Help Masowe ataki na QNAPy?

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Jak już ze dwa dni temu pisałem na czacie, od kilku dni znowu występują chyba jakieś zmasowane ataki na QNAPy. Z fb wynika, że nawet komuś tam poszyfrowało dane, a na czasie @Silas Mariusz coś wspominał o dużej ilości tego typu zgłoszeń.
W administracji mam trzy QNAPy, wszędzie mam publiczny i stały adres IP. Urządzenia nie są zarejestrowane w myqnapcloud, a na każdym z nich jedynym "publicznym" punktem styku jest serwer OpenVPN (na zmienionych portach) a więc na routerze następuje przekierowanie tego portu na QNAPa.
Na wszystkich urządzeniach uruchomiony QuFirewall i to właśnie z niego zrzuciłem sobie statystyki ilości blokowań.

Wygląda to tak jak na poniższym wykresie:
- lokalizacja A (między 20 a 30 grudnia była w ogóle odcięta od internetu) - w dniach 1-5 stycznia widać wzrost, następie skok 6 stycznia
- lokalizacja B - tutaj wyraźnie widać wzrost 25 grudnia, liczba utrzymuje się na stałym poziomie do 4 stycznia, potem 6-7 stycznia nic, 8 stycznia pik a 9 stycznia bardzo mała liczba
- lokalizacja C - tutaj cały czas pomijalne wartości, nie widać żadnych ataków

1641773387657.png


Pamiętając sytuację z wiosny 2021, czy tym razem znowu musimy się czegoś bać, czy mając zastosowane zasady o których wtedy było głośno (m.in. brak dostępu do myqnapcloud, wyłączone konto admina itd) można spać spokojnie?
 

Sheldon Sherman

Network Architect
Q's Professional
Aug 23, 2014
2
0
1
A czy orientujecie się koledzy jak to jest u konkurencji? np Synology, jest bezpieczeniej? ataki rzadziej, czy nie ma znaczenia producent Nas-a i jego oprogramowania?
Tak wygląda Malware szyfrujący, uruchamia się jako:
Code:
/tmp/arm -s /share

1642163819451.png


Widzisz argument poniżej?
 

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
Z powyższego wynika, że dany malware zaprojektowano do działania również na urządzeniach Synology.

Jednak należy rozdzielić dwie sprawy: malware najpierw musi dostać się na urządzenie, żeby zadziałać. Ja powyżej starałem się udowodnić, że w przypadku QNAP malware ma ułatwione zadanie w odniesieniu do typowych serwerów linuxowych ze względu na problemy z jakością oprogramowania QNAP i wewnętrzną architekturą QTS. Jak to jest w przypadku Synology - nie wiem, nie oglądałem, jak to jest w ich produktach rozwiązane.

Możesz sobie "na szybko" porównać ilość i kategorie znalezionych dziur w produktach QNAP i Synology, przy podobnie popularnych rozwiązaniach może to posłużyć do wyrobienia sobie opinii.
 

Arkadiusz

System Engineer
Q Specialist
Jan 11, 2021
112
5
18
39
QNAP
TS-x51+
Ethernet
1 GbE
Z powyższego wynika, że dany malware zaprojektowano do działania również na urządzeniach Synology.

Jednak należy rozdzielić dwie sprawy: malware najpierw musi dostać się na urządzenie, żeby zadziałać. Ja powyżej starałem się udowodnić, że w przypadku QNAP malware ma ułatwione zadanie w odniesieniu do typowych serwerów linuxowych ze względu na problemy z jakością oprogramowania QNAP i wewnętrzną architekturą QTS. Jak to jest w przypadku Synology - nie wiem, nie oglądałem, jak to jest w ich produktach rozwiązane.

Możesz sobie "na szybko" porównać ilość i kategorie znalezionych dziur w produktach QNAP i Synology, przy podobnie popularnych rozwiązaniach może to posłużyć do wyrobienia sobie opinii.
gdzie mozna to znaleźc i porównać? a problem w Qnapie dotyczy tylko QTS czy Hero też?
 

Arecki87

Entry Technician
Q Associate
Feb 11, 2018
47
14
8
34
QNAP
null
Ethernet
null
Synology mniej ataków co za tym idzie mniej popularne. Z tego co kojarzę to dopiero od niedawana wprowadzili 2FA
 

Arkadiusz

System Engineer
Q Specialist
Jan 11, 2021
112
5
18
39
QNAP
TS-x51+
Ethernet
1 GbE
Synology mniej ataków co za tym idzie mniej popularne. Z tego co kojarzę to dopiero od niedawana wprowadzili 2FA
No ale może mniej ataków bo bardziej zabezpieczone? faktyczie Qnapów jest dużo więcej niż synology na świecie?
 

vatazhka

Passing Basics
Beginner
Dec 29, 2021
14
7
3
52
QNAP
null
Ethernet
1 GbE
Popularność trzeba wziąć z opracowań, np.:
Top 5 products in the Data Storage Hardware market Network Attached Storage (NAS) Market Size, Share & Report, 2027

Z powyższych opracowań wynika, że Synology i QNAP mają w biznesie podobny udział (Tutaj warto poszukać opracowania dla interesującego cię segmentu, np. małych i średnich przedsiębiorstw.).

Potem porównujesz ilość dziur:
Synology : Products and vulnerabilities
Qnap : Products and vulnerabilities

Uwaga: musisz sobie pooglądać bliżej szczegóły, bo gdy interesują Cię NAS-y, to zwykle nieistotne będą dla ciebie np. dziury w routerach tej samej firmy (Najprawdopodobniej tworzą je zupełnie inne zespoły, korzystające z innych praktyk.):
Synology : Security vulnerabilities
Qnap : Security vulnerabilities

Możesz też sobie poczytać o metodyce "wyceny" podatności CVSS, żeby zbadać poszczególne ich aspekty - to już trochę bardziej zaawansowany aspekt:
What is CVE and CVSS | Vulnerability Scoring Explained | Imperva
 
  • Like
Reactions: Arecki87

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
że jeszcze Cię nie zeskanowali :D
Czyli kwestia czasu:)
Z trzech QNAPów ze stałym publicznym IP którymi zarządzam, dwa adresy w ogóle się nie znajdują na tej stronie. A trzeci adres mi pokazuje z informacją o otwartym porcie 80. I to niestety jest prawda, ale to taka polityka ISP, dają swój router, dla mnie w ogóle blokują dostęp (więc nawet nie mogę zmienić nazwy wifi, hasła etc) a jednocześnie otwierają do niego dostęp z zewnątrz na porcie 80.

Przy okazji pytanie: jak można najlepiej samemu "przeskanować" swoje porty aby sprawdzić co jest widoczne z zewnątrz?
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Po zmianie reguł w QuFirewall (dopuszczenie 0.0.0.0) liczba blokad przez QuFirewall spadła do pojedynczych sztuk. Ale ostatniej nocy w ciągu godziny było ich ponad 1 tysiąc:
1642586956564.png


W QuFirewall mam ustawione automatyczne przechwytywanie przez 30 minut po przekroczeniu progu 30 eventów.
1642587066188.png


No i zapisał się plik, a w środku tylko trzy rekordy:
1642587190515.png


Chyba to trochę to dziwne, że tylko 3 próby tutaj się pojawiły?
Dodatkowe pytanie: port 6881, z tego co sprawdziłem rtorrent i download station. Tego pierwszego nie mam zainstalowane, drugie mam. Mam się czego obawiać?
Post automatically merged:

nmap -sT <ip>
Ale jak to zrobić pod Windowsem?
Ściągnąłem stąd Download the Free Nmap Security Scanner for Linux/Mac/Windows ale zarówno w GUI jak i w cmd pojawia się błąd:
1642588379539.png

1642588399210.png


Jakiś pomysł co jest nie tak?
 

Attachments

  • 1642587174543.png
    1642587174543.png
    42 KB · Views: 17

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
maks, jak kojarzę to Ty masz całkiem niezłą maszynę? zrób sobie VM z debian netinstall i będziesz miał świetnego linucha, z którego będziesz mógł pracować. 2c/4gb ramu, tylko instalacja konsoli, bez środowiska graficznego.
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
Ale wiesz jaki jest problem: brak wiedzy na temat linuxa:)
A prawdę mówiąc to chyba nawet niedawno testowo uruchomiłem ubuntu linux station aby zobaczyć co to jest. Ale mnie zmobilizowałeś, jak nie w tym to jakaś VM z linuxem i będzie można działać. Ale przygotuj się wtedy na dużo lamerskich pytań :)

A wracając do nmapa, to ponowna instalacja na Windowsie jakiejś starszej wersji dała rezultat. Tzn. narzędzie działa, ale jeszcze go nie rozgryzłem co jest co.
 

Ice

Qnap reseller / Ubi advisor
Q's Excellence
Jan 16, 2018
1,092
1
326
83
35
QNAP
TVS-x72n
Ethernet
10 GbE
nmap -sT xxx.xxx.xxx.xxx na linuxie i leci skan
 

maks87

Systems Admin...
Q's Expert
Jul 20, 2012
301
29
28
34
QNAP
TS-x73
Ethernet
1 GbE
No dobra, to co to oznacza, że na porcie 6881 ktoś próbuje się do mnie dobić?
Bo od wczoraj od godzin porannych zdecydowany wzrost odrzuceń w QuFirewall.
1642799997365.png

W ostatnich 24 godzinach ponad 26tys!

W pcapach widać przeróżne adresy:
1642800049559.png