Attacco hacker
Inviato: 07 nov 2020, 00:39
Buonasera ragazzi,
come da oggetto penso di aver subito quest'oggi una serie ripetuta di tentativi di accesso che forse può essere considerato un vero e proprio attacco hacker
Verso ora di pranzo, ho cominciato a ricevere diverse notifiche sull'iphone del nas che bannava indirizzi IP (l'ho configurato in modo da mettere in blacklist - per sempre - gli indirizzi IP che per tre volte sbagliano le credenziali di accesso). Non era la prima volta che accadeva ma diciamo non con questo accanimento. Almeno 15 tentativi in circa un'ora. Ho controllato con whois un paio di indirizzi IP, verificando che uno era francese e l'altro era cinese.
(Ho allegato il log nel file 'tentativi accesso IP.xlsx')
Sapendo che non sarei rientrato presto a casa, alle 13:09 ho quindi deciso di spegnere il NAS da remoto.
Stasera dopo aver fatto ripartire il NAS, mi sono reso conto che, dopo poco, qualcuno stava tentando di nuovo di accedere al NAS ma stavolta da un solo indirizzo IP (47.114.96.237) e via SSH. Anche questo è un IP cinese, di un dominio della big company AliBaba, se ho ben capito.
Pertanto ho immediatamente disabilitato il servizio SSH.
Sono andato quindi a controllare il log di accesso e ho notato che si erano verificati decine di accessi (ESEGUITI) tramite iSCSI, sia nella stessa ora in cui qualcuno tentava di accedere via IP, sia dopo l'ora di spegnimento, sino alle 14:12 circa.
(Ho allegato il log nel file 'tentativi accesso iscsi + ssh.xlsx')
Ora, posto che il servizio di archiviazione iSCSI io non lo uso (ed infatti stasera, dopo il riavvio,era spento) cosa vuol dire 'accesso eseguito'?
Ed, inoltre, come possono risultare decine di accessi eseguiti tramite iSCSI se il NAS è andato in spegnimento alle 13:09 su mio comando da remoto?
Per non sapere nè leggere nè scrivere, ho aggiornato il NAS all'ultimo firmware 4.51.1465 e ho rinegoziato l'indrizzo IP tramite il router (Fritz!Box 7590)
Che ne pensate? Posso fare qualcos'altro per migliorare la sicurezza del NAS?
Per esempio, sapete se c'è un modo per rinegoziare l'IP di casa, almeno una volta al giorno, senza che la centrale telecom la interpreti come una scarsa qualità del segnale "downgradandomi" la velocità di connessione? (connessione che, tra l'altro, già fa schifo di suo)
Ogni consiglio è ben accetto.
grazie
Luca
come da oggetto penso di aver subito quest'oggi una serie ripetuta di tentativi di accesso che forse può essere considerato un vero e proprio attacco hacker
Verso ora di pranzo, ho cominciato a ricevere diverse notifiche sull'iphone del nas che bannava indirizzi IP (l'ho configurato in modo da mettere in blacklist - per sempre - gli indirizzi IP che per tre volte sbagliano le credenziali di accesso). Non era la prima volta che accadeva ma diciamo non con questo accanimento. Almeno 15 tentativi in circa un'ora. Ho controllato con whois un paio di indirizzi IP, verificando che uno era francese e l'altro era cinese.
(Ho allegato il log nel file 'tentativi accesso IP.xlsx')
Sapendo che non sarei rientrato presto a casa, alle 13:09 ho quindi deciso di spegnere il NAS da remoto.
Stasera dopo aver fatto ripartire il NAS, mi sono reso conto che, dopo poco, qualcuno stava tentando di nuovo di accedere al NAS ma stavolta da un solo indirizzo IP (47.114.96.237) e via SSH. Anche questo è un IP cinese, di un dominio della big company AliBaba, se ho ben capito.
Pertanto ho immediatamente disabilitato il servizio SSH.
Sono andato quindi a controllare il log di accesso e ho notato che si erano verificati decine di accessi (ESEGUITI) tramite iSCSI, sia nella stessa ora in cui qualcuno tentava di accedere via IP, sia dopo l'ora di spegnimento, sino alle 14:12 circa.
(Ho allegato il log nel file 'tentativi accesso iscsi + ssh.xlsx')
Ora, posto che il servizio di archiviazione iSCSI io non lo uso (ed infatti stasera, dopo il riavvio,era spento) cosa vuol dire 'accesso eseguito'?
Ed, inoltre, come possono risultare decine di accessi eseguiti tramite iSCSI se il NAS è andato in spegnimento alle 13:09 su mio comando da remoto?
Per non sapere nè leggere nè scrivere, ho aggiornato il NAS all'ultimo firmware 4.51.1465 e ho rinegoziato l'indrizzo IP tramite il router (Fritz!Box 7590)
Che ne pensate? Posso fare qualcos'altro per migliorare la sicurezza del NAS?
Per esempio, sapete se c'è un modo per rinegoziare l'IP di casa, almeno una volta al giorno, senza che la centrale telecom la interpreti come una scarsa qualità del segnale "downgradandomi" la velocità di connessione? (connessione che, tra l'altro, già fa schifo di suo)
Ogni consiglio è ben accetto.
grazie
Luca