QNAP Club Italia

Forum non ufficiale QNAP in lingua italiana
https://www.qnapclub.it/

problemi di sicurezza, sono stato bucato?

https://www.qnapclub.it/viewtopic.php?t=17285

Pagina 1 di 1

problemi di sicurezza, sono stato bucato?

Inviato: 17 mag 2019, 11:58
da robimaio
Ciao a tutti,
mi potete aiutare a capire se sono stato bucato : Andry : o meno?
Vi spiego cosa è successo alle ore 10:51 ho ricevuto questo messaggio:

Server Name: ERBANAS
IP Address: 192.168.1.10
Date/Time: 17.05.2019 10:51:09
Level: Warning
[Security] Added IP: [192.168.1.220] to ban list forever.

La cosa mi ha incuriosito e sono andato a cercare di capire chi avesse l'ip 192.168.1.220 prima di essere bannato.

Avendo attivato il servizio SYSLOG sono andato alla ricerca della stringa 192.168.1.220 ed ho trovato questo:
<38>1 2019-05-17T10:50:55+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<38>1 2019-05-17T10:50:55+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:50:57+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<38>1 2019-05-17T10:50:59+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<38>1 2019-05-17T10:50:59+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: guest, Source IP: 192.168.1.220, Computer name: 192.168.1.220, Connection type: SAMBA, Accessed resources: ---, Action: Login OK
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<36>1 2019-05-17T10:51:08+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: conn log: Users: admin, Source IP: 192.168.1.220, Computer name: localhost, Connection type: FTP, Accessed resources: ---, Action: Login Fail
<28>1 2019-05-17T10:51:11+02:00 ERBANAS qlogd 10270 - - qlogd[10270]: event log: Users: System, Source IP: 127.0.0.1, Computer name: localhost, Content: [Security] Added IP: [192.168.1.220] to ban list forever.

Premetto che nella nostra rete accedono al massimo 10 indirizzi IP relativi alle persone che ci lavorano sopra.

Inoltre l'unico servizio aperto verso l'esterno è l'FTP e che l'admin FTP è chiuso l'accesso a tutte le cartelle e risorse.
Per quello che io riesco a capire qualcuno a cercato di scalare i servizi verso admin da SAMBA e da FTP.

Qualcuno mi puoi aiutare a capire cosa è successo e cosa fare per proteggermi?

Grazie
Roberto

Re: problemi di sicurezza, sono stato bucato?

Inviato: 19 mag 2019, 12:42
da luciano
Quello è un indirizzo di una classe privata (LAN)... non viene dall'esterno. A meno qualcuno non abbia bucato il tuo wifi, non vedo prove che provenga dall'esterno.

Re: problemi di sicurezza, sono stato bucato?

Inviato: 19 mag 2019, 15:46
da robimaio
Ciao Luciano,
si è all'interno della mia rete e non ci sono prove che mi abbiamo bucato dall'esterno. Però è strano se mi permetti, la vita di quell'indirizzo IP è durata meno di due minuti, non ho altre tracce. Con i privilegi guest di Samba ha tentato di autenticarsi come admin su FTP dopo cinque tentativi andati a vuoto il sistema l'ha bannato. Ma perche autenticarsi come Admin su FTP? con quale scopo? l'FTP lo utilizzo come backup di applicazioni online... bah ora blindo le autenticazioni wifi. Altre idee o suggerimenti sul da farsi?

Grazie ragazzi.

Roberto

Re: problemi di sicurezza, sono stato bucato?

Inviato: 19 mag 2019, 16:37
da luciano
Abilita il log delle attività per tutti i protocolli (SMB,FTP, NFS etc) sul NAS.

Re: problemi di sicurezza, sono stato bucato?

Inviato: 21 mag 2019, 08:00
da robimaio
Scusa luciano, ti riferisci a quelli che ho postato inizialmente? O esiste un'altra tipologia di log?

Roberto

Re: problemi di sicurezza, sono stato bucato?

Inviato: 21 mag 2019, 09:59
da FFFAB
Ciao,
mi intrometto consigliandoti di abilitare (se possibile) i log completi del router: dato che l'ip è locale, tramite il MAC sarai in grado di risalire ad uno dei tuoi apparati oppure avere la certezza che, in qualche modo, un altro dispositivo si è collegato alla lan. Oramai l' info è perduta, ma almeno in futuro... oppure SysLog l'ha memorizzata???

PS: Luciano si riferisce ad abilitare il log delle connessioni (su tutti i servizi) che in genere è disattivato sul NAS. Ma dato che avevi già attivato il SysLog, probabilmente è superfluo.
Tutti gli orari sono UTC+02:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Italia.it