Włamanie do QNAP 209 PRO II

Dyskusja w 'Inne' rozpoczęta przez użytkownika Viking, 5 Marzec 2010.

Ładowanie...
  1. Viking
    Offline

    Viking Passing Basics Beginner

    Dołączył:
    11 Lipiec 2008
    Wiadomości:
    39
    Miejscowość:
    Koszalin
    Local Time:
    14:37
    Oceny:
    +3 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53A
    Ethernet:
    1 GbE
    TS-x53A 1 GbE
    Witam.

    Od bardzo długiego czasu następowały ataki na mój serwer, skutecznie je jednak odpierał. Niestety dzien 8 stycznia 2010 okazał się dniem w którym mój Qnap poległ. Jakimś cudem z kilkunastu adresów IP (głównie korea, USA) nastąpiły udane logowania na koncie admin'a. Nie wiem jakim cudem się to stało, tym bardziej, że co jakiś czas zmieniam hasła dostępowe dla uzytkownika Admin. Hasło też nie należy do prostych bo używam schematu np: xxxxxx.CCCxxxxx lub XxxxxxxCXxxxxxx (gdzie X to litera, a C to cyfra) lub innych równie dziwnych ze znakami specjalnymi, na zmianę duże/małe litery i przemieszane cyframi.

    Zastanawia mnie zatem fakt, że udało się komuś z różnych adresów IP zalogować do mojego QNAP'a. Co ciekawe włam nastapił tylko do katalogu ze stronami www. Zainfekowano mi pliki stron które miałem zainstalowane na serwerze. Według logów podmieniano niektóre pliki PHP lub dogrywano jakieś skrypty JAVA. Dziwne jest to, że na moim Qnap nie uruchamialem obsługi skryptów JAVA. Zatem tak naprawdę nie mogły być uruchamiane i co za tym idzie nie miały mozliwości nic namieszać. Oczywiście mój program antywirusowy wydarł się odrazu, że pliki są zaionfekowane, w wiekszości jakimiś trojanami. Na szczęście po tym włamaniu, zmieniałem dysk w kompie i system stawiałem nowy bez przenoszenia danych ze starego, zatem nic nie zainfekowałem na kompie. Przynajmniej na nowym dysku.

    Pytanie teraz następujące. Czy Qnap może mieć jakąś lukę, która umożliwiła zalogowanie się na konto Admina zdalnie na podstawie jakiegoś hasła klucza lub innego schematu ogólnego dla wszystkich modeli 209 Pro II? Zmartwiła mnie ta sytuacja bardzo, co poskutkowało wyłączeniem dostępu do serwera dla komputerów poza siecią wewnętrzną. Niestety przestałem używać swojego serwera do FTP i serwera stron www i bazodanowego z dostępem z zewnątrz, a do tego celu był głównie wykorzystywany.

    Czy ktoś miał podobny przypadek? Czy znacie jakiś skuteczny sposób na zabezpieczenie się w przyszłości przed takimi wypadkami? Zmiana hasła admina co miesiąc okazała się nie wystarczająca. Zresztą loguję sią jako Admin z innego loginu, więc przechwycenie hasła do mojego loginu innego niż Admin odpada, bo mam dla każdego użytkownika inne hasło i tworzę je według innego klucza.

    Pozdrawiam,
     
  2. Gregor
    Offline

    Gregor System Engineer Q Specialist

    Dołączył:
    28 Listopad 2008
    Wiadomości:
    116
    Local Time:
    13:37
    Oceny:
    +9 / 0 / -0
    Followers:
    0
    QNAP:
    TS-239 Pro II
    Ethernet:
    1 GbE
    TS-239 Pro II 1 GbE
    Miałem kiedyś podobnie, pisałem o tym na forum niestety bez odpowiedzi.
    Nie sądzę, żeby ktoś odgadł takie haslo. Po prostu jest dziura i tyle. U mnie doklejały się jakieś skrypty tylko w qweb do plików html i php.

    Walczyłem zróznymi spsobami niestety bez rezultatu. Poradziłem sobie w najprostszy z mozliwych sposobów.
    W innym katalogu zrobiłem kopię wszystkich plików html i php. Co 5 minyt w cronie sprawdzam czy się nie róznią. Jak się róznią to nadgrywam i po sprawie.
     
  3. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    14:37
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    Ja nawet, jeżeli stawiam serwer WWW na Linux’e nie nadaje mu publicznego adresu IP. Serwer odgrodzony jest zawsze od Internetu jakimś routerem z przekierowanym portem. Może to mało wygodne rozwiązanie, ale daje to mi pewność, że tylko WWW jest dostępne na zewnątrz a nie inne usługi i błędy z innych usług serwera.

    Mój Qnap 509 nie posiada może strony WWW, ale dostęp do niego ze świata jest poprzez VPN i zdanych dziwnych połączeń i prób włamania nie doświadczyłem.

    Czy wasze włamania miały miejsce, jeżeli urządzenia Qnap posiadały bezpośrednio wpisane adresy IP publiczne ?.
     
  4. Gregor
    Offline

    Gregor System Engineer Q Specialist

    Dołączył:
    28 Listopad 2008
    Wiadomości:
    116
    Local Time:
    13:37
    Oceny:
    +9 / 0 / -0
    Followers:
    0
    QNAP:
    TS-239 Pro II
    Ethernet:
    1 GbE
    TS-239 Pro II 1 GbE
    Jeżeli chodzi o mnie, to mam neostradę i zmienne ip więc korzystam z dyndns.com
     
  5. jaroslawk
    Offline

    jaroslawk Staff Contributor

    Dołączył:
    1 Październik 2008
    Wiadomości:
    275
    Miejscowość:
    Konin
    Local Time:
    14:37
    Oceny:
    +25 / 0 / -0
    Followers:
    0
    QNAP:
    TS-509 Pro
    Ethernet:
    1 GbE
    TS-509 Pro 1 GbE
    W routerze masz przekierowane odpowiednie porty na zewnątrz czy wykorzystujesz funkcję DMZ ?.
     
  6. Viking
    Offline

    Viking Passing Basics Beginner

    Dołączył:
    11 Lipiec 2008
    Wiadomości:
    39
    Miejscowość:
    Koszalin
    Local Time:
    14:37
    Oceny:
    +3 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53A
    Ethernet:
    1 GbE
    TS-x53A 1 GbE
    Mam przekierowane odpowiednie porty. Nie używam funkcji DMZ.

    Tak jak pisał Grgor. U mnie też zaatakowano tylko qweb'a. I tak jak u Gregora doklejały sie skrypty java do plików html i php. Też tak sobie myslę, że jest jakaś dziura w zabezpieczeniach Qnap.

    Ale, cały czas jestem otwarty na propozycje, jak się zabezpieczyć przed takimi włamaniami.
     
  7. Gregor
    Offline

    Gregor System Engineer Q Specialist

    Dołączył:
    28 Listopad 2008
    Wiadomości:
    116
    Local Time:
    13:37
    Oceny:
    +9 / 0 / -0
    Followers:
    0
    QNAP:
    TS-239 Pro II
    Ethernet:
    1 GbE
    TS-239 Pro II 1 GbE
    nie używam DMZ.

    Na razie mój sposób działa, ale wiem, że to mało profi :)
     

Poleć tę stronę

Użytkownicy znaleźli te stronę szukając słów:

  1. qnap włamanie