Mathieu Réau

C'est très gentil, merci beaucoup !

Bonjour à tous ! Pendant que @Toto61 me conseillait dernièrement pour faire face à une attaque informatique (donc je suis pour l'heure heureusement sauvé, un grand merci à lui !), j'ai été amené, suivant ses conseils éclairés, à inspecter mon ordinateur à l'aide des outils ZHPSuite et FRST. Ayant repéré sur les rapports produits par ces deux outils des "joyeusetés", il m'a chaudement recommandé de la soumettre à la sagacité de gens plus experts que lui et surtout que moi en la question afin d'apprendre comment pallier ces déficiences. Je suis apparemment au bon endroit, n'est-ce pas ? Il y a même une section dédiée à ça, sur ce forum ? Je ne l'avais encore jamais remarqué ! Voilà les liens vers les rapports susmentionnés (disponibles en ligne pendant quatre jours) : https://www.cjoint.com/c/KDesFpPz31Q https://www.cjoint.com/c/KDesGBPcfLQ Et le dernier en pièce jointe (ça buggait...). Je m'en remets à vous et vous remercie d'avance chaleureusement pour votre assistance ! Addition.txt

Le c c... Tu parles de la Covid ?

Désolé de ne pas avoir mis à jour le sujet plus tôt. À l'heure actuelle, il semble que l'attaque ait cessé. Avec Toto, je cherche encore à isoler certaines particularités de mon réseau local qui me semblent suspectes, mais mon pare-feu semble néanmoins avoir fait son travail. On va tout de même dire que le plus dur est passé !

Merci, @calisto06. J'ai installé la toute dernière mise à jour hier ! Je veillerai à ne pas trop tarder, les prochaines fois !

Je l'espère ! Je suis également rassuré de savoir que l'équipe de Qnap est sur le coup.

Merci beaucoup pour l'info, @calisto06 ! Une attaque de grande ampleur ? Mince, c'est pas cool...

Ils se serviraient de mon NAS mon faire de la cryptomonnaie ??! Ben... Et ma commission, alors ?

Merci beaucoup, Delta. @Toto61, je m'occupe en ce moment même des manipulations que tu m'as demandées avant de répondre à ton message. Merci pour ton assistance.

De m'envoyer des rapports de tentatives d'effraction toutes les heures, plutôt. Ces tentatives ont lieu plusieurs fois par minutes. Suffit que je réactualise le journal de mon pare-feu pour constater que le nombre de paquets refoulés a augmenté. Même en cliquant plusieurs fois d'affilée.

J'ai laissé la box éteinte cette nuit (neuf heures d'affilée) : mon IP est toujours la même et l'attaque doit toujours être en cours, puisque mon pare-feu continue de bloquer des tentatives d'accès toutes les heures. Comme je le disais, je sais que mon NAS est pris pour cible car ses notifications m'ont averti de ces tentatives d'accès (et parce que ledit accès est protégé par un mot de passe). Mais le risque n'existe-t-il pas, si quelqu'un peut atteindre mon NAS, que n'importe quel autre élément de mon réseau puisse être également touché, en ce moment comme à plus ou moins brève échéance ? La situation m'inquiète d'autant plus que je ne sais pas vraiment ce qui se passe ni ce que je dois faire pour m'en prémunir.

Vous voulez dire de laisser la box éteinte pendant un ou deux jours avant de la rallumer ?

À ce propos, j'y pensais à l'instant, mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS ? Tous les appareils connectés à mon réseau sont potentiellement menacés, n'est-ce pas ? Il n'y aurait vraiment aucun moyen d'établir un pare-feu au niveau de la box afin de protéger tout le réseau plutôt que de mon NAS uniquement ?

IP fixe. Parce que c'est un abonnement professionnel, si je comprends bien ?

Pff, le code sur la capture d'écran... Bravo ! Merci de l'avoir remarqué. Je vais essayer de voir si l'IP de ma box est fixe ou non. Si elle l'est, que puis-je y faire ? J'ai une connexion par ADSL. À tout à l'heure.

Je viens de désactiver la fonction myQnapCloudLink qui permet le lien avec le site de myQnapCloud et mon nom de domaine, pour voir si les tentatives de connexion s'arrêtent... Ce n'est pas le cas. Tout semble donc indiquer que l'attaquant est en possession de mon adresse IP, n'est-ce pas ? P.S. : ce @§£$% est en train de foutre ma journée en l'air.

e ne sais pas exactement ce que tu entends par "type de connexion"... Filaire ou WiFi, tu veux dire ? Filaire. Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre. Je pense qu'il n'y a que myQnapCloud qui établit un lien permanent entre le NAS et l'extérieur de la manière dont tu l'entends. Avec mon compte, je dispose d'un nom de domaine me permettant d'accéder (normalement) au NAS à distance en HTTP. Comme je n'y connais vraiment rien, je n'avais pas vraiment cherché plus loin, mais là, j'ai téléchargé et installé un certificat SSL depuis Let'sEncrypt (censé mieux sécuriser la connexion, si je comprends bien). Peut-être est-ce nom de domaine qui est visé ? La notification que m'envoie le pare-feu est des plus sobres : [QuFirewall] In time of 2021-03-23 15:15:02 ~ 2021-03-23 15:16:04, the denied amount reach the set threshold: 30. Trente tentatives d'accès repoussées en une minute... J'ai également joint une capture d'écran de la page des services de publication du NAS. Tous étaient désactivés à l'exception du "NAS Web", que je viens de passer en privé. Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

Le pare-feu semble efficace, mais je reçois des notifications de sa part qui m'indiquent que les tentatives de connexion se poursuivent. Quel que soit l'attaquant, il me cible manifestement de façon obstinée. @Toto61, tes questions sont assez techniques, mais je vais m'efforcer d'y répondre dans la mesure de mes capacités... J'utilise, sur mon NAS, une application permettant de synchroniser à l'heure dite (pas en temps réel) mes dossiers locaux et mes comptes de type Dropbox, Google Drive, etc.. Est-ce cela que tu appelles des services "cloud" ? Je n'ai pas mis l'IP locale de mon NAS dans une DMZ de ma box, non. J'avais, en revanche, ouvert une redirection sur le port FTP pour permettre l'accès à distance aux fichiers de mon NAS, mais je l'ai fermée ce matin, par pure précaution, car le protocole de la tentative d'accès est en HTTP, pas en FTP. À ma connaissance, mais elle reste modeste, je n'ai permis aucun accès depuis l'extérieur à mon NAS en HTTP, à l'exception de la synchronisation avec mon compte myQnapCloud (paramétré en privé) qui me permet d'accéder au NAS à distance. Je possède, normalement, un lien rapide me permettant de m'y connecter directement, mais il n'a en réalité jamais fonctionné et il a toujours fallu, pour que j'y parvienne, que je me connecte d'abord sur mon compte myQnapCloud et ensuite sur mon NAS à partir de là (deux mots de passe différents). Que devrais-je contrôler, selon toi, pour m'assurer que tout est en ordre de ce point de vue-là ?

J'ai trouvé un pare-feu pour mon NAS et je l'ai paramétré avec l'un de ses profils intégrés. On dirait que ça fonctionne ! Si Calisto a tout de même des conseils à me donner sur le sujet, je reste preneur. Merci pour ton aide, @Delta !

Ah oui, ce serait cool ! Merci d'y avoir pensé !

Que mon pare-feu soit logiciel ou non, comment faudrait-il, au juste, que je le configure pour empêcher les tentatives de connexion depuis Internet (en HTTP) vers mon NAS ?

Le message m'informe qu'une tentative de connexion à mon NAS par le biais du compte administrateur a échoué et que l'adresse IP du demandeur a été bloquée (trop de tentatives ratées). L'adresse IP est donc indiquée, oui. Mais toutes les minutes, je reçois le même message avec une adresse IP différente. J'en déduis donc que l'attaquant en change à chaque tentative de connexion échouée et poursuit son attaque. Le seul moyen de m'en prévenir semble donc être d'interdire l'accès à mon NAS à toutes les adresses IP venues de l'extérieur de mon réseau local par le protocole HTTP/HTTPS. Mais je ne sais absolument pas comment faire ça. Qui plus est, j'ai trouvé cette discussion au sujet de la Livebox d'Orange qui n'est pas pour me rassurer (même si je comprends pas tout) : https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313 Autrement, cette discussion-ci semble faire état du même problème que le mien et proposer une solution (changer le port d'accès à Internet du NAS). Mais je ne sais pas quelles seraient les conséquences pour moi de la mise en œuvre de cette proposition : https://www.forum-nas.fr/viewtopic.php?t=11323

Ben, je n'en sais rien, mais je ne suis pas rassuré quand même. Et voir ma boîte de réception inondée de notifications témoignant de tentatives d'accès illégitimes n'aide pas non plus. Je préférerais donc m'en prévenir, si possible, mais ne sais pas vraiment comment faire. Une idée, s'il vous plaît ?

Bonjour à tous, Je suis en ce moment même victime d'une tentative de piratage ! Ce n'est pas la première fois, mais je vois s'accumuler les tentatives d'accès à mon NAS (de la marque Qnap) ; d'après les notifications que je reçois ce matin en ouvrant ma boîte mail, cela dure depuis hier soir. Une tentative d'accès toutes les minutes, en gros. Pour l'instant, j'ai l'impression que ça tient, mais au rythme où ça va, mon mot de passe finira par être craqué. Je ne connais ABSOLUMENT RIEN à la manière dont fonctionne un réseau et là, je voudrais trouver un moyen d'interdire toutes les connexions entrantes ciblant mon NAS. J'ai essayé de rehausser le niveau du pare-feu de ma Livebox (Orange), mais ça ne change rien. Je vous en prie, est-ce que quelqu'un pourrait m'aider avant que toutes mes données finissent prises en otage ? Pour l'instant, je déconnecte mon NAS : je ne vois que ça à faire. Merci d'avance, Mathieu Réau

Euh... oui... Merci... D'ailleurs, c'est pour ça que je n'ai pas de dumbphone, que je n'ai personne avec qui m'engueuler et que je ne fais pas de gros câlins... Bisous, oui. Moi aussi. Merci encore pour cette réponse constructive, pertinente et pleine de compassion. ... Sinon, retirer le capot de l'ordi, non plus, puisque si j'utilise un ordinateur portable, c'est bien pour, de temps en temps, le transporter ailleurs et m'en servir comme un ordinateur portable ! Bref, je demandais seulement si une marque avait un jour pensé à ça, parce qu'après tout, beaucoup de gens utilisent leur portable sur leur bureau branché à un écran externe et qu'il me semblait donc pertinent de déporter le bouton de mise en marche ailleurs. Je ne pense pas qu'il existe de règle immuable imposant de le laisser sous l'écran, n'est-ce pas ? Si ça n'existe pas, ou si c'est trop cher pour moi, ben tant pis. Je trouve ça bête, mais tant pis.