Unbefugte verbinden per WAN auf den Plex und streamen

Hallo zusammen

Soeben ist mir aufgefallen, das seit über 8 Tagen sich jemand auf meinem Plex zugriff verschafft hat und über Nacht (ca. 02:00 AM bis ca. 12:00 AM) meinen ganzen Upload verspeist hat. Was ich weis ist das diese IP mir fremd ist und auch als er meinen Upload komplett benutzt hat, sah ich leider nicht, was er auf meine Plex getan hat.

Es macht mir ehrlich gesagt schon ziemlich sorgen und weis nicht genau was ich tun sollte. Auf unserer Firewall habe ich mittlerweile die IP Adress geblockt und den Port geändert aber schon nach 24 Stunden waren wieder andere IP Adressen zu wirklich komischen Zeiten unterwegs.

Ist euch auch schon sowas aufgefallen und habt Ihr hier vielleicht eine Idee wie man das fixen könnte, ausser mit einer Whitelist?

HW: QNAP TS469-L (aktuellste Version)

Plex Version: 0.9.12.2

Vorab Danke und Grüsse,

D.

1. hast du den Fernzugriff aktiviert?

2. schaue unter Einstellungen - Benutzer - Freunde nach, ob da unbekannte Benutzernamen auftauchen

3. wenn 1., hattest du zuerst Schwierigkeiten mit dem Fernzugriff und hast deshalb irgend welche Sicherheitsmechanismen in deinem Router oder in deinem Plex Server deaktiviert?

4. benutzt du einen DynDNS-artigen Service um eine eigene Domain für deinen Plex Server zu erhalten?

5. Hast du Plex Home aktiviert? (managed user erzeugt oder PIN gesetzt)

6. teilst du deinen Server regulär mit anderen?

7. Hast du mal auf fremden Rechnern dich in dein Plex Konto eingeloggt um plex vorzuführen?

8. Hast du mal Plex-logfiles mit Token öffentlich gepostet?

9. hast du Fremde in dein Plex Home eingeladen oder bist du von Fremden in ihr Plex Home eingeladen worden?

1. Ja, habe ich aktiviert

2. Sind keinerlei unbekannte draf

3. Nein, ich kam via plex.tv direkt drauf

4. Ich hab eine fixe IP und mein NAS mit einer Domain versehen. Benutzt wird der Plex von auswärts immer mit plex.tv

5. Plex Home ist aktiviert, aber es ist niemand drin

6. Ja, ich teile mit meinen engsten Freunden und Familien meine Libary, was gesetztlich in der Schweiz auch okay ist

7. Ja, allerdings nur bei den Freunden, die schon den Zugriff haben. Anfragen wie PW speichern wurde abgelehnt und hab mich auch immer abgemeldet.

8.Plex-logfiles mit Token?

9. Weder noch, wie gesagt, bin alleine

Kannst du damit was anfange?

4. Ich hab eine fixe IP und mein NAS mit einer Domain versehen.

Warum das wenn du das tust:

Benutzt wird der Plex von auswärts immer mit plex.tv

?
 

Erste Maßnahme:

ändere dein eigenes Plex-Kennwort.

(Haken rein bei dieser Checkbox: "Sign out connected devices when setting your new password (recommended)")

Wenn du nach dem Ändern keinen Zugriff mehr auf deinen Server hast:

https://support.plex.tv/hc/en-us/articles/204281528-Why-am-I-locked-out-of-Server-after-password-reset-or-device-token-removal-

Denke daran, es auch auf allen deinen Plex Clients zu ändern. Sonst kriegst du bald die berüchtigten Emails über eine gesperrte IP weil zuviele Einlogversuche mit falschem Kennwort aufgelaufen sind.

Ich nehme an, du konntest nicht feststellen, mit welchem Plex-Account der unbefugte Benutzer aufgetreten ist?

Hast du noch Logfiles von dieser Nacht?

https://support.plex.tv/hc/en-us/articles/200250417

Wenn nicht, "Aktuelle Wiedergabe" im Auge behalten und lauern, wann wieder Aktivität zu sehen ist.

Klaube dann sofort die Plex Media Server Logfiles zur Inspektion auf.

Es kann durchaus sein, dass einer deiner Mitbenutzer entweder selbst der Täter ist oder ein Mitglied seines Haushaltes. Oder er war unvorsichtig mit seinen Zugangsgdaten. Oder er hat sich ein mobiles Gerät klauen lassen, wo die Zugangsdaten hinterlegt waren.

Wie auch immer, wenn du feststellen kannst dass die Zugangsdaten eines regulären Benutzers missbraucht werden, dann stelle das Sharing mit diesem Benutzer ab. Danach kannst du ihn hochnotpeinlich dazu befragen, bzw. er kommt selbst auf dich zu wenn er feststellt dass er keinen Zugriff mehr hat. ;)

Kontrolliere die Zugänge zu deinem NAS. Es kommt leider immer wieder vor, dass diese Dinger entweder ab Werk unsicher eingestellt sind oder aber es dem Benutzer zu leicht gemacht wird sie unsicher zu konfigurieren. Überprüfe sämtliche Kennwörter für die Konfiguration und den Fernzugriff. Deaktiviere derartige Dienste falls du sie nicht benutzt.

Die üblichen Sachen: Firewall an, Konfiguration aus der Ferne deaktvieren, Standardpasswörter durch eigene, sichere ersetzen.... etc.

5. Plex Home ist aktiviert, aber es ist niemand drin

Warum?

7. Ja, allerdings nur bei den Freunden, die schon den Zugriff haben. Anfragen wie PW speichern wurde abgelehnt und hab mich auch immer abgemeldet.

Nützt leider nichts wenn deren Rechner bereits kompromittiert war und im Hintergrund ein Schadprogramm fleißig Zugansgdaten aus dem Webbrowser abgefischt hat.

Damit ich eben auf den Server selber draufkomme (basiert via SSL, die restlichen Ports ausser für Plex (42400) sind alle geschlossen). Nutze ich Plex von aussen, ist ja klar das man via plex.tv drauf zugreifen sollte.

Password geändert

Zugriff ist noch vorhanden, geht also :)

Wie soll ich sagen, auf meiner Sophos Firewall, sah ich eine IP Adresse, die mehrmals auf den damaligen Port 32400 draufzugegeriffen hat und meinen ganzen Upload stiel. Ging ich allerdings in den Plex unter "aktivität" so war nichts angezeigt. Quasi, als hätte ein "Geist" was getan. Deshalb denke ich auch nicht das dies im Log sein wird.

Ganz klar würd ich dann den Kollegen den Plex sperren lassen aber ich kenne niemand mit dieser IP Adresse. Laut Internet kommt die IP aus der Zentralschweiz und beim genaueren betrachten, sah man das es von Romänien kommt. Und die User kommen von dort, sind dort im Urlaub oder sonst was. Und wie gesagt unabhängig ob denen Ihre Geräte gestohlen wären, es müsste doch oben aufläuchten, das jemand schaut.

Du sagst es, die sind meistens unsicher... ich sag nur DMZ ;-) Aber nö, mein QNAP wurde "ziemlich" sicher eingerichtet, es sind auch nur die Ports SSL & Plex offen, der rest ist zu. Dazu kommt noch das die Hardwarefirewall von Sophos ziemlich gut schützt/monitort.

Gute Frage, a weis ich nicht für was ich das brauche und b war es glaub einfach aktiv.

Das stimmt auch wieder

Grüsse,

D.

Wie soll ich sagen, auf meiner Sophos Firewall, sah ich eine IP Adresse, die mehrmals auf den damaligen Port 32400 draufzugegeriffen hat und meinen ganzen Upload stiel. Ging ich allerdings in den Plex unter "aktivität" so war nichts angezeigt. Quasi, als hätte ein "Geist" was getan. Deshalb denke ich auch nicht das dies im Log sein wird.

Ganz klar würd ich dann den Kollegen den Plex sperren lassen aber ich kenne niemand mit dieser IP Adresse. Laut Internet kommt die IP aus der Zentralschweiz und beim genaueren betrachten, sah man das es von Romänien kommt. Und die User kommen von dort, sind dort im Urlaub oder sonst was. Und wie gesagt unabhängig ob denen Ihre Geräte gestohlen wären, es müsste doch oben aufläuchten, das jemand schaut.

Bei Aktivität wird nichts angezeigt, wenn dein Mitbenutzer Medien "synchronisiert", also auf sein Gerät runterlädt. Was einleuchtend erscheint wenn er in einer Gegend mit nicht so schneller oder zuverlässiger Internetverbindung ist. Also schnell ein paar Filme zum runterladen markiert und dann ins Bett gehen. Manchmal passiert es auch, dass eine ganze Mediathek (aus Versehen) zum Synchronisieren markiert wird.

Wie gesagt, mit einem Logfile würde man auch rauskriegen welcher Plex-Account auf welchem Gerät das ausgelöst hat.

Auch wenn bei allen User der Sync deaktiviert worden ist? Lass mich mal schauen, ob ich dieses Logfile bekomme.

Gruss,

D.

So ich kam endlich dazu, den Log runterzuladen und zu analysieren. Leider allerdings konnte ich es nur noch von heute herunterladen. Was meinst du, möchtest du dir mal den Log trotzdem anschauen? Bringt warscheinlich nichts und das beste wär abzuwarten, bis wieder eine unauthorisierte Person draufzugreift.

Was meinst du dazu?

Grüsse,

D.

Wenn die Zeitstempel im Log nicht von der Nacht sind wo der Zugriff erfolgte, bringt es nichts.

Diese Nacht passierte es erneut und durchforschten die Logs der Firewall & Plex und stellten fest das ein Hacker, den Token eines registrierten User nutze und von meinem Plex profitierte. Was der User für eine Seuche auf dem PC hat weis ich nicht, aber ich sperrte die IP auf der Firewall und zusätzlich hat er keinen Zugriff mehr auf dem Plex.

Die nächsten Tagen werde ich mein WAN kontrollieren, wie er sich verhaltet.

Vielen Dank für deine Tipps!

D.

Beim PMS hat man im selben Netzwerk automatisch Zugriff auf deine Bibliothek, da muss man in den Einstellungen einen Haken entfernen, dann ist das erledigt. Bleibt noch die Frage, wie kommen Fremde in den Netzwerk?