Hackerversuch aus dem Internet auf meine Synology DS 716+

[hans44]

Hallo
In letzter Zeit hatte ich mehrere Zugriffsversuche aus dem Internet auf meine NAS.
Die IP-Adressen sind alle aus östlichen Ländern.

DS 716 meldet mir dann:
IP-Adresse wurde von DSM blockiert.

Was sind meine Risiken?
Wie kann ich diese Angriffe besser abwehren?

Danke zum Voraus für Hilfe

Hans

 

[dil88]

Willkommen im Forum, Hans!

Nutz die Firewall, um Zugriff nur aus DE bzw. Ländern zuzulassen, aus denen Du den Zugriff benötigst. Per Suchfunktion solltest Du bei Bedarf Details finden.

 

[hans44]

Herzlichen Dank für die rasche Hilfe.

 

[c0smo]

Schau mal hier..

https://www.synology-forum.de/showt...llregeln/page4&p=795533&viewfull=1#post795533

 

[NSFH]

Vielleicht schreibst du mal, welche Ports du überhaupt nach Aussen über den Router geöffnet hast. Da sollten keine unverschlüsselten Ports bei sein und am besten diese Ports auch per Redirection in einen anderen Bereich verlegen!
Die well known Ports der Syno werden nämlich gerne gescanned.

 

[himitsu]

Ports an DS offen ist auch nicht soooo schlimm, wenn eh nur die wichtigsten Ports vom Router durchgereicht werden. (aber ja, falls im Router mal die Config nicht stimmt, ist es besser, wenn sie dennoch in der DS garnicht erst offen sind)


Ich habe hierzu auch noch eine Frage.
Ländersperre hilft mir nicht, da der Hackingvesuch aus Frankfurt am Main kam.

die Anzahl fehlgeschlagener Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf ***** hat das Limit von 3 Versuchen innerhalb von 1 Minuten überschritten. Sie können sich nur von vertrauenswürdigen Geräten, die sich bereits erfolgreich angemeldet haben, bei diesem Konto anmelden.

Die IP-Adresse [185.189.112.113] hatte 3 Fehlversuche beim Versuch, sich bei DSM auf ***** innerhalb von 5 Minuten anzumelden, und wurde um Fri Nov 9 11:31:44 2018 blockiert.

Schlimmer finde ich hier, dass der "admin"-Account eigentlich deaktiviert ist ... wie um Himmels willen kann es da möglich sein, dass sich dort wer einloggen will/kann?

 

[NSFH]

Finde ich auch etwas irritierend, hängt aber damit zusammen, dass der Name dem System bekannt ist. Dann kann das System ihn auch sperren.
Als ich das bemerkt habe, habe ich den Account aktiviert, ihm ein Monsterpasswort verpasst und dann wieder deaktiviert. Etwas schizophren, beugt aber einem Systemfehler vor.
Gibt man einen unbekannten Namen ein sind unzählige Versuche möglich.

 

[Kurt-oe1kyw]

Schlimmer finde ich hier, dass der "admin"-Account eigentlich deaktiviert ist ... wie um Himmels willen kann es da möglich sein, dass sich dort wer einloggen will/kann?

Da hast du einfach nur einen Gedankenfehler. Der Account ist ja da und vorhanden, er ist ja nur deaktiviert. DAHER ist auch das Einloggen nicht möglich.
Ich würde mir darüber auch keine weiteren Gedanken machen, 25 Minuten vor dir hatte ich die selbe IP mit Einloggversuch:



und ich bin ziemlich sicher wir zwei waren nicht die Einzigen an diesem Tag

Siehe Beitrag oben, einfach ein langes PW mit Zahlen, GROSS und kleinschreibung sowie Sonderzeichen verwenden und gut ist.

 

[synfor]

Finde ich auch etwas irritierend, hängt aber damit zusammen, dass der Name dem System bekannt ist. Dann kann das System ihn auch sperren.
[...]
Gibt man einen unbekannten Namen ein sind unzählige Versuche möglich.

Äh den Account zu sperren wäre suboptimal. Das würde einem Angreifer ermöglichen den Accountinhaber auszusperren. Es wird ja auch gar nicht der Account, sondern die IP-Adresse gesperrt und dazu ist es eigentlich auch gar nicht nötig, dass dem System der beim fehlgeschlagen Loginversuch benutzte Account bekannt ist.

 

[himitsu]

Es gibt zwei Speeren, welche das DSM automatisch aktivieren kann.
Einmal das Ziel, also den kompromittierten Account
und zusätzlich/optional die Quelle, also die IP von wo es kam.

Letzeres ist gut, wenn über mehrere/viele IPs der Angriff abläuft, bzw. wenn dort dann einfach ein anderes Login versucht wird, sobald der eine Account gesperrt ist,
und Ersteres sperrt nur einen Account, also wenn du ausversehn paar mal das falsche Passwort nutzt, dann kannst du dich oder der Kollege neben dir sich dennoch über einen anderen Account (Admin) einloggen und die Sperre aufheben, um es nochmal zu versuchen.

Darum wird in der Standardeinstellung auch zuerst der Account und bei weiteren Fehlversuchen die IP gesperrt.
Die Sperre des Accounts wird ja bald wieder aufgehoben und dann kommst auch du wieder rein, bzw. wenn du vorher manuell die Sperre aufhebst.

 

[c0smo]

Bin verwirrt über deine Aussage einen Account zu sperren. Wo wird das eingestellt?

 

[goetz]

Hallo,
Systemsteuerung - Sicherheit - Konto - Kontoschutz aktivieren

Gruß Götz

 

[c0smo]

Dachte immer das hier der Client geblockt wird, deshalb auch die Liste mit vertrauenswürdigen und blockierten Clients.
Die Aussage oben verstehe ich so, dass das Konto gesperrt wird, gleichzusetzen bzw vergleichbar mit einem deaktiviertem Konto.

 

[goetz]

Hallo,
das Konto wird gesperrt, von einem anderen Gerät ist ein login nicht möglich. An dem auslösendem Client kann man sich aber mit einem anderen Account anmelden. Bei Kontoschutz gibt es keine Clientliste

GrußGötz

 

[himitsu]

Diese Clientliste ist wohl nur für's DSM über HTTP/HTTPS, wo auch die "Kennung" des Browsers ausgelesen werden kann.
Die Kontosperren gelten dagegen für Alles, was diese Konten zum Einloggen verwendet, also z.B. auch Ordnerfreigaben.

 

[c0smo]

Also bei mir gibt es unter Persönliches / Kontoschutz eine Clientliste

 

[goetz]

Hallo,
ich meinte eine Liste mit blockierten Clients, die gibt es nur für die IP Sperre.

Gruß Götz

 

[harley765]

Willkommen im Forum, Hans!

Nutz die Firewall, um Zugriff nur aus DE bzw. Ländern zuzulassen, aus denen Du den Zugriff benötigst. Per Suchfunktion solltest Du bei Bedarf Details finden.

Darf ich mich hier einklinken? Ich habe explizit China und Russland per Firewall verweigert. dennoch hatte ich in zwei Tagen genau je ein Angriff aus diesen Länder. Macht da meine Firewall an der Syno was nicht richtig?

 

[c0smo]

Hast du auch alles gelesen?

https://www.synology-forum.de/showt...ynology-DS-716&p=798812&viewfull=1#post798812

 

[harley765]

nein.... jetzt schon... Danke... mal schauen ob es bessert..