Ciberguerra, están atacando mi NAS ;)

kokoliso1

kokoliso1

Madmaxista
Desde
28 Nov 2009
Mensajes
1.106
Reputación
1.004
Desde hace dos semanas están atacando mi NAS particular por internet, para el que no lo sepa es un disco duro en red donde se pueden hacer backups en local y remoto, sólo lo uso para las fotos y vídeos de los móviles y tengo copia offline de todo que actualizo de vez en cuando.

Bueno, pues el tema es que siempre hay intentos puntuales de entrar usando usuarios y contraseñas por defecto, etc... pero desde hace dos semanas algo o alguien está intentando entrar por un ataque de fuerza bruta al usuario admin, más de 7000 intentos cada 24 horas durante dos semanas llevan ya....

En cinco años que tengo el NAS en marcha es la primera vez que veo algo así, estos equipos llevan de serie una protección de que si alguien intenta entrar desde una IP y falla más de 5 veces en 5 minutos bloquea la IP por un día, pero estos cucos tienen ya una botnet con cientos de IPs desde las que atacan y no entraban a intentarlo con la misma IP más de 2 veces por hora, al verlo cambié la protección a 2 veces en menos de 1 hora y bloqueé unas cuantas IPs... pero van y reaccionan y reducen la frecuencia... a lo que voy e instalo un nuevo firewall que bloquea IPs de fuera de España.... y van ellos y atacan sólo desde dentro de España(bueno, aún no han reaccionado del todo ya que veo 4000 bloqueos de fuera pero van afinando su ataque)

He investigado a ver qué hay en esas IPs y son otros NAS de varios fabricantes, es decir que hay mucha gente por ahí que tienen su NAS hackeado, si tenéis uno tened cuidado.

Al final para evitar que puedan entrar simplemente he desactivado el usuario admin creando antes otro con otro nombre que no conocen con lo cual su ataque no puede hacer nada.... os lo cuento por si os encontráis en la misma situación.

En resumen, tantos recursos e intentos para entrar en un puñetero NAS casero... supongo que estarán usando IA para el ataque porque personas... como no sea un país....

¿Os ha pasado algo similar últimamente?, actualizad los equipos que estén en red.
 
A 7000 intentos al dia en unos cuantos miles de años ya lo tienen, suponiendo que no cambien la contraseña regularmente
 
Mi NAS ha sido hackeado. Lo tenía en mi despacho del trabajo y me lo han quitado de la red por eso.

Ni idea que hacer ahora
 
ProfePaco dijo:
Mi NAS ha sido hackeado. Lo tenía en mi despacho del trabajo y me lo han quitado de la red por eso.

Ni idea que hacer ahora
Hacer clic para expandir...
Puedes copiarte todos los archivos a un disco externo (incluso desmontando el disco) y luego resetearlo al firmware de fábrica con las instrucciones del fabricante y actualizarlo después al último firmware, eso debería borrar el rootkit que te hayan instalado. Tiene que ser reset de fábrica, busca por internet con el modelo a ver si pone cómo hacerlo, algunos es arrancar con el botón de reset pulsado o pulsar varias veces el botón de reset en el arranque, para que no arranque con el rootkit.
 
kokoliso1 dijo:
Lo necesito online para no tener que pagar icloud o similares, me sincroniza las fotos y vídeos del móvil de toda la familia sin pagar a nubes y además sólo las tengo yo.
Hacer clic para expandir...

yo sincronizaria en casa, cada dia salen exploits zero day de todas las cosas android que tenemos en casa escuchando fuera, de las android box a las tvs, anda que no hay todo tipo aparatejos que vienen con la puerta atras desde china, te venden el android tv a 20€ y hacen la pasta usandolos de botnet.
 
kokoliso1 dijo:
Bueno, pues el tema es que siempre hay intentos puntuales de entrar usando usuarios y contraseñas por defecto, etc... pero desde hace dos semanas algo o alguien está intentando entrar por un ataque de fuerza bruta al usuario admin, más de 7000 intentos cada 24 horas durante dos semanas llevan ya....
Hacer clic para expandir...

Pues ya sabes, ponle autenticación en dos pasos y te olvidas de ese tema...
 
cucerulo dijo:
Pues ya sabes, ponle autenticación en dos pasos y te olvidas de ese tema...
Hacer clic para expandir...
puedes explicar un poco como se instala ese sistema mi marido y yo (sobre todo el que es quien llevaba el tema) en un nas (teniamos un asustor pequeñito no muy potente)? Lo tuvimos que quitar hara dos meses por cosas como estas, mi marido termino hasta los narices y lo quito
 
Cuando no te meten discos SMR de cosa en el NAS ( Western Digital gets sued for sneaking SMR disks into its NAS channel ), tienen seguridad de cosa ( Western Digital 'My Cloud' devices have a hardcoded backdoor -- stop using these NAS drives NOW! ).

El mejor NAS es aquel donde puedes actualizar el sistema operativo sin complicaciones, puedes elegir el layout de discos y puedes elegir tú el hardware: un ordenador normal y corriente.

Pero claro, un ordenador no es una caja bonita que ocupa y gasta poco a menos que le eches tiempo y dinero, con lo que se compromete siempre algo. Si tienes que comprometer algo, tu NAS no será seguro (ya sea por rusos malvados, rotten bits malvados, rodamientos malvados…)
 
Tierra Azul dijo:
puedes explicar un poco como se instala ese sistema mi marido y yo (sobre todo el que es quien llevaba el tema) en un nas (teniamos un asustor pequeñito no muy potente)? Lo tuvimos que quitar hara dos meses por cosas como estas, mi marido termino hasta los narices y lo quito
Hacer clic para expandir...

Normalmente la opción suele estar dentro de ajustes/usuarios y la NAS busca una llave hardware o te manda un código al móvil que dura 30 segundos. Para que veas cómo es:

the-man-cave.es

Verificación en dos pasos en el NAS

Teniendo en cuenta que al NAS es un dispositivo que se encuentra permanentemente conectado con el exterior, que nos conectamos a él frecuentemente desde diferentes aparatos y usando todo tipo de re…
the-man-cave.es

www.asustor.com

ASUSTOR NAS - Verificación en 2 pasos

Fortalecer la seguridad de la cuenta ADM
www.asustor.com www.asustor.com

Pero esto con todo, las contraseñas yo las tengo en un Keepass y además de poner la contraseña tiene que encontrar un determinado fichero en la unidad C o no se abre el programa.
 
¿Cómo tienes expuesto el NAS a internet? ¿Accedes directamente por tu IP o tienes un dominio?
Dicho esto. ¿Qué router utilizas? ¿Usas el que te presta el ISP?

Yo lo que te recomendaría es no exponer nunca tu IP pública. Si tienes IP dinámica (lo más habitual por aquí) esto juega a tu favor. Puedes reiniciar el router cada x horas para actualizar la IP. Ahora ya es complicado y desconozco si usas un Synology o similar que puedan tener determinados servicios y aplicaciones que sean rastreables (desconozco). Además de eso, cambiar los puertos por defecto SIEMPRE. No es infalible, pero es otro escalón. Yo tengo un dominio personal comprado y utilizo cloudflare, que tiene varias protecciones, incluidas DDoS y firewall.
Y por supuesto, si en general recomiendo comprar un router y poner el de tu ISP en modo brige (o si te dejan, quitarlo y dejar sólo la ONT), en un caso en el que tengas NAS o aplicaciones web, qué te voy a contar...

Otra opción que uso para determinados servicios es dejarlos accesibles únicamente por LAN. Tengo montada una VPN (openVPN) para conectarme a mi red local desde cualquier lugar y esto, además, te da una capa de seguridad adicional para navegar en redes públicas.

Una última ya si te gusta cacharrear:
 
Última edición:
cucerulo dijo:
Normalmente la opción suele estar dentro de ajustes/usuarios y la NAS busca una llave hardware o te manda un código al móvil que dura 30 segundos. Para que veas cómo es:

the-man-cave.es

Verificación en dos pasos en el NAS

Teniendo en cuenta que al NAS es un dispositivo que se encuentra permanentemente conectado con el exterior, que nos conectamos a él frecuentemente desde diferentes aparatos y usando todo tipo de re…
the-man-cave.es

www.asustor.com

ASUSTOR NAS - Verificación en 2 pasos

Fortalecer la seguridad de la cuenta ADM
www.asustor.com www.asustor.com

Pero esto con todo, las contraseñas yo las tengo en un Keepass y además de poner la contraseña tiene que encontrar un determinado fichero en la unidad C o no se abre el programa.
Hacer clic para expandir...
Gracias, otra pregunta, lei al autor de este post, que para dificultar el uso de la cuenta Admin habia que crear otra...Entiendo que si se hace esto se podria desactivar esa cuenta que viene por defecto y que creando otra al nivel de un Admin tendria los mismos privilegios absolutos no? Se lo pasare a mi chico a ver si esto nos soluciona el problema, gracias!
 
Iniciar sesión o registrarte para responder aquí.
Volver