DS 107 hacked!!!

Status
Für weitere Antworten geschlossen.

Schorsch

Benutzer
Mitglied seit
26. Sep 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Liebe Leute

Per Zufall habe ich gestern mal das Verbindungsprotokoll meiner DS 107 plus angeschaut. Zu meinem grossen Erschrecken waren dort fremde IP´s aus Russland, China, Deutschland und Frankreich gelistet und auf was für Verzeichnisse diese Zugriff genommen haben. Hier mal ein Anhang anzeigen log.txt:

Ziemlich unangenehme Sache. DS ist natürlich schon am Netz (dyndns). Aber vom Protokoll schauts aus als ob die über nen Computer in meinem Netzwerk reingekommen sind. Wie beurteilt Ihr das?

Thanks,
Schorsch
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Hast du etwa in deinem Router die Netbios Ports nach innen freigegeben und auf die DS weitergeleitet?
 

Schorsch

Benutzer
Mitglied seit
26. Sep 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Kann ich nicht ausschliessen. Netbios ist zwar nicht eine Rubrik auf meinem Router aber meinst Du vielleicht das (DLink DIR 655):

24 -- Port Forwarding Rules
Ports to Open TCP/IP
9999,9998,9997,137,138,139,445,873,22,5432,4662,21,20
Inbound Filter Allow all

24--VIRTUAL SERVERS LIST
Port Traffic Type
8081 TCP
Inbound Filter
Allow All

Danke,
Schorsch
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
9999,9998,9997,137,138,139,445,873,22,5432,4662,21 ,20
Wenn das die Inbound Regel am Router ist, dann brauchst du dich nicht wundern. Die Netbios Ports am Router scheinen offen zu sein und damit kann jeder Hinz und Kunz sich als Gast auf deine Gästefreigaben verbinden
 

Schorsch

Benutzer
Mitglied seit
26. Sep 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Mist,
Was für Massnahmen empfiehlst Du mir?
Alle Inbound deaktivieren?
Keine Gästefreigaben mehr zulassen?

Wie geht ein solcher hack überhaupt?

Danke,
Schorsch
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wie geht ein solcher hack überhaupt?
Genaugenommen ist es kein Hack, weil ja keine Sicherheitsmassnahme umgangen werden muss dazu. So wie du es eingerichtet hast, ist es die "normale Funktionalität".
Als Gegenmassnahme würde ich dir vorschlagen, dass du die drei fragliche Ports auf dem Router schliesst. Wenn du schon von aussen auf dein Samba-Netzwerk zugreifen willst, solltest du dich mit VPN auseinandersetzen
 

Schorsch

Benutzer
Mitglied seit
26. Sep 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Ein Samba-Netzwerk habe ich eigentlich meines Wissens keine. Was ich brauche ist eigentlich ganz trivial:

-Bit Torrent
-Externen Zugriff vom www (dyndns)
-gemappte Laufwerke für Win XP
-UPNP

sonst nichts.

Habe ich sonst noch ausser den drei von Dir genannten "Abschaltmöglichkeiten"?

Würde mich trotzdem sehr wundern wie die vorgegangen sind...

Danke,
Schorsch
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Würde mich trotzdem sehr wundern wie die vorgegangen sind...
Die bösen Buben/Mädchen haben einfach in ihrem Datei Explorer (wenn sie denn Windows benutzen) \\deinAccount.dyndns.org eingegeben und konnten alle Gästefreigaben sehen.
Der Samba Server läuft auf der DS per Default immer. Da brauchst du nix speziell einzuschalten/konfigurieren.
Alternativ könntest du auch den Samba Server beenden und nicht mehr starten. Besser ist es aber die Ports zu schliessen, dann kannst du Samba im LAN weiterhin benutzen
 

Schorsch

Benutzer
Mitglied seit
26. Sep 2008
Beiträge
29
Punkte für Reaktionen
0
Punkte
0
Okay,
Habe jetzt beim Port Forwarding alles rausgenommen. Nur noch die Bit Torrent Ports 6881-6889 sind noch offen (TCP IP Inbound Filter: Allow all).

Könnte damit auch noch was schief gehen?

Ebenfalls werde ich mich um die Gästefreigaben kümmern. Nichts sollte ohne Passwort verfügbar sein, Richtig?!?

Thanks,
Schorsch
 

Rainman

Benutzer
Mitglied seit
03. Feb 2009
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Hi,

sorry, wenn ich mich hier mal mit einklinke, aber ich bin mir bei meiner Konfiguration auch nicht ganz sicher, ob ich alles richtig (sicher) eingerichtet habe.

Ich versuche es mal mit meinen Worten zu beschreiben:

Ich habe "Filestation" aktiviert. Bei DynDNS.org habe ich einen Account eingerichtet und diesen in meiner DS-108j bei "EZ-Internet" eingerichtet. In meinem Router habe ich den Port 5000 (und nur diesen) freigegeben. Ohne diese Freigabe kann man von aussen nicht auf die Box zugreifen.

Wenn ich nun von aussen auf die 108j zugreife, kommt das ganz normale Login-Fenster, in welchem ich mein (recht sicheres) Passwort eingeben muss, um Zugang zu erhalten.

Gibt es bei dieser Vorgehensweise bzw. Konfiguration trotzdem noch Sicherheitslücken?

Seltsam ist auch, dass in den Logs unter "Protokoll" Zugriffe auf die NAS-Festplatte nicht auftauchen.


Gruß

Michael
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Der Zugriff von außen sollte nach Möglichkeit nicht über Port 5000 (http) erfolgen, sondern über Port 5001 (https). Dazu muss https grundsätzlich im Disk Station Manager aktiviert sein. Über HTTP könnte das von Dir benutzte Passwort abgefangen werden und so in fremde Hände gelangen.
Der Zugriff erfolgt dann über https://deineDNS:5001.

Trolli
 

TobiasM

Benutzer
Mitglied seit
07. Aug 2008
Beiträge
354
Punkte für Reaktionen
0
Punkte
0
Für den schnellen Check:
http://www.heise.de/security/dienste/portscan/

und die Test mal laufen lassen.
Damit sind die groben Fehler relativ schnell aufgedeckt. 100% Sicherhiet bietet es natürlich nicht, weil nur die Default-Port geprüft werden.
Allerdings ist da ein gewissen Grundwissen über Port von Vorteil.

Gruß
Tobias
 

Rainman

Benutzer
Mitglied seit
03. Feb 2009
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Der Zugriff von außen sollte nach Möglichkeit nicht über Port 5000 (http) erfolgen, sondern über Port 5001 (https). Dazu muss https grundsätzlich im Disk Station Manager aktiviert sein. Über HTTP könnte das von Dir benutzte Passwort abgefangen werden und so in fremde Hände gelangen.
Der Zugriff erfolgt dann über https://deineDNS:5001.

Trolli

Hmm - da bekomme ich irgendwie nicht gebacken :(

Wenn ich im Disk Station Manager 2.1 den Port 5001 aktivieren möchte, sagt mir das Teil, dass der Port reserviert wäre. Vorgeschlagen wird an dieser Stelle der Port 7001. Wenn ich diesen anhakle und im Router freigebe, werde ich von Firefox gefragt, ob ich dieser Seite wirklich vertrauen möchte. Soweit so gut, aber selbst dann wird mir die Seite nicht angezeigt :confused:

Die Seite bleibt einfach nur leer... Mit Internet Explorer das gleiche....
 

Trolli

Benutzer
Mitglied seit
12. Jul 2007
Beiträge
9.848
Punkte für Reaktionen
1
Punkte
0
Du brauchst nur eine einzige Einstellung, um HTTPS (und damit auch Port 5001) zu aktivieren:
 

Anhänge

  • screenshot.2.jpg
    screenshot.2.jpg
    34,3 KB · Aufrufe: 101
Zuletzt bearbeitet:

Rainman

Benutzer
Mitglied seit
03. Feb 2009
Beiträge
51
Punkte für Reaktionen
0
Punkte
6
Du brauchst nur eine einzige Einstellung, um HTTPS (und damit auch Port 5001) zu aktivieren:

Danke! Das war's :) Ich hatte das zuerst bei "File Station" bei "Benutzerspezifisch anpassen" angegeben.

Ach ja - über den Portscan von "heise.de" ist der Port 5001 jetzt natürlich offen, da ich diesen in meinem Router ja freigeben musste.
 

veipaaa

Benutzer
Mitglied seit
25. Dez 2008
Beiträge
95
Punkte für Reaktionen
0
Punkte
0
Aber ich hoffe der ist dunkelgrün und gefiltert.

Ich leite übrgens nicht den 5001 auf den 5001, sondern den 443 auf 5001.
 

TobiasM

Benutzer
Mitglied seit
07. Aug 2008
Beiträge
354
Punkte für Reaktionen
0
Punkte
0
naja wenn er von aussen zugreifen möchte ist "gefiltert" eher contraproduktiv.
 

smulg

Benutzer
Mitglied seit
30. Jan 2009
Beiträge
218
Punkte für Reaktionen
0
Punkte
0
Wenn du auf deinem Router nur den Port 5001 auf dein NAS weiterleitest, du ein sicheres Passwort verwendest und der Gastzugriff DEaktiviert ist, dann bist du schon sehr sicher unterwegs.
Natürlich: Wenn man einen Dienst von außen nutzen will, dann hat man automatisch eine "Sicherheitslücke"! Aber ich denke mir, dass das Restrisiko bei dieser Konfiguration durchaus vertretbar ist. :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Und was bringt dir das? Ein offener Port ist ein offener Port... :confused:
Es bringt dir, dass du keine Probleme mit einem allfälligen Proxy kriegst. Denn 443 ist der Default Port für https und damit wohl auf keinem Proxy verboten. Je nach Konfig kann es sein, dass Port 5001 geblocked wird und dann klappt es mit Port 443 in jedem Fall.
Von der Sicherheit her bringt es dir gar nix. Denn ein offener Port ist ein offener Port
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat