katalogu ze stronami www. Zainfekowano mi pliki stron które miałem zainstalowane na serwerze. Według logów podmieniano niektóre pliki PHP lub dogrywano jakieś skrypty JAVA. Dziwne jest to, że na moim Qnap nie uruchamialem obsługi skryptów JAVA. Zatem tak naprawdę nie mogły być uruchamiane i co za tym idzie nie miały mozliwości nic namieszać. Oczywiście mój program antywirusowy wydarł się odrazu, że pliki są zaionfekowane, w wiekszości jakimiś trojanami. Na szczęście po tym włamaniu, zmieniałem dysk w kompie i system stawiałem nowy bez przenoszenia danych ze starego, zatem nic nie zainfekowałem na kompie. Przynajmniej na nowym dysku.
Pytanie teraz następujące. Czy Qnap może mieć jakąś lukę, która umożliwiła zalogowanie się na konto Admina zdalnie na podstawie jakiegoś hasła klucza lub innego schematu ogólnego dla wszystkich modeli 209 Pro II? Zmartwiła mnie ta sytuacja bardzo, co poskutkowało wyłączeniem dostępu do serwera dla komputerów poza siecią wewnętrzną. Niestety przestałem używać swojego serwera do FTP i serwera stron www i bazodanowego z dostępem z zewnątrz, a do tego celu był głównie wykorzystywany.
Czy ktoś miał podobny przypadek? Czy znacie jakiś skuteczny sposób na zabezpieczenie się w przyszłości przed takimi wypadkami? Zmiana hasła admina co miesiąc okazała się nie wystarczająca. Zresztą loguję sią jako Admin z innego loginu, więc przechwycenie hasła do mojego loginu innego niż Admin odpada, bo mam dla każdego użytkownika inne hasło i tworzę je według innego klucza.
Pozdrawiam,
Od bardzo długiego czasu następowały ataki na mój serwer, skutecznie je jednak odpierał. Niestety dzien 8 stycznia 2010 okazał się dniem w którym mój Qnap poległ. Jakimś cudem z kilkunastu adresów IP (głównie korea, USA) nastąpiły udane logowania na koncie admin'a. Nie wiem jakim cudem się to stało, tym bardziej, że co jakiś czas zmieniam hasła dostępowe dla uzytkownika Admin. Hasło też nie należy do prostych bo używam schematu np: xxxxxx.CCCxxxxx lub XxxxxxxCXxxxxxx (gdzie X to litera, a C to cyfra) lub innych równie dziwnych ze znakami specjalnymi, na zmianę duże/małe litery i przemieszane cyframi.
Zastanawia mnie zatem fakt, że udało się komuś z różnych adresów IP zalogować do mojego QNAP'a. Co ciekawe włam nastapił tylko do katalogu ze stronami www. Zainfekowano mi pliki stron które miałem zainstalowane na serwerze. Według logów podmieniano niektóre pliki PHP lub dogrywano jakieś skrypty JAVA. Dziwne jest to, że na moim Qnap nie uruchamialem obsługi skryptów JAVA. Zatem tak naprawdę nie mogły być uruchamiane i co za tym idzie nie miały mozliwości nic namieszać. Oczywiście mój program antywirusowy wydarł się odrazu, że pliki są zaionfekowane, w wiekszości jakimiś trojanami. Na szczęście po tym włamaniu, zmieniałem dysk w kompie i system stawiałem nowy bez przenoszenia danych ze starego, zatem nic nie zainfekowałem na kompie. Przynajmniej na nowym dysku.
Pytanie teraz następujące. Czy Qnap może mieć jakąś lukę, która umożliwiła zalogowanie się na konto Admina zdalnie na podstawie jakiegoś hasła klucza lub innego schematu ogólnego dla wszystkich modeli 209 Pro II? Zmartwiła mnie ta sytuacja bardzo, co poskutkowało wyłączeniem dostępu do serwera dla komputerów poza siecią wewnętrzną. Niestety przestałem używać swojego serwera do FTP i serwera stron www i bazodanowego z dostępem z zewnątrz, a do tego celu był głównie wykorzystywany.
Czy ktoś miał podobny przypadek? Czy znacie jakiś skuteczny sposób na zabezpieczenie się w przyszłości przed takimi wypadkami? Zmiana hasła admina co miesiąc okazała się nie wystarczająca. Zresztą loguję sią jako Admin z innego loginu, więc przechwycenie hasła do mojego loginu innego niż Admin odpada, bo mam dla każdego użytkownika inne hasło i tworzę je według innego klucza.
Pozdrawiam,
