Vill du vara del av diskussionerna i forumet, ställa frågor eller hjälpa andra? Registrera dig här!

Ökade utpressningsattacker mot NAS-enheter

Trädvy Permalänk
Number Six
Registrerad
Dec 1999

Ökade utpressningsattacker mot NAS-enheter

Attacker där filer på internetanslutna NAS-enheter krypteras för utpressningssyfte har ökat på senare tid, och användare av sådana produkter bör se till att hålla mjukvaran uppdaterad.

Läs hela artikeln här

Observera att samma trivselregler gäller i kommentarstrådarna som i övriga forumet och att brott mot dessa leder till avstängning. Kontakta redaktionen om du vill uppmärksamma fel i artikeln eller framföra andra synpunkter.

Trädvy Permalänk
Moderator
Registrerad
Jul 2017

Så kan det gå när man av misstag kopplar in en internetsladd i sin hårddisk...

En bild säger mer än tusen ord. Så här gör du för att lägga upp bilder till ditt foruminlägg.

Synpunkter på moderering eller andra frågor om siten? Välkommen att kontakta oss via Sweclockers kontaktformulär eller i feedback-forumet.

Trädvy Permalänk
Medlem
Plats
Isla de Muerta
Registrerad
Okt 2009

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Paranoid ?
1. Slå på tvåvägs verifiering (skriv in ett nummer du får på din mobil).
2. Vitlista IP nummer (ditt, dina vänner mm) och blockera allt annat.
3. Stäng av tjänster du inte använder, HTTP/FTP/SSH mm.

CPU: 3600 [Undervoltad, OC gjorde för lite skillnad]
GPU: 2070s ~2050Mhz
RAM: 16GB 3200Mhz

Tips: Akta dig för forum experterna, fråga tillverkaren istället.

Trädvy Permalänk
Medlem
Plats
Inglewood
Registrerad
Aug 2005

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

WS: 8700K 4.8ghz - 32GB - 2.5TB SSD - 15TB HDD - RTX 2070 Super - 40" 3840x2160 - W10 Pro
LAPTOP: Lenovo ThinkPad X131e - 12GB - 240GB SSD - W10
NAS: HP MicroServer Gen8 - 32TB
Mobil: OnePlus 6T

Trädvy Permalänk
Moderator
Registrerad
Jul 2017
Skrivet av hakd:

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Absolut, någon slags lösning likt fail2ban är inte helt fel, fast det skyddar inte mot säkerhetshål före inloggning som t.ex. i fallet för Qnap-NAS:arna.

En bild säger mer än tusen ord. Så här gör du för att lägga upp bilder till ditt foruminlägg.

Synpunkter på moderering eller andra frågor om siten? Välkommen att kontakta oss via Sweclockers kontaktformulär eller i feedback-forumet.

Trädvy Permalänk
Säkerhetsutbildare
Plats
Malmö
Registrerad
Jul 2012
Skrivet av hakd:

"administratörslösenord hämtas via så kallade brute force-angrepp"
Nio av tio normala NAS (inte värsta budget skiten) har automatisk blockning på vid installation.

Efter x antal försök är ditt ip låst i x antal minuter vilket gör bruteforce värdelöst.
Istället för att ett IP kan testa några hundra tusen lösenord så kan det kanske testa mellan tre och fem stycken innan det automatiskt bannas i allt ifrån 30 minuter till permanent.

Även ett botnät med några hundra tusen datorer blir handikappat då antalet testade lösenord begränsat extremt. Några hundra tusen på någon minut (per klient/ip) till kanske 3 - 5 på en halvtimme (per klient/ip).

Ja. Här rör det sig troligtvis om ordlisteattacker där botnätet testar de absolut vanligaste lösenorden. Ni som har Synology-Nas-enheter kan undersöka vilka blockeringsregler som används genom att öppna Kontrollpanelen, välja Säkerhet och gå till fliken Konto.

Sociala medier: @KarlEmilNikka

Trädvy Permalänk
Medlem
Plats
Isla de Muerta
Registrerad
Okt 2009

@nikka:

Asustor har typ exakt samma:

CPU: 3600 [Undervoltad, OC gjorde för lite skillnad]
GPU: 2070s ~2050Mhz
RAM: 16GB 3200Mhz

Tips: Akta dig för forum experterna, fråga tillverkaren istället.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Okt 2010
Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Men hur säkert är FreeNAS eller XigmaNAS för den delen? Kör själv XigmaNAS men kan egentligen för lite om detta. Ser dock i loggen att det är konstanta inloggningsgörsök från ständigt nya adresser.

En anekdot: tog en av dessa adresser och skrev in i webbläsaren och hamnade i en QNAP NAS hos en tandläkare i Tyskland där NASen fö hade default inloggning (admin/admin)...

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Apr 2005

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Trädvy Permalänk
Moderator
Registrerad
Jul 2017
Skrivet av lord_moggo:

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Det beror helt på hur exponerad den är till Internet, hur mycket du litar på andra enheter som har åtkomst till ditt LAN, och vilka tjänster den kör.

En bild säger mer än tusen ord. Så här gör du för att lägga upp bilder till ditt foruminlägg.

Synpunkter på moderering eller andra frågor om siten? Välkommen att kontakta oss via Sweclockers kontaktformulär eller i feedback-forumet.

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Jul 2007
Skrivet av nikka:

Ja. Här rör det sig troligtvis om ordlisteattacker där botnätet testar de absolut vanligaste lösenorden. Ni som har Synology-Nas-enheter kan undersöka vilka blockeringsregler som används genom att öppna Kontrollpanelen, välja Säkerhet och gå till fliken Konto.

https://nikkasystems.com/wp-content/uploads/2019/08/synology_block_ip.png

Är detta inställt som standard eller behöver det aktiveras manuellt om man installerar sin Synology NAS utan att ändra saker i installationen?

Ska kolla hur det ser ut i min när jag kommer hem.

Skickades från m.sweclockers.com

Har ett moderkort men vart fan köper man ett pappakort!?
Dator som moddas för fullt: SilverStone Raven RV02 White| i7 2600k @ 4,6GHz | ASUS P8P67 WS Revolution| Tri SLI Asus GTX580 DCII| 16Gb Corsair Vengence 1600MHz | Corsair AX 1200i| 2st OCZ Vertex 3 MI 120GB | Skärmar: 3x Dell U2311

Trädvy Permalänk
Säkerhetsutbildare
Plats
Malmö
Registrerad
Jul 2012
Skrivet av aliassund:

Men hur säkert är FreeNAS eller XigmaNAS för den delen? Kör själv XigmaNAS men kan egentligen för lite om detta. Ser dock i loggen att det är konstanta inloggningsgörsök från ständigt nya adresser.

En anekdot: tog en av dessa adresser och skrev in i webbläsaren och hamnade i en QNAP NAS hos en tandläkare i Tyskland där NASen fö hade default inloggning (admin/admin)...

Skickades från m.sweclockers.com

Skrivet av lord_moggo:

Hur osäkert är det i jämförelse att tex köra Ubuntu 10.4 på en hemmabyggd NAS?

Att byta till nyare har jag skjutit upp rätt länge nu. Jag har haft planer att bygga ny och då antagligen köra freenas istället, pga att jag inte har behovet av en massa andra extra tjänster på servern längre.

Så länge som en Freenas-baserad Nas underhålls och konfigureras på samma sätt som en Synology-Nas är de lika säkra. Nu var det länge sedan jag lekte med Freenas (och jag har aldrig testat Xigmanas), men jag kan tänka mig att det fortfarande krävs mer av dig som administratör för att få rätt på allt. Synology DSM har synnerligen simpla konfigurationsguider för att aktivera välbehövliga säkerhetsfunktioner som tvåstegsverifiering och Let’s encrypt.

Gällande Ubuntu 10.04 så släpps inte längre uppdateringar. Du måste köra en dist-upgrade till Ubutnu 18.04.

Jag håller på att göra en bildguide med tio tips för att säkra Synology DSM. Jag postar den här imorgon. I korta drag innehåller den:

1. Håll operativsystemet uppdaterat
2. Aktivera automatisk uppdatering av operativsystemet
3. Uppdatera tilläggspaket och avinstallera tilläggspaket som in används
4. Kräv starka lösenord
5. Kräv tvåstegsverifiering
6. Tillåt endast portarna som behöver tillåtas
7. Spärra IP-adresserna från botar som testar lösenord
8. Aktivera Let’s encrypt
9. Installera antivirus
10. Säkerhetskopiera, säkerhetskopiera, säkerhetskopiera

Sociala medier: @KarlEmilNikka

Trädvy Permalänk
Entusiast
Plats
Göteborg
Registrerad
Dec 2005

Kanske är dags att uppdatera Xpenology och passa på att organisera om lite.

Q9450, HD4850, 8 GB DDR2 800 MHz, 3x750 GB, Antec 300, Dell 2408WFP, U2410, Qnap TS-419p+ 4x2 TB Samsung F4, Asus UL30A-QX056V, Logitech Z-680, Sennheiser HD380pro, M-Audio FastTrack Pro, Ibanez sa160qm, Ibanez TB 15R, Zoom 505II, Ibanez GSR 200, Ibanez SW 35, Cort AC-15, Squier SD-3 BBL, Yamaha PSR 270, Røde NT1-A, Nikon D200, Nikkor 18-70/3,5-4,5, 70-300VR, 50/1,8, 28/2,8, Tamron 17-50/2,8, 90/2,8, Sigma 30/1,4, SB-800, SB-25, SB-24

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Feb 2013

Har i över ett år haft återkommande inloggningsförsök på min synology. Satte hårda regler på autoban så kan de försöka bäst de vill. Hittils bara Attacker från kinesiska och ryska vpn-ips så ganska lätta att permabanna dem.
Men det är bra att gå igenom sin säkerhet på nasen för detta är nog vanliga än man tror.

Trädvy Permalänk
Säkerhetsutbildare
Plats
Malmö
Registrerad
Jul 2012
Skrivet av Tobi the Dobi:

Är detta inställt som standard eller behöver det aktiveras manuellt om man installerar sin Synology NAS utan att ändra saker i installationen?

Ska kolla hur det ser ut i min när jag kommer hem.

Skickades från m.sweclockers.com

Jag kollade på en nyinstallerad DSM 6.2-Nas och där var auto-block aktiverat som standard. Standardinställningarna var att blockera IP-adresser som gör tio felaktiga inloggningsförsök inom fem minuter.

Observera att beteendet kan vara annorlunda på Nas-modeller som levererats med en tidigare version av DSM från början.

Sociala medier: @KarlEmilNikka

Trädvy Permalänk
Medlem
Plats
Borås
Registrerad
Jul 2004
Skrivet av nikka:

Jag kollade på en nyinstallerad DSM 6.2-Nas och där var auto-block aktiverat som standard. Standardinställningarna var att blockera IP-adresser som gör tio felaktiga inloggningsförsök inom fem minuter.

Observera att beteendet kan vara annorlunda på Nas-modeller som levererats med en tidigare version av DSM från början.

har en från 2013 och inte pillat på de inställningarna, och de är samma 10 försök innom 5 min banna ip't för evigt.

Det sagt ligger inte min nas ut mot nätet så sak samma för min del.

Speldator: i7-8700k, 32GB DDR4, RTX2080
Server 1: SB 2500k, MZI -P67GD55, 32GB DDR3, Corsair MX 240GB SSD
Surface Pro 2017, Konsoler: Typ alla, Oculus Rift

Trädvy Permalänk
Medlem
Plats
Gbg
Registrerad
Dec 2006

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Citera för svar!

Trädvy Permalänk
Medlem
Registrerad
Feb 2005
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Minskar ju attackytan dramatiskt.

Dock, har du koll på vad de i det lokala nätet laddar hem och kör?

Edit:

gäller ju tex även den här kommenteraren:

Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Man kan låsa ner ordentligt mot yttre angrepp men sen så sitter en familjemedlem och laddar ner ransomware-infekterade program och då hjälper det föga.

Trädvy Permalänk
Medlem
Registrerad
Aug 2015

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Nov 2008
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Oavsett svaret hade jag följt råden ändå. Det är inte precis svårt att se att nästa steg för dessa grupper att börja inkludera NAS attack kod i payload för vanlig ransomeware, dvs kryptera både dator och NAS. Det är inte ett trivialt antal personer som har sina backsups på NASen, eller alla riktigt värdefulla filer på den. Jag har mycket viktigare data på NASen jämfört med min laptop. En NAS ör ett självklart extremt värdefullt offer

Rådet som jag tycker saknas lite exponeringsmässigt är vikten av en backup som inte kan krypteras! Externa HDDer som ligger avslagna förutom vid överföring är ett exempel

Skickades från m.sweclockers.com

Trädvy Permalänk
Medlem
Registrerad
Nov 2013
Skrivet av THB:

Ibland är det skönt att vara DIY, kör en "hemmabyggd" NAS beståendes av en HP Microserver Gen8 med FreeNAS som sitter bakom rätt så stängd pfsense-burk.

Vist är det
Särskilt när den ligger nerpackad i en flyttkartong efter flytt.
Lutar mig tillbaka i soffan och tar det lungt ett tag till

Skickades från m.sweclockers.com

Fractal Design Define R4 -|- Asus Maximus VI Formula -|- Intel Core i7-4770K -|- Cooler Master V8 GTS -|- Corsair 16GB (2x8GB) Vengeance PRO -|- ASUS GeForce GTX 780 3GB DC2 -|- Fractal Design Newton R3, 800W 80+ Platinum -|- Samsung 840 EVO 120GB (OS) -|- Samsung 840 EVO 250GB (Spel/Program) -|- ca 6TB Mekaniska diskar För allt annat.

Trädvy Permalänk
Medlem
Plats
Inglewood
Registrerad
Aug 2005

@filbunke: Eftersom jag bor själv så är inte det några problem.

WS: 8700K 4.8ghz - 32GB - 2.5TB SSD - 15TB HDD - RTX 2070 Super - 40" 3840x2160 - W10 Pro
LAPTOP: Lenovo ThinkPad X131e - 12GB - 240GB SSD - W10
NAS: HP MicroServer Gen8 - 32TB
Mobil: OnePlus 6T

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2003
Skrivet av reverend benny:

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

En av mina huvudfunktioner, allt på ett ställe, då ur Ut-koppling viktigt

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Nov 2003

Synology fick lite gratisreklam där ja.
Bra, skall snart köpa mig en NAS när min WindowsHomeserver 2011 lägger av för gott, verkar dock dröja, 8 felfria år nu 24/7.

Trädvy Permalänk
Medlem
Plats
Vid datorn
Registrerad
Jan 2010

@nikka:
Hur bör man tänka med ogiltiga inloggningsförsök, för att spärra dessa försök så snabbt som möjligt. Har idag 5 försök inom 5 minuter samt att IP inte tas bort.
Avser sätta upp FTP till Nasen (Synology), men kan jag då på något sätt blockera access från WAN. Ska enbart användas lokalt.

Tacksam för svar
//Freezer

Corsair Carbide 200R, MSI x99A SLI Plus, i7-5820, Hyper 212 Evo, Geforce GTX 770, 16 GB Corsair Vengeance, Samsung 960 Evo 512GB, HDD *7, EVGA G2 750W, Windows 10 Pro 64bit.
HP ProBook 6560b, Win 10 Pro 64bit
*Citera om du vill ha svar*

Trädvy Permalänk
Medlem
Plats
Vid datorn
Registrerad
Jan 2010

@Kiirozu:
Var hittar du information om dessa inloggningsförsök?
Den logg jag hittar innehåller enbart mina egna inloggningar. Fast det kanske innebär att ingen kan eller har försökt ansluta utifrån.

//freezer

Corsair Carbide 200R, MSI x99A SLI Plus, i7-5820, Hyper 212 Evo, Geforce GTX 770, 16 GB Corsair Vengeance, Samsung 960 Evo 512GB, HDD *7, EVGA G2 750W, Windows 10 Pro 64bit.
HP ProBook 6560b, Win 10 Pro 64bit
*Citera om du vill ha svar*

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Apr 2005
Skrivet av reverend benny:

VARFÖR ska allt alltid ha möjlighet att nås remote eller kunna snacka ut på internet?
Det är nog oerhört få som faktiskt har ett behov för det och OM man nu behöver det så skadar det inte att läsa på lite om hur man sätter upp saker säkert.

Jag har använder min NAS för backup så jag har den hos en vän och han har sin NAS hos mej, detta för att ge en backup vid en brand/inbrott.
Därför behöver jag ha en NAS som är kopplad mot internet.

Trädvy Permalänk
Medlem
Registrerad
Mar 2016

Rekommenderar att man geo-blockar om man behöver komma åt sin NAS utifrån, jag har enbart vitlistat det land jag vistas i.
Ska jag resa utomlands så är det bara att lägga till det land för stunden.
Jag hade väldigt många från Kina och Ryssland som försökte logga in på min, efter geo-blocken så har jag ingen.

Har all min media på NASen och vill såklart kunna komma åt det vart jag än befinner mig.

Trädvy Permalänk
Medlem
Registrerad
Dec 2016
Skrivet av Freezer64Pro:

@Kiirozu:
Var hittar du information om dessa inloggningsförsök?
Den logg jag hittar innehåller enbart mina egna inloggningar. Fast det kanske innebär att ingen kan eller har försökt ansluta utifrån.

//freezer

Först måste du ha ställt in att DSM automatiskt permanent blockerar IP-adresser som gör misslyckade inloggningsförsök. (Själv har jag tre inloggningsförsök på fem minuter, sedan permanent block av IP.)
Detta gör man som tidigare sagts i kontrollpanelen -> Säkerhet -> Konto
Där finns också "Allow/Block List", där kan man tillåta sina lokala IP-adresser ifall man försöker logga in på fyllan utan att lyckas. Sedan finns det "Block List" och det är där IP-adresserna samlas som blivit permanent blockerade.

*Inlägg med reservation för eventuell censur av admin ;-)

Trädvy Permalänk
Säkerhetsutbildare
Plats
Malmö
Registrerad
Jul 2012
Skrivet av Nima2001:

Hur mycket gäller detta för dom som inte öppnat några portar för NASen mot internet..?
Kör två xpenology hemma men ingen av dom är tillgänglig från WAN

Attackerna som beskrivs i artikeln gäller internetexponerade Nas-enheter. Dessa attacker infekterar själva Nas-operativsystemet och krypterar därefter filerna. Nas-enheter som endast är åtkomliga inom det lokala nätverket löper ytterst liten risk för att drabbas av en sådan utpressningstrojan eftersom den i så fall måste spridas från en infekterad enhet i det lokala nätverket.

I ursprungsartikel som SweClockers länkar till tipsar jag om möjligheten att använda VPN för fjärråtkomst. Många av dagens kraftfullare routrar kan agera Open-VPN-server så att du kan ansluta på ett säkert sätt till ditt lokala nätverk över internet. Då kan du komma åt filerna på din Nas-enhet utan att behöva exponera den mot internet. Detta tips rekommenderar jag framförallt alla som har Nas-modeller som underhållsmässigt nått ”end-of-life” att följa.

Obs! Filerna som du lagrar på Nas-enheten kan vara utsatta trots att Nas-enheten i sig inte är exponerad mot internet. Om en utpressningstrojan infekterar en dator i det lokala nätverket kan trojanen även utpressningskryptera filer som finns på anslutna nätverksresurser.

Sociala medier: @KarlEmilNikka