Lancez une nouvelle discussion

Lancez une nouvelle discussion

Répondre

Fuite de données - Hacking de mon NAS

JeeperG
Aspirant
Aspirant
‎2024-10-30 10:34 AM
‎2024-10-30 10:34 AM

Fuite de données - Hacking de mon NAS

Bonjour à tous,

Je fais appel à vous car mon NAS vient d’être victime d'une cyber attaque. L'alerte m'a été donné par CyberAngel par l'intermédiaire de mon employeur qui paie ce prestataire pour screener des mots clés dans le web.

CyberAngel nous dit que mon IP XX.XX.XX.XX sur le port YYY a été découverte ouverte sans mot de passe de connection, alors que mon système est en place depuis 10 ans et que rien ne s'est jamais passé.

On suspecte que la "porte" ce soit ouverte lors d'une mise à jour de mon firmware.

Quelqu'un saurait-il comment et où aller chercher les logs de connexion car nous serions intéressés de connaitre l'activité de mon NAS la semaine dernière.

Je vous remercie par avance pour votre aide,

Cordialement,

Thierry

Message 1 sur 5
0 Compliments
Répondre
Manuel_A
NETGEAR Moderator
NETGEAR Moderator
‎2024-11-05 12:21 AM
‎2024-11-05 12:21 AM

Re: Fuite de données - Hacking de mon NAS

Bonjour @JeeperG 

Merci de votre message et bienvenue sur la communauté Netgear 🙂

 

Si vous avez activé le service d'audit sur le NAS, vous pourrez trouver un historique des connexions sous "Système > Journaux > Audit".

Autrement, si le service d'audit n'est pas activé, vous pouvez retrouver certaines informations en téléchargeant les logs du NAS depuis "Système > journaux > Télécharger les journaux" et en revoyant par exemple les fichiers suivants:

- auth.log (sessions ssh, http)

- bash_history.log (historique des commandes utilisées sur le NAS)

- smbd.log (accès aux partages de fichier)

Bonne journée à vous,

Manuel A
Equipe Netgear

 

Message 2 sur 5
0 Compliments
Répondre
JeeperG
Aspirant
Aspirant
‎2024-11-13 11:55 AM
‎2024-11-13 11:55 AM

Re: Fuite de données - Hacking de mon NAS

Bonsoir,

J'ai pu remonté tous les journaux de mon NAS, je vous remercie encore.

Vous serait-il possible de m'indiquer ce que l'on est censé trouver dans http.log ?

     Oct 23 11:39:04 nas-35-2A-CF apache_access[10675]: 179.43.191.98 "GET / HTTP/1.1" 302

Est-ce les adresses IP qui ce sont connectés à mon NAS ?

 

Comment doit-on interpréter le contenu de cron.log  ?

    Oct 24 14:24:01 nas-35-2A-CF CRON[12510]: (root) CMD (/tmp/irq0 > /dev/null 2>&1 &)

 

Je vous remercie pour votre aide,

 

Merci à vous,

Thierry

Message 3 sur 5
0 Compliments
Répondre
Manuel_A
NETGEAR Moderator
NETGEAR Moderator
‎2024-11-14 11:25 AM
‎2024-11-14 11:25 AM

Re: Fuite de données - Hacking de mon NAS

Bonjour @JeeperG
 

Vous trouverez l'historique de vos mises à jour dans le fichier initrd.log

 

Il peut être normal de voir des erreurs d 'authentification sous smbd.log lorsque vous vous connectez en guest.

 

Par contre, il est nécessaire d'avoir activé la fonction d'audit pour vérifier les fichiers qui ont été accédés depuis smb.

 

Pour ce qui est de http.log, ce fichier va lister les accès faits à l'interface web du NAS ou à vos partages http si vous en avez.

 

Vous pouvez également activer l'antivirus avec l'option  de protection du système d'exploitation pour recevoir des alertes de sécurité.

 

Si votre NAS a en effet été compromis, Il vous faudra également a minima l'isoler de votre réseau en le déconnectant de celui-ci.

 

Bonne journée à vous,
 

Manuel A
Equipe Netgear  

Message 4 sur 5
Répondre
JeeperG
Aspirant
Aspirant
‎2024-11-24 02:03 AM
‎2024-11-24 02:03 AM

Re: Fuite de données - Hacking de mon NAS

Bonjour,

En effet, j'ai été victime d'un hacking de données.

Je réfléchis sur la meilleure manière de sécuriser mon NAS. Est il possible de gérer les connexions à distance en passant par une liste blanche de mac adresse ?

Merci à vous,

Message 5 sur 5
0 Compliments
Répondre
Statistiques de discussion
  • 4 réponses
  • le ‎2024-10-30 10:34 AM
  • 212 visites
  • 1 compliment
  • 2 en conversation