Au secours, on m'attaque !

[Mathieu Réau]

Bonjour à tous,

Je suis en ce moment même victime d'une tentative de piratage !

Ce n'est pas la première fois, mais je vois s'accumuler les tentatives d'accès à mon NAS (de la marque Qnap) ; d'après les notifications que je reçois ce matin en ouvrant ma boîte mail, cela dure depuis hier soir. Une tentative d'accès toutes les minutes, en gros. Pour l'instant, j'ai l'impression que ça tient, mais au rythme où ça va, mon mot de passe finira par être craqué.

Je ne connais ABSOLUMENT RIEN à la manière dont fonctionne un réseau et là, je voudrais trouver un moyen d'interdire toutes les connexions entrantes ciblant mon NAS. J'ai essayé de rehausser le niveau du pare-feu de ma Livebox (Orange), mais ça ne change rien.

Je vous en prie, est-ce que quelqu'un pourrait m'aider avant que toutes mes données finissent prises en otage ? Pour l'instant, je déconnecte mon NAS : je ne vois que ça à faire.

Merci d'avance,

Mathieu Réau

Modifié le 23 mars 2021 par Mathieu Réau

[Delta]

il y a 45 minutes, Mathieu Réau a dit :

Pour l'instant, j'ai l'impression que ça tient, mais au rythme où ça va, mon mot de passe finira par être craqué

Hello,

il ne dois pas être lourd votre mot de passe alors

sachant que :

• Z8CGn9nb66uB

Cela prendrait à un ordinateur

2 thousand (mille) années

alors imaginez :

• k47RGcy6-~|L

Cela prendrait à un ordinateur

4 hundred thousand (cent mille) années

 

Vous êtes sûr de votre attaque ?

[Mathieu Réau]

Ben, je n'en sais rien, mais je ne suis pas rassuré quand même.

Et voir ma boîte de réception inondée de notifications témoignant de tentatives d'accès illégitimes n'aide pas non plus.

Je préférerais donc m'en prévenir, si possible, mais ne sais pas vraiment comment faire. Une idée, s'il vous plaît ?

[Delta]

il y a 1 minute, Mathieu Réau a dit :

Et voir ma boîte de réception inondée de notifications témoignant de tentatives d'accès illégitimes n'aide pas non plus.

C'est tout a fait compréhensible !!!

le message qu'est ce qu'il vous dit, sans rentrer évidement dans les détails.

il doit bien vous donnez une adresse IP ou autre.  car si un ordinateur le pc du hacker tente de rentrer il donnera une signature, fausse je l'accorde ( VPN ) mais signature IP quand-même

[Delta]

tester une fois ceci :

https://lecrabeinfo.net/test-glasswire-firewall-pare-feu-analyseur-de-trafic-reseau-windows.html

la fenêtre principale de GlassWire s’affiche avec le graphique d’activité réseau. L’interface de GlassWire est claire et simple, elle donne accès à 4 onglets : Graphique, Pare-feu, Utilisation et Alertes (l’onglet réseau est disponible à partir de la version Basic).

[Mathieu Réau]

Le message m'informe qu'une tentative de connexion à mon NAS par le biais du compte administrateur a échoué et que l'adresse IP du demandeur a été bloquée (trop de tentatives ratées). L'adresse IP est donc indiquée, oui.

Mais toutes les minutes, je reçois le même message avec une adresse IP différente. J'en déduis donc que l'attaquant en change à chaque tentative de connexion échouée et poursuit son attaque.

Le seul moyen de m'en prévenir semble donc être d'interdire l'accès à mon NAS à toutes les adresses IP venues de l'extérieur de mon réseau local par le protocole HTTP/HTTPS. Mais je ne sais absolument pas comment faire ça.

Qui plus est, j'ai trouvé cette discussion au sujet de la Livebox d'Orange qui n'est pas pour me rassurer (même si je comprends pas tout) :

https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313

Autrement, cette discussion-ci semble faire état du même problème que le mien et proposer une solution (changer le port d'accès à Internet du NAS). Mais je ne sais pas quelles seraient les conséquences pour moi de la mise en œuvre de cette proposition :

https://www.forum-nas.fr/viewtopic.php?t=11323

[Delta]

il y a 4 minutes, Mathieu Réau a dit :

Qui plus est, j'ai trouvé cette discussion au sujet de la Livebox d'Orange qui n'est pas pour me rassurer (même si je comprends pas tout) :

https://communaute.orange.fr/t5/protéger-mes-données-et-mon/le-mode-de-firewall-moyen-de-la-livebox-est-il-inutile/td-p/105313

Autrement, cette discussion-ci semble faire état du même problème que le mien et proposer une solution (changer le port d'accès à Internet du NAS). Mais je ne sais pas quelles seraient les conséquences pour moi de la mise en œuvre de cette proposition :

j'ai lu le topic ...

et une personne a bien expliquer aussi que pour monsieur et madame tout le monde elle assure une securité satisfaisante

mais surement pas pour une société ou encore des personne qui bosse dans une gestion d’hébergement ou détiendrai des serveurs.

il faut donc passé par un pare-feu logiciel.

citation :

 

Citation

Résumé : la livebox est un équipement grand public destiné à "M. et Mme Michu du coin de la rue" ; il n'est pas destiné à gérer la sécurité d'un hébergement de serveurs

 

[Mathieu Réau]

Que mon pare-feu soit logiciel ou non, comment faudrait-il, au juste, que je le configure pour empêcher les tentatives de connexion depuis Internet (en HTTP) vers mon NAS ?

[Delta]

il y a 1 minute, Mathieu Réau a dit :

Que mon pare-feu soit logiciel ou non, comment faudrait-il, au juste, que je le configure pour empêcher les tentatives de connexion depuis Internet (en HTTP) vers mon NAS ?

je sais que @calisto06 s’intéresse de près au QNAP et serveur... Elle a donc dû forcement pensé et plancher sur ce sujet.

je la cite donc... pour quelle puisse venir donné sont avis

[Mathieu Réau]

Ah oui, ce serait cool ! Merci d'y avoir pensé ! 

[Mathieu Réau]

J'ai trouvé un pare-feu pour mon NAS et je l'ai paramétré avec l'un de ses profils intégrés. On dirait que ça fonctionne !

Si Calisto a tout de même des conseils à me donner sur le sujet, je reste preneur.

Merci pour ton aide, @Delta !

[Delta]

il y a 7 minutes, Mathieu Réau a dit :

J'ai trouvé un pare-feu pour mon NAS et je l'ai paramétré avec l'un de ses profils intégrés. On dirait que ça fonctionne !

reste plus qu'as tester quelques heures

félicitation @Mathieu Réau tiens nous au courant

[Toto61]

Salut,

Si une personne "attaque" ton NAS, c'est que

• soit tu utilises des services "cloud" sur ce dernier, qui sont potentiellement vulnérables et l'expose : ca se désactive dans les services de ton NAS.
• soit l'IP interne de ton NAS est accessible depuis une redirection dans le parefeu de ta box, et ca se désactive également.

J'espère au moins que tu n'as pas mis l'IP locale de ton NAS en DMZ de ta box...?

[Mathieu Réau]

Le pare-feu semble efficace, mais je reçois des notifications de sa part qui m'indiquent que les tentatives de connexion se poursuivent. Quel que soit l'attaquant, il me cible manifestement de façon obstinée.

@Toto61, tes questions sont assez techniques, mais je vais m'efforcer d'y répondre dans la mesure de mes capacités...

J'utilise, sur mon NAS, une application permettant de synchroniser à l'heure dite (pas en temps réel) mes dossiers locaux et mes comptes de type Dropbox, Google Drive, etc.. Est-ce cela que tu appelles des services "cloud" ?

Je n'ai pas mis l'IP locale de mon NAS dans une DMZ de ma box, non.

J'avais, en revanche, ouvert une redirection sur le port FTP pour permettre l'accès à distance aux fichiers de mon NAS, mais je l'ai fermée ce matin, par pure précaution, car le protocole de la tentative d'accès est en HTTP, pas en FTP.

À ma connaissance, mais elle reste modeste, je n'ai permis aucun accès depuis l'extérieur à mon NAS en HTTP, à l'exception de la synchronisation avec mon compte myQnapCloud (paramétré en privé) qui me permet d'accéder au NAS à distance. Je possède, normalement, un lien rapide me permettant de m'y connecter directement, mais il n'a en réalité jamais fonctionné et il a toujours fallu, pour que j'y parvienne, que je me connecte d'abord sur mon compte myQnapCloud et ensuite sur mon NAS à partir de là (deux mots de passe différents).

Que devrais-je contrôler, selon toi, pour m'assurer que tout est en ordre de ce point de vue-là ?

[Toto61]

Tu disposes de quel type de connexion ? D'autre part, disposes-tu d'une IP Fixe ? Si ce n'est pas le cas, un reboot de ta Livebox changera ton IP public, et les attaques devraient s'arrêter si l'ouverture de port a été découvert par un simple scan. Par contre, si elles se poursuivent, cela indiquera que ton NAS est bien pisté par ton assaillant d'une autre façon qu'il va falloir trouver.

Par "Cloud", je pensais plus à des services qui établissent un lien permanent comme peut le faire myQnapCloud en effet. Des applications de facilitations de partages de photos, de documents sous forme d'add-on peuvent être vulnérables. C'est du pain béni pour les hackeurs qui peuvent alors coller un ransomware.

La première chose sera de toute façon faire une sauvegarde en local de tes données, au cas où ton NAS lâche.

Si tu le souhaites, je suis preneur d'une copie d'un de ses mails par MP.

[Mathieu Réau]

e ne sais pas exactement ce que tu entends par "type de connexion"... Filaire ou WiFi, tu veux dire ? Filaire.

Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre.

Je pense qu'il n'y a que myQnapCloud qui établit un lien permanent entre le NAS et l'extérieur de la manière dont tu l'entends.

Avec mon compte, je dispose d'un nom de domaine me permettant d'accéder (normalement) au NAS à distance en HTTP. Comme je n'y connais vraiment rien, je n'avais pas vraiment cherché plus loin, mais là, j'ai téléchargé et installé un certificat SSL depuis Let'sEncrypt (censé mieux sécuriser la connexion, si je comprends bien). Peut-être est-ce nom de domaine qui est visé ?

La notification que m'envoie le pare-feu est des plus sobres :

 

[QuFirewall] In time of 2021-03-23 15:15:02 ~ 2021-03-23 15:16:04, the denied amount reach the set threshold: 30.

Trente tentatives d'accès repoussées en une minute...

 

J'ai également joint une capture d'écran de la page des services de publication du NAS. Tous étaient désactivés à l'exception du "NAS Web", que je viens de passer en privé.

Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

 

 

Modifié le 23 mars 2021 par Mathieu Réau

[Mathieu Réau]

Je viens de désactiver la fonction myQnapCloudLink qui permet le lien avec le site de myQnapCloud et mon nom de domaine, pour voir si les tentatives de connexion s'arrêtent...

Ce n'est pas le cas.

Tout semble donc indiquer que l'attaquant est en possession de mon adresse IP, n'est-ce pas ?

P.S. : ce @§£$% est en train de foutre ma journée en l'air. 

Modifié le 23 mars 2021 par Mathieu Réau

[Toto61]

il y a 8 minutes, Mathieu Réau a dit :

Je ne sais pas exactement ce que tu entends par "type de connexion" [...] Adresse IP fixe, oui, parce que tout mon réseau local est relié au NAS et ça m'évite donc d'avoir à tout paramétrer de nouveau si la box redémarre pour une raison ou une autre.

Par type de connexion, j'entendais ADSL ou Fibre. Et pour la partie IP Fixe, j'ai précisé que cela concernait l'IP Publique de ta Livebox, pas celles de ton réseau local. Fait un test tout simple, repère l'IP publique de ta box sur https://www.monip.org/, redémarre ta box, puis retourne sur le même site. Tu seras fixé.

Par contre, je supprimerai la capture d'écran, car elle contient un code de confirmation ;-)

il y a 8 minutes, Mathieu Réau a dit :

Je ne suis malheureusement pas en mesure de faire une sauvegarde complète des fichiers contenus sur mon NAS : je ne dispose pas de stockages externes suffisamment volumineux. Une partie substantielle de mes données ne peut ainsi pas être sauvegardée ailleurs.

C'est une erreur souvent commise.

[Mathieu Réau]

Pff, le code sur la capture d'écran... Bravo ! 

Merci de l'avoir remarqué.

Je vais essayer de voir si l'IP de ma box est fixe ou non. Si elle l'est, que puis-je y faire ?

J'ai une connexion par ADSL.

À tout à l'heure.

[Toto61]

Si tu es avec un ADSL résidentiel, elle ne sera pas fixe, mais dynamique.

[Mathieu Réau]

IP fixe.

Parce que c'est un abonnement professionnel, si je comprends bien ?

Modifié le 23 mars 2021 par Mathieu Réau

[Toto61]

Ou le reboot a été trop rapide. Le mieux est de retenter d'ici 1 ou 2 jours.

[Mathieu Réau]

À ce propos, j'y pensais à l'instant, mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS ? Tous les appareils connectés à mon réseau sont potentiellement menacés, n'est-ce pas ?

Il n'y aurait vraiment aucun moyen d'établir un pare-feu au niveau de la box afin de protéger tout le réseau plutôt que de mon NAS uniquement ?

[Mathieu Réau]

il y a 3 minutes, Toto61 a dit :

Ou le reboot a été trop rapide. Le mieux est de retenter d'ici 1 ou 2 jours.

Vous voulez dire de laisser la box éteinte pendant un ou deux jours avant de la rallumer ?

[Toto61]

Non, pas 1 ou 2 jours. Juste quelques (dizaines) de minutes. Mais de toute façon, si ton IP est dynamique, elle changera d'ici quelques heures (jours). Donc si d'ici 1 ou 2 jours, tu retournes sur monip.org et que tu constates un changement d'IP, c'est qu'elle est dynamique.

Je reviens sur le point suivant :

Il y a 10 heures, Mathieu Réau a dit :

mais qu'est-ce qui me dit que l'attaque ne cible que mon NAS

C'est toi même qui a indiqué que ton NAS était attaqué, dans ton premier message : 

Il y a 16 heures, Mathieu Réau a dit :

je vois s'accumuler les tentatives d'accès à mon NAS (de la marque Qnap) ; d'après les notifications que je reçois ce matin en ouvrant ma boîte mail