Protokoll Verständnis

[rstle]

Ich hatte heute Nacht zum ersten Mal seit ich ich Synologys verwende, einen Hackerangriff der auch reingekommen ist.
Hatte gestern für Tests Port 21 freigeben und danach vergessen wieder zu sperren (nur 4 Stunden offen), mein Fehler, aber nicht die Frage, sondern das Protokoll.
Habe mich bisher noch nicht mit dem Protokoll beschäftigt, weil nicht gebraucht.
Ich verstehe darunter nicht nur eine Zeile, daß sich z.B um 01:06 die IP xx bei mir eingeloggt hat,
sondern das ich dann - nennt sich ja Protokoll - auch nachlesen kann, wie lange, was ev. runtergeladen, aus welchem Pfad, etc.pp.
Verlang ich da zuviel oder hab ich da was falsch eingerichtet?

 

[c0smo]

Verlang ich da zuviel oder hab ich da was falsch eingerichtet?

Es sei dir verziehen das der Port offen war, kann passieren - aber wie um Himmelswillen konnte der Angreifer sich erfolgreich einloggen? Hast du kein Passwort vergeben oder das admin Konto deaktiviert?

Im Protokoll kannst du von "Verbindung" auf "Übertragung" wechseln, dann siehst du was passiert ist.

 

[rstle]

Das frage ich mich auch, lief unter anonymous FTP.

Übertragung, da endet die Anzeige leider schon am 1. Oktober, was völliger Unsinn ist,
da ich gestern ja bei den Tests Daten übertragen habe (von auswärts), die überhaupt nicht auftauchen.

 

[c0smo]

Also wenn du das nicht weißt, dann würde ich mir mal grundlegende Gedanken zu deinem Sicherheitskonzept machen. Da läuft ja was völlig falsch.

Ist im Protokoll eine andere Sortierung gewählt? Bist du vielleicht auf einer anderen Seite?
Vielleicht hat der Angreifer die Protokolldaten gelöscht!

 

[rstle]

Das ist ja das, was ich nicht begreife, ftp freigeben für jedermann wäre ja noch dämlicher als Port vergessen zu schließen.
Oder ich hab tatsächlich was übersehen, nur finde ich nichts.

Die Sortierung ist schon i.O.
Wenn der Angreifer gelöscht hätte, wäre das als letzter Protokolleintrag verblieben, denn den kriegt er nicht raus.
Steht aber auch nichts da. Die Protokolle aller Art gehen bis heute 11:55, nur die Übertragung endet am1.10.

 

[peterhoffmann]

Wie sieht der Protokolleintrag von 01:06 Uhr genau aus?
Poste doch mal die betreffenden Zeilen inklusive was davor und dahinter steht.

Geht der Login über anonym überhaupt und wo landet man dann auf der DS?
Öffne kurz den Port und versuche dich selber mal anonym über FTP zu verbinden. Wenn das geht, versuche was dort zu speichern.

Kennst du dich mit SSH / Putty aus? Wenn ja, die umfangreichen Logs findest du unter /var/log

 

[c0smo]

Jetzt nur ein wirrer Gedankengang.. Was wäre wenn er die Systemzeit nach dem login verstellt hätte?

Trotzdem wäre das jetzt zweitrangig für mich. Erster Schritt wäre jetzt Backup herstellen um bösartige Dateiänderungen rückgängig zu machen. 2. Sicherheitsmechanismen überprüfen und anpassen.

 

[rstle]

Ich selber komme über anonym nicht rein, deshalb ja das Rätselraten.



Und mehr ist aus dem Protokoll nicht zu ersehen.
Uhrzeit war nicht verstellt, stünde ja auch im Protokoll
und da außerdem alle Zugriffe für Monat Oktober noch vorhanden, auch nichts im Protokoll gelöscht.
Ich hab den Kasten jetzt erstmal komplett nach außen dicht gemacht, bis ich weiß was da läuft.
FW ist ja auch aktiv.

 

[c0smo]

Hast du Port 21 im Router geöffnet oder nur lokal in DSM?
Vielleicht mal Geo IP Blocking in Betracht ziehen, dann wäre der jetzige Angriff aus Pakistan erst gar nicht zum login gelangt.

 

[peterhoffmann]

Über FTP kann man keine Änderungen an der Systemzeit vornehmen. Über FTP kann man nur je nach der Rechtevergabe Dateien erstellen, umbenennen, verschieben, löschen und/oder runterladen.

IP ist aus Pakistan. Das Gute: Du hast einen genauen Zeitpunkt. Da lässt sich in den Logdateien (Verzeichnis /var/log) sehr genau nach suchen.

 

[c0smo]

Über FTP kann man keine Änderungen an der Systemzeit vornehmen.

Schon klar, aber weißt du was ein Hacker alles machen kann wenn er schon im System ist? Ich nicht, soweit reicht meine kriminelle Energie bzw auch mein Wissensstand nicht.

 

[peterhoffmann]

1. Er ist nicht "im System", sondern hat maximal einen Dateizugriff auf ein festgelegtes Verzeichnis "auf dem System". Nicht mehr, nicht weniger.
2. Das sind keine Hacker, sondern die suchen offene FTPs um Files (meist Warez) dort zu parken (Transfer von FTP zu FTP => FXP). Er scannt mittels Script automatisiert IP-Bereiche auf offene FTP-Ports, versucht einen Login, wenn Login möglich, prüft das Script ob Dateien hoch- und runtergeladen werden können, sowie die Geschwindigkeit. Wenn das alles positiv ist, kommt die IP mit den Eckdaten auf eine Positiv-Liste.
3. Wenn der Eindringling über den FTP-Login die Systemzeit ändern könnte, wäre er wirklich "im System", das FTP-Protokoll wäre somit fehlerhaft und wir hätten weltweit ein massives Problem.

 

[c0smo]

Was du so alles aus einer IP rauslesen kannst.. Chapeau!

Wenn das alles so ist, brauch der TE sich überhaupt keinen Kopf machen.

 

[rstle]

Sorry hab jetzt einen totalen Blackout, hänge gerade über Timemachine für 3 Macs und installiere einen Mac neu.
Dazwischen etwas an der DS basteln. Wie komme ich in die Systemdateien der DS?
Kriegs momentan nicht mehr gebacken.

PS habe die IP auch versucht zu ergründen, wurde mir natürlich als unbenutzt angezeigt, bei einem Hacker auch verständlich.

Und selbst wenn sie was geparkt hätten, jetzt ist der Laden auf jeden Fall dicht, schiebe nachher ein komplettes Backup rüber, hatte rein zufällig gestern eins gemacht

 

[peterhoffmann]

Wie komme ich in die Systemdateien der DS?

Über SSH, Programm Putty.

habe die IP auch versucht zu ergründen

z.B. => http://www.utrace.de/?query=175.110.102.146

jetzt ist der Laden auf jeden Fall dicht, schiebe nachher ein komplettes Backup rüber

Das bringt dir die Datensicherheit zurück, aber nutzt dir ja auf lange Sicht nichts, da das Problem auch im Backup steckt. Daher musst du in den Logs unter /var/log forschen.

Was du so alles aus einer IP rauslesen kannst.. Chapeau!

Ich habe diesen Blödsinn in den Jahren 1998 bis 2003 selbst gemacht.
Aber klar, deine Alternative kann es natürlich auch sein, sprich das hier der größte FTP-Superduppie-Hacker der Welt unterwegs war und sogar das FTP-Protokoll hier mal eben so geknackt hat.

 

[rstle]

Danke, als ich noch Windoof hatte hab ich das verwendet, unter Mac ist das etwas aufwendiger,
dazu kommt noch, daß das root PW seit 6.xx nicht mehr = admin ist.
Das hab ich noch nicht gefunden weil im System rumfummeln nicht mehr nötig war.
Ich werde mir aber schnell mal eine W10 auf dem Mac erstellen, dann gehts mit putty einfach.
Dauert nur ein Stündchen

Ging schneller, hatte doch noch eine W10 VM auf dem Mac, lange nicht gebraucht und schon vergessen.

Nun muß ich nur noch das PW finden.

 

[peterhoffmann]

Schau mal im DSM unter:
Systemsteuerung => Dateidienste => FTP => Erweiterte Einstellungen => Anonymous FTP
Dort kannst du das an- und abhaken.

SSH/Putty:
In folgender Datei findest du die Loginversuche:
/var/log/auth.log

root PW seit 6.xx nicht mehr = admin ist.

Du musst dich zuerst mit dem Usernamen "admin" und dem zugehörigen PW einloggen, dann per "sudo -i" auf root umloggen.
Grundsätzlich muss SSH im DSM aktiviert sein.

 

[rstle]

Danke ich bin zu lange raus, im höheren Alter macht man sich bequem, deshalb Apfel.
Bin jetzt im root drin, in /var/log, gibts da nicht sowas wie Nortoncomander, mit dem man etwas bequemer die Files auslesen kann
Muß wohl erst wieder die Terminalbefehle lernen.
less und lsof laufen nicht?

Asche aufs Haupt, der Anonymus ist ja dermaßen tief versteckt,
als ich vor einem Jahr die Kiste komplett neu konfiguriert habe, hab ich den wohl übersehen,
ist ja wohl standardmäßig aktiviert, böser Fehler.
Da kann ich froh sein, daß ich definitiv nur einen Hacker hatte.
Stellt sich nur die Frage, warum ich selber nicht per anonym reinkam.

 

[peterhoffmann]

im höheren Alter macht man sich bequem, deshalb Apfel.

Die Bequemlichkeit ist zwar ganz schön, aber in dieser Apfelblase darf man ja gar nichts mehr. Um mich an eine solche Bevormundung zu gewöhnen, bin ich wohl zu alt.

Bin jetzt im root drin, in /var/log, gibts da nicht sowas wie Nortoncomander, mit dem man etwas bequemer die Files auslesen kann

Es gibt den MidnightCommander. Der lässt sich über das Paketzentrum installieren und dann auf der Konsole per "mc" (nicht nc *gg*) starten.
Ansonsten empfehle ich bei so was auch die betreffende Datei per "cp" in ein zugängliches Verzeichnis zu kopieren.
Beispiel:

cp /var/log/auth.log /volume1/meinordner/

So kann man direkt über eine Netzfreigabe auf die Datei zugreifen und sie bequem auswerten.

als ich vor einem Jahr die Kiste komplett neu konfiguriert habe, hab ich den wohl übersehen,
ist ja wohl standardmäßig aktiviert, böser Fehler.

Ich kann mir nicht vorstellen, dass der standardmäßig aktiviert ist.

 

[rstle]

Danke, jetzt hab sogar ich es wieder hinbekommen.

Habe mir die auth.log jetzt mal rausgezogen, offenbar war der liebe Mensch nur sehr kurz drin. (01:07)



wenn ich mit den Macs fertig bin, setze ich die Konfig mal komplett zurück und sehe dann nach.
Ich kann mich absolut nicht erinnern, dort jemals was eingestellt zu haben.

MidnightComander scheint nicht mehr verfügbar zu sein, zumindest nicht nicht im Paketzentrum unter "alle".
Schade, das Protokollcenter ist ja nicht sehr detailliert.