Attacco hacker

[lucam1970]

Buonasera ragazzi,
come da oggetto penso di aver subito quest'oggi una serie ripetuta di tentativi di accesso che forse può essere considerato un vero e proprio attacco hacker

Verso ora di pranzo, ho cominciato a ricevere diverse notifiche sull'iphone del nas che bannava indirizzi IP (l'ho configurato in modo da mettere in blacklist - per sempre - gli indirizzi IP che per tre volte sbagliano le credenziali di accesso). Non era la prima volta che accadeva ma diciamo non con questo accanimento. Almeno 15 tentativi in circa un'ora. Ho controllato con whois un paio di indirizzi IP, verificando che uno era francese e l'altro era cinese.
(Ho allegato il log nel file 'tentativi accesso IP.xlsx')

Sapendo che non sarei rientrato presto a casa, alle 13:09 ho quindi deciso di spegnere il NAS da remoto.

Stasera dopo aver fatto ripartire il NAS, mi sono reso conto che, dopo poco, qualcuno stava tentando di nuovo di accedere al NAS ma stavolta da un solo indirizzo IP (47.114.96.237) e via SSH. Anche questo è un IP cinese, di un dominio della big company AliBaba, se ho ben capito.
Pertanto ho immediatamente disabilitato il servizio SSH.

Sono andato quindi a controllare il log di accesso e ho notato che si erano verificati decine di accessi (ESEGUITI) tramite iSCSI, sia nella stessa ora in cui qualcuno tentava di accedere via IP, sia dopo l'ora di spegnimento, sino alle 14:12 circa.
(Ho allegato il log nel file 'tentativi accesso iscsi + ssh.xlsx')

Ora, posto che il servizio di archiviazione iSCSI io non lo uso (ed infatti stasera, dopo il riavvio,era spento) cosa vuol dire 'accesso eseguito'?
Ed, inoltre, come possono risultare decine di accessi eseguiti tramite iSCSI se il NAS è andato in spegnimento alle 13:09 su mio comando da remoto?

Per non sapere nè leggere nè scrivere, ho aggiornato il NAS all'ultimo firmware 4.51.1465 e ho rinegoziato l'indrizzo IP tramite il router (Fritz!Box 7590)

Che ne pensate? Posso fare qualcos'altro per migliorare la sicurezza del NAS?
Per esempio, sapete se c'è un modo per rinegoziare l'IP di casa, almeno una volta al giorno, senza che la centrale telecom la interpreti come una scarsa qualità del segnale "downgradandomi" la velocità di connessione? (connessione che, tra l'altro, già fa schifo di suo)

Ogni consiglio è ben accetto.
grazie
Luca

[selvaggi]

leggi questo post viewtopic.php?f=60&t=17596&hilit=come+aumentare

[lucam1970]

grazie @selvaggi,

tempo fa avevo letto quella pagina (molto utile) e avevo seguito diversi consigli.
Praticamente l'unica cosa che ho dovuto fare ieri, quando si sono verificati questi attacchi, è stato disabilitare l'upnp sul NAS (che probabilmente avevo dimenticato di fare). Ad esempio la porta https di default l'ho cambiata anni fa.

Un'altra cosa che potrei fare è utilzzare un proxy server.
Ho visto però che Security Counselor consiglia di installare il nuovo QuFirewall. Qualcuno l'ha provato?
Inoltre, c'è un utente che sa spiegarmi quella cosa su quegli accessi iScsi?

grazie a tutti

[selvaggi]

iScsi le spiegazioni le trovi qui: https://it.wikipedia.org/wiki/Internet_ ... %20o%20SAN
su nas viene usato per l'app fibre channel e archiviazione snapshot sui tutorial e nel manuale trovi molti info

Qufirewall come prima stesura va bene, in pratica è il quello che hai già dentro al nas, è ottimizzato, per il momento è in inglese e non c'è una guida.

[PiaNi]

Qufirewall come prima stesura va bene, in pratica è il quello che hai già dentro al nas, è ottimizzato, per il momento è in inglese e non c'è una guida.

QuFirewall, va installato, non te lo ritrovi nel nas. Si possono fare delle geo-restrizioni, cioè tutti gli ip provenienti, per esempio, dalla cina, li puoi bloccare.

Qui un video con le caratteristiche della app:

[lucam1970]

Grazie ragazzi, ho installato QuFirewall.
L'ho settato con il profilo con restrizione geografica (limitato a Italy).

Sono andato a leggermi la pagina che mi avete consigliato su iScsi. Ricordando l'interfaccia scsi per hd di tanti anni fa immaginavo si trattasse qualcosa di simile.

Non riesco tuttavia a capire perchè avessi così tanti accessi eseguiti su un servizio che non uso, che non era attivo e per il quale non dispongo nemmeno del relativo hardware. Spero quindi che quel che ho trovato nel log non abbia comportato problemi. Io non ho notato nulla di particolare nei dati presenti sul NAS

Chissà se significa che c'è un buco di sicurezza nel relativo servizio e se questo debba essere segnalato all'assistenza ufficiale