meridian-shaft Jump to content
Forums

Au secours, on m'attaque !


Recommended Posts

Bonjour à tous,

Je suis en ce moment même victime d'une tentative de piratage !

Ce n'est pas la première fois, mais je vois s'accumuler les tentatives d'accès à mon NAS (de la marque Qnap) ; d'après les notifications que je reçois ce matin en ouvrant ma boîte mail, cela dure depuis hier soir. Une tentative d'accès toutes les minutes, en gros. Pour l'instant, j'ai l'impression que ça tient, mais au rythme où ça va, mon mot de passe finira par être craqué.

Je ne connais ABSOLUMENT RIEN à la manière dont fonctionne un réseau et là, je voudrais trouver un moyen d'interdire toutes les connexions entrantes ciblant mon NAS. J'ai essayé de rehausser le niveau du pare-feu de ma Livebox (Orange), mais ça ne change rien.

Je vous en prie, est-ce que quelqu'un pourrait m'aider avant que toutes mes données finissent prises en otage ? Pour l'instant, je déconnecte mon NAS : je ne vois que ça à faire.

Merci d'avance,

Mathieu Réau

Edited by Mathieu Réau
Link to comment
il y a 45 minutes, Mathieu Réau a dit :

Pour l'instant, j'ai l'impression que ça tient, mais au rythme où ça va, mon mot de passe finira par être craqué

Hello,

:blink:

il ne dois pas être lourd votre mot de passe alors

sachant que :

  • Z8CGn9nb66uB

Cela prendrait à un ordinateur

2 thousand (mille) années

alors imaginez :

  • k47RGcy6-~|L

Cela prendrait à un ordinateur

4 hundred thousand (cent mille) années

 

Vous êtes sûr de votre attaque ?

Link to comment
il y a 1 minute, Mathieu Réau a dit :

Et voir ma boîte de réception inondée de notifications témoignant de tentatives d'accès illégitimes n'aide pas non plus.

C'est tout a fait compréhensible !!!

le message qu'est ce qu'il vous dit, sans rentrer évidement dans les détails.

il doit bien vous donnez une adresse IP ou autre.  car si un ordinateur le pc du hacker tente de rentrer il donnera une signature, fausse je l'accorde ( VPN ) mais signature IP quand-même

Link to comment

tester une fois ceci :

https://lecrabeinfo.net/test-glasswire-firewall-pare-feu-analyseur-de-trafic-reseau-windows.html

la fenêtre principale de GlassWire s’affiche avec le graphique d’activité réseau. L’interface de GlassWire est claire et simple, elle donne accès à 4 onglets : Graphique, Pare-feu, Utilisation et Alertes (l’onglet réseau est disponible à partir de la version Basic).

Link to comment

Le message m'informe qu'une tentative de connexion à mon NAS par le biais du compte administrateur a échoué et que l'adresse IP du demandeur a été bloquée (trop de tentatives ratées). L'adresse IP est donc indiquée, oui.

Mais toutes les minutes, je reçois le même message avec une adresse IP différente. J'en déduis donc que l'attaquant en change à chaque tentative de connexion échouée et poursuit son attaque.

Le seul moyen de m'en prévenir semble donc être d'interdire l'accès à mon NAS à toutes les adresses IP venues de l'extérieur de mon réseau local par le protocole HTTP/HTTPS. Mais je ne sais absolument pas comment faire ça.

Qui plus est, j'ai trouvé cette discussion au sujet de la Livebox d'Orange qui n'est pas pour me rassurer (même si je comprends pas tout) :

https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313

Autrement, cette discussion-ci semble faire état du même problème que le mien et proposer une solution (changer le port d'accès à Internet du NAS). Mais je ne sais pas quelles seraient les conséquences pour moi de la mise en œuvre de cette proposition :

https://www.forum-nas.fr/viewtopic.php?t=11323

Link to comment
il y a 4 minutes, Mathieu Réau a dit :

Qui plus est, j'ai trouvé cette discussion au sujet de la Livebox d'Orange qui n'est pas pour me rassurer (même si je comprends pas tout) :

https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313

Autrement, cette discussion-ci semble faire état du même problème que le mien et proposer une solution (changer le port d'accès à Internet du NAS). Mais je ne sais pas quelles seraient les conséquences pour moi de la mise en œuvre de cette proposition :

j'ai lu le topic ...

et une personne a bien expliquer aussi que pour monsieur et madame tout le monde elle assure une securité satisfaisante

mais surement pas pour une société ou encore des personne qui bosse dans une gestion d’hébergement ou détiendrai des serveurs.

il faut donc passé par un pare-feu logiciel.

citation :

 

Citation

Résumé : la livebox est un équipement grand public destiné à "M. et Mme Michu du coin de la rue" ; il n'est pas destiné à gérer la sécurité d'un hébergement de serveurs

 

Link to comment
il y a 1 minute, Mathieu Réau a dit :

Que mon pare-feu soit logiciel ou non, comment faudrait-il, au juste, que je le configure pour empêcher les tentatives de connexion depuis Internet (en HTTP) vers mon NAS ?

je sais que @calisto06 s’intéresse de près au QNAP et serveur... Elle a donc dû forcement pensé et plancher sur ce sujet.

je la cite donc... pour quelle puisse venir donné sont avis

Link to comment

Salut,

Si une personne "attaque" ton NAS, c'est que

  • soit tu utilises des services "cloud" sur ce dernier, qui sont potentiellement vulnérables et l'expose : ca se désactive dans les services de ton NAS.
  • soit l'IP interne de ton NAS est accessible depuis une redirection dans le parefeu de ta box, et ca se désactive également.

J'espère au moins que tu n'as pas mis l'IP locale de ton NAS en DMZ de ta box...?

Link to comment

Le pare-feu semble efficace, mais je reçois des notifications de sa part qui m'indiquent que les tentatives de connexion se poursuivent. Quel que soit l'attaquant, il me cible manifestement de façon obstinée.

@Toto61, tes questions sont assez techniques, mais je vais m'efforcer d'y répondre dans la mesure de mes capacités...

J'utilise, sur mon NAS, une application permettant de synchroniser à l'heure dite (pas en temps réel) mes dossiers locaux et mes comptes de type Dropbox, Google Drive, etc.. Est-ce cela que tu appelles des services "cloud" ?

Je n'ai pas mis l'IP locale de mon NAS dans une DMZ de ma box, non.

J'avais, en revanche, ouvert une redirection sur le port FTP pour permettre l'accès à distance aux fichiers de mon NAS, mais je l'ai fermée ce matin, par pure précaution, car le protocole de la tentative d'accès est en HTTP, pas en FTP.

À ma connaissance, mais elle reste modeste, je n'ai permis aucun accès depuis l'extérieur à mon NAS en HTTP, à l'exception de la synchronisation avec mon compte myQnapCloud (paramétré en privé) qui me permet d'accéder au NAS à distance. Je possède, normalement, un lien rapide me permettant de m'y connecter directement, mais il n'a en réalité jamais fonctionné et il a toujours fallu, pour que j'y parvienne, que je me connecte d'abord sur mon compte myQnapCloud et ensuite sur mon NAS à partir de là (deux mots de passe différents).

Que devrais-je contrôler, selon toi, pour m'assurer que tout est en ordre de ce point de vue-là ?

Link to comment

Tu disposes de quel type de connexion ? D'autre part, disposes-tu d'une IP Fixe ? Si ce n'est pas le cas, un reboot de ta Livebox changera ton IP public, et les attaques devraient s'arrêter si l'ouverture de port a été découvert par un simple scan. Par contre, si elles se poursuivent, cela indiquera que ton NAS est bien pisté par ton assaillant d'une autre façon qu'il va falloir trouver.

Par "Cloud", je pensais plus à des services qui établissent un lien permanent comme peut le faire myQnapCloud en effet. Des applications de facilitations de partages de photos, de documents sous forme d'add-on peuvent être vulnérables. C'est du pain béni pour les hackeurs qui peuvent alors coller un ransomware.

La première chose sera de toute façon faire une sauvegarde en local de tes données, au cas où ton NAS lâche.

Si tu le souhaites, je suis preneur d'une copie d'un de ses mails par MP.

Link to comment

e ne sais pas exactement ce que tu entends par "type de connexion"... Filaire ou WiFi, tu veux dire ? Filaire.

Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre.

Je pense qu'il n'y a que myQnapCloud qui établit un lien permanent entre le NAS et l'extérieur de la manière dont tu l'entends.

Avec mon compte, je dispose d'un nom de domaine me permettant d'accéder (normalement) au NAS à distance en HTTP. Comme je n'y connais vraiment rien, je n'avais pas vraiment cherché plus loin, mais là, j'ai téléchargé et installé un certificat SSL depuis Let'sEncrypt (censé mieux sécuriser la connexion, si je comprends bien). Peut-être est-ce nom de domaine qui est visé ?

La notification que m'envoie le pare-feu est des plus sobres :

 

[QuFirewall] In time of 2021-03-23 15:15:02 ~ 2021-03-23 15:16:04, the denied amount reach the set threshold: 30.

Trente tentatives d'accès repoussées en une minute...

 

J'ai également joint une capture d'écran de la page des services de publication du NAS. Tous étaient désactivés à l'exception du "NAS Web", que je viens de passer en privé.

Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

 

 

Edited by Mathieu Réau
Link to comment

Je viens de désactiver la fonction myQnapCloudLink qui permet le lien avec le site de myQnapCloud et mon nom de domaine, pour voir si les tentatives de connexion s'arrêtent...

Ce n'est pas le cas.

Tout semble donc indiquer que l'attaquant est en possession de mon adresse IP, n'est-ce pas ?

P.S. : ce @§£$% est en train de foutre ma journée en l'air. :c_angry:

Edited by Mathieu Réau
Link to comment
il y a 8 minutes, Mathieu Réau a dit :

Je ne sais pas exactement ce que tu entends par "type de connexion" [...] Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre.

Par type de connexion, j'entendais ADSL ou Fibre. Et pour la partie IP Fixe, j'ai précisé que cela concernait l'IP Publique de ta Livebox, pas celles de ton réseau local. Fait un test tout simple, repère l'IP publique de ta box sur https://www.monip.org/, redémarre ta box, puis retourne sur le même site. Tu seras fixé.

Par contre, je supprimerai la capture d'écran, car elle contient un code de confirmation ;-)

il y a 8 minutes, Mathieu Réau a dit :

Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

C'est une erreur souvent commise.

Link to comment

À ce propos, j'y pensais à l'instant, mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS ? Tous les appareils connectés à mon réseau sont potentiellement menacés, n'est-ce pas ?

Il n'y aurait vraiment aucun moyen d'établir un pare-feu au niveau de la box afin de protéger tout le réseau plutôt que de mon NAS uniquement ?

Link to comment

Non, pas 1 ou 2 jours. Juste quelques (dizaines) de minutes. Mais de toute façon, si ton IP est dynamique, elle changera d'ici quelques heures (jours). Donc si d'ici 1 ou 2 jours, tu retournes sur monip.org et que tu constates un changement d'IP, c'est qu'elle est dynamique.

Je reviens sur le point suivant :

Il y a 10 heures, Mathieu Réau a dit :

mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS

C'est toi même qui a indiqué que ton NAS était attaqué, dans ton premier message : 

Il y a 16 heures, Mathieu Réau a dit :

je vois s'accumuler les tentatives d'accès à mon NAS (de la marque Qnap) ; d'après les notifications que je reçois ce matin en ouvrant ma boîte mail

 

Link to comment
Guest
This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...