Beschuldigd van hacking

[Briolet]

Als je het pakker "DarkStat" installeert, dan worden alle uitgaande verbindingen per IP adres en poort gelogd. Je weet uit je mail welk IP adres is aangevallen "xx.xx.xx.xx". Dus als dat adres ook door DarkStat gelogd wordt, weet je dat de nas de bron is.

Je kunt misschien ook je router instrueren om al je verbindigen naar een syslogserver op je nas te sturen. Wordt wel een grote logfile, maar als je dat aangevallen  IP in het log terug vindt, kun je ook het apparaat op je eigen lan (interne IP) vinden die de aanval uitvoert.

[Pippin]

de poorten die je open hebt staan doen er volgens mij niet toe, want je bent niet de ontvanger van de login poging

Dat valt te bezien, als iemand eerst inlogt via SSH op b.v. zijn NAS kun hij zo doorhoppen naar om het even elke machine die aan het luisteren is. Maakt niet uit of dat op het LAN is of het WAN.

Dat doe ik hier ook via SSH voor OpenVPN clients die een update nodig hebben.

[Sylvester]

@MMD
Dat laatste had ik niet goed begrepen. Ik mis duidelijk wat 'opleiding' 

@Briolet
Die XX.XX.XX.XX is mijn eigen WAN ip.

Maar goed, ik heb de bash_history.log file kunnen openen (met mijn beperkte kennis van Unix). Er staat niets in voor die datum waarnaar men verwijst in mijn mail.
Enkel wat commando's op 14 maart 2017, en alle commando's van vandaag.
Kan kloppen, want ik gebruik dit niet veel. Een aantal maanden geleden heb ik eens iets moeten doen via de shell.

[Sylvester]

Poort 22 is/was sowieso dicht op de router!

[Pippin]

Dat had ik anders begrepen:

SSH stond nog op.

Ik mis duidelijk wat 'opleiding'

Men kan via SSH doorhoppen naar andere apparaten die ook SSH aan hebben staan, voorbeeld:

Hierboven log ik eerst in, na een tikvoutje, via SSH op de NAS die ik niet thuis heb staan, staat in een ander land.
De tweede login is een apparaat die ik onderhoud voor een kennis.
Dan een exit en ik ben weer terug op de NAS.
Zo kan men vele malen doorhoppen en het slachtoffer weet niet werkelijk waar ik vandaan kom.
Via SSH kan je dus van de ene machine doorhoppen naar de andere.

Als dus een hacker toegang zou hebben via SSH op een apparaat in jou LAN kan deze dus proberen door te hoppen/in te loggen bij degene die het log naar jou provider heeft gestuurd. Diegene ziet niets anders dan jou IP adres, niet dat van de hacker...
Daarom dus poorten dicht in de router.

Het hoeft niet perse een hacker te zijn, het kan ook b.v. een bot zijn op één van je apparaten.
In dat geval zou ik toch even stekkertje trekken want misschien is de vermeende hackerij nog steeds gaande en daar wordt je provider denk ik niet blij van. Die verwacht dat je het probleem oplost.

Kijk gewoon alles na, wijzig wachtwoorden, reset apparaten, camera`s, satelliet ontvanger, de hele blabla enz..

[Sylvester]

Ik mis toch wat achtergrond.
Iemand die via SSH toch toegang zou krijgen op mijn LAN? Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?
Het gaat me even mijn petje te boven hoe iemand binnen kan geraken en dan ook nog eens via mijn netwerk dingen naar buiten gaan doen die lijken op 'hacking' of ongeoorloofde toegang tot bepaalde systemen.
Bijvoorbeeld :
als ik jou mijn WAN IP geef, en je weet dat poort 5000 open staat. Wat kan je daar nu mee?

[Pippin]

Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?

Het kan iets zijn dat je "opgelopen" hebt tijdens surfen.

Door deze opmerking,

SSH stond nog op.

begreep ik dat SSH van buiten toegankelijk was maar later schreef je dat het niet zo was.

Als je poort 5000 naar de NAS open hebt staan en ik ken een kwetsbaarheid in DSM kan ik via die weg dus weer terug naar buiten. Hetzelfde geldt dus voor andere apparaten/diensten die je open hebt.
Dat illustreert mijn vorige post, alleen daar deed ik het via SSH en niet via poort 5000/DSM.
De ingang kan in principe van alles zijn dus niet perse SSH.

Vraag die waarschijnlijk open blijft:
Heeft de provider goed gekeken of jij dat IP had op dat moment, 1/2 juni, of weet je zelf dat dat zo was?

Het is lastig en vervelend maar ik zou toch alles nagaan zoals reeds voorgesteld voor zover dat mogelijk is.

[Briolet]

Iemand die via SSH toch toegang zou krijgen op mijn LAN? Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?

Het gaat hier toch om uitgaand SSH verkeer? Dan hoef je zelf niet via SSH benaderd te zijn. Het kan ook een advertentie met malware zijn die je PC besmet heeft tijdens het bezoeken van een website. En die valt anderen aan via SSH. Maar goed, als poort 22 echt dicht zit in de firewall van de router, is er ook geen uitgaand verkeer via SSH mogelijk via die poort.

[Pippin]

uitgaand verkeer via SSH mogelijk

Hier bedoelt @Briolet inkomend i.p.v. uitgaand.

[Briolet]

Nee, ik bedoel echt uitgaand verkeer. Ingaand verkeer hoef je niet te blokkeren. Daar zorgt het niet-forwarden al voor dat je er er van buiten af niets mee kunt. Als je niet wilt dat je eigen netwerk iemand anders aanvalt via ssh, moet die poort uitgaand dicht. Dan heb je de bron nog niet, maar voorkom je erger.

Als je router dat ondersteunt natuurlijk. Op de Ubee kun je gewoon willekeurige poorten of reeksen dicht zetten. Dan is er in- en uitgaand geen verkeer meer mogelijk.  In de Asus manual zie ik die optie niet zo snel, maar ik lees wel iets over protocollen blokkeren.

[Pippin]

AAh zo bedoel je dat, als die router dat kan kan dat inderdaad.

[Ben(V)]

Het is eigenlijk niet eens zo waarschijnlijk dat het in je NAS zit.
De meeste kans is dat een ander apparaat PC of MAC een bot heeft opgelopen die ofwel zelfstandig dit doet ofwel een connectie naar een commander heeft gemaakt en nu in een bot netwerk hangt.

Je ISP kan niet zien van welk device er iets vanaf jouw netwerk gekomen is, die ziet alleen de WAN kant van je router.
Ik zou eerst maar eens op jacht gaan naar een bot op al je devices,
Probeer eens malwarebytes en/of bitdefender.

[Sylvester]

Vermits er niks in die log staat, kan ik er toch van uitgaan dat de kans heel klein is dat iemand iets heeft gedaan via mijn nas.
Ik blijf het straf vinden, maar ik steek het dan voorzichtig op mijn onkunde en onwetendheid.
Toch wel een gat in mijn kennis...

De Mac heeft alleszins geen virussen of malware, en op de tweede klein Windows PC staat helemaal niets buiten een simpel visual basic programmaatje om iets technisch binnenhuis te monitoren. Deze ligt wel op één poort open om een web-paginaatje voor privé gebruik te publiceren. Is ook gecontroleerd op virussen en malware maar zat niks op.
Ik heb ook een vermoeden dat het de andere windows PC is, vermits deze niet door mijzelf bediend wordt. We hebben hierop iets van malware gevonden maar konden geen link leggen naar wat dit eventueel naar buiten toe gedaan zou kunnen hebben. Toch maar verwijderd en herinstallatie gedaan.

Geweldig dat iedereen zo snel meedenkt . Bedankt.
Toch een super forum !

[Briolet]

Met de toename van het aantal IoT apparaten, zal dit soort dingen ook steeds erger worden. Bij programmeurs van wasmachines, koelkasten, of waterkokers aan het internet, is security vaak het laatste waar naar gekeken wordt. Updates van IoT apparaten verschijnen zelden.

Als er dan een lek gevonden wordt in de webinterface, kan malware toegang krijgen, zichzelf root-rechten verschaffen, allerlei poorten openen en dan zijn 'werk' doen. Zelf heb ik al mijn thuis apparaten die niet het internet op hoeven, op de blacklist van de router gezet. In het onwaarschijnlijke geval dat ze besmet raken, kunnen ze nog niet het internet op.

[Hofstede]

Ik ben bezig alle IoT apparaten over te zetten op een aparte VLAN en op een apart wireless netwerk. Daarmee kan ik ook beter monitoren en beheren wat deze apparaten allemaal uitspoken op het netwerk.