problemi di sicurezza, sono stato bucato?

robimaio · Messaggio da **robimaio** » 17 mag 2019, 11:58

Ciao a tutti,
mi potete aiutare a capire se sono stato bucato

o meno?
Vi spiego cosa è successo alle ore 10:51 ho ricevuto questo messaggio:

Server Name: ERBANAS
IP Address: 192.168.1.10
Date/Time: 17.05.2019 10:51:09
Level: Warning
[Security] Added IP: [192.168.1.220] to ban list forever.

La cosa mi ha incuriosito e sono andato a cercare di capire chi avesse l'ip 192.168.1.220 prima di essere bannato.

Avendo attivato il servizio SYSLOG sono andato alla ricerca della stringa 192.168.1.220 ed ho trovato questo:
<38>1 2019-05-17T10:50:55+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<38>1 2019-05-17T10:50:55+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<38>1 2019-05-17T10:50:59+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<38>1 2019-05-17T10:50:59+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<28>1 2019-05-17T10:51:11+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: event log: Users: System, Source IP: 127.0.0.1, Computer name: localhost, Content: [Security] Added IP: [192.168.1.220] to ban list forever.

Premetto che nella nostra rete accedono al massimo 10 indirizzi IP relativi alle persone che ci lavorano sopra.

Inoltre l'unico servizio aperto verso l'esterno è l'FTP e che l'admin FTP è chiuso l'accesso a tutte le cartelle e risorse.
Per quello che io riesco a capire qualcuno a cercato di scalare i servizi verso admin da SAMBA e da FTP.

Qualcuno mi puoi aiutare a capire cosa è successo e cosa fare per proteggermi?

Grazie
Roberto

Messaggio da **luciano** » 19 mag 2019, 12:42

Quello è un indirizzo di una classe privata (LAN)... non viene dall'esterno. A meno qualcuno non abbia bucato il tuo wifi, non vedo prove che provenga dall'esterno.

robimaio · Messaggio da **robimaio** » 19 mag 2019, 15:46

Ciao Luciano,
si è all'interno della mia rete e non ci sono prove che mi abbiamo bucato dall'esterno. Però è strano se mi permetti, la vita di quell'indirizzo IP è durata meno di due minuti, non ho altre tracce. Con i privilegi guest di Samba ha tentato di autenticarsi come admin su FTP dopo cinque tentativi andati a vuoto il sistema l'ha bannato. Ma perche autenticarsi come Admin su FTP? con quale scopo? l'FTP lo utilizzo come backup di applicazioni online... bah ora blindo le autenticazioni wifi. Altre idee o suggerimenti sul da farsi?

Grazie ragazzi.

Roberto

Messaggio da **luciano** » 19 mag 2019, 16:37

Abilita il log delle attività per tutti i protocolli (SMB,FTP, NFS etc) sul NAS.

robimaio · Messaggio da **robimaio** » 21 mag 2019, 08:00

Scusa luciano, ti riferisci a quelli che ho postato inizialmente? O esiste un'altra tipologia di log?

Roberto

FFFAB · Messaggio da **FFFAB** » 21 mag 2019, 09:59

Ciao,
mi intrometto consigliandoti di abilitare (se possibile) i log completi del router: dato che l'ip è locale, tramite il MAC sarai in grado di risalire ad uno dei tuoi apparati oppure avere la certezza che, in qualche modo, un altro dispositivo si è collegato alla lan. Oramai l' info è perduta, ma almeno in futuro... oppure SysLog l'ha memorizzata???

PS: Luciano si riferisce ad abilitare il log delle connessioni (su tutti i servizi) che in genere è disattivato sul NAS. Ma dato che avevi già attivato il SysLog, probabilmente è superfluo.

QNAP Club Italia

problemi di sicurezza, sono stato bucato?

problemi di sicurezza, sono stato bucato?

Re: problemi di sicurezza, sono stato bucato?

Re: problemi di sicurezza, sono stato bucato?

Re: problemi di sicurezza, sono stato bucato?

Re: problemi di sicurezza, sono stato bucato?

Re: problemi di sicurezza, sono stato bucato?