Toggle sidebar

Anmeldeversuche als Admin von unbekannt

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
watendaten

watendaten

Benutzer
Registriert
22. Apr. 2016
Beiträge
406
Reaktionspunkte
44
Punkte
34
Habe gerade gemerkt das heute sich jemand fleißig bemüht als Admin anzumelden unter ständigem Wechsel der IP Adresse....

3.774 Versuche seit gestern habe ich gerade rausgefunden

Dank KeePass Pasword und 2 Faktor Authentifizierung sollte Ihm das nicht gelingen... so hoffe ich

Die Anzahl der Anmeldeversuche bei automatische Blockierung bezieht sich ja nur auf Versuche von einer IP-Adresse, somit bringt das bei wechselnder IP Adresse gar nix.

Gibts auch die Möglichkeit einfach nach 3 Versuchen Anmeldungen generell zu blocken ???
 
Zuletzt bearbeitet:
...falls es im obigen Link nicht behandelt wurde:

Die Synology default Werte sind im Universum bekannt - so also, dass der Default Admin User "admin" heisst und dass die DSM Ports, auf die eine Syno hört halt der 5000 und der 5001 ist.

Mit diesem Wissen ist also bekannt, wie man auf eine Syno kommt und es wird halt versucht. Mit 2FA bist Du ja (erstmal) fein raus, aber allein die Protokolleinträge nerven Dich :), also schonmal überlegt, ob:

- Du nicht die Ports 5001 und 5000 nach außen versteckst?
Das würde dann so aussehen, dass Du im Router zwei Portweiterleitungen von (von Dir ausgedachten Portnummern z.B. 45000 und 45001) auf die 5000 und 5001 der Diskstation machst.
Du musst dann natürlich dran denken, dass Du beim Aufruf des DSM von außen dann immer http://deine_URL_zur_DS.org:45000 (oder https://deine_URL_zur_DS.org:45001) eingibst.

- Du nicht einen neuen Benutzer (z.B. Benutzer0815) kreierst und den zum Admin machst und Dich dann damit an der Syno anmeldest - die 2FA einschaltest und dann das Adminkonto "admin" einfach deaktivierst (nicht löschst).

Durch die Portveränderungen sind die Zugriffe erstmal vorbei und würden sie noch da sein oder wiederkommen, dann beißen die sich "mit" Probieren von admin (als Benutzer) ein Leben lang die Zähne aus....
 
  • Like
Reaktionen: Mist und watendaten
Es ist bekannt, dass gerade eine Angriffswelle auf die Synology Standardeinstellungen läuft.

Das ist der User Admin, und das sind die genannten Ports. Da es sich um automatisierte Flächenangriffe handelt, muss man im Moment nur die Angriffspunkte wegnehmen, damit Ruhe einkehrt.

Den Admin User deaktivieren, vorher natürlich einen (bzw. besser 2, einen als Reserve) neue User mit Adminrechten anlegen.

Bei den Ports würde ich überlegen, wozu die überhaupt zum Internet offen stehen müssen. Am besten auf ein VPN umstellen, oder einen Dienst wie z.B. Tailscale. Ports dicht machen, und UPnP auf der DS und vor allem dem Router deaktivieren.
 
  • Like
Reaktionen: watendaten, ctrlaltdelete und EDvonSchleck
MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.
Den normalen Admin habe ich gleich am Anfang deaktiviert und einen neuen Namen für den Admin vergeben, 2F kam dann nach den ersten bemerkten versuchen Anfang des Jahres dazu.

Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?

Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
 
watendaten schrieb:
MERCI... das mit den Ports ist mir als normaler Anwender nicht wirklich nachvollziehbar
da müsste ich mal damit beschäftigen.
Zum Vergrößern anklicken....
Das ist keine Kunst, du musst lediglich den Ausgangsport im Router ändern und in der Adresse den neuen Port mit angeben. Wenn alles eingerichtet ist dauert das keine Minute.
watendaten schrieb:
Es ist ja offensichtlich das da einer über eine automatisierten Prozeß versucht unberechtigt einzudringen...
Das scheint ja mittlerweile ganz normal zu sein, ist halt so... oder unternimmt da irgendeiner was aktiv dagegen ?
Zum Vergrößern anklicken....
Wer sollte das machen? Scheinbar sind es nicht: Putin, Rechte, Coronagegner, Klimaleugner, Querdenker oder Patrioten - da wäre der Staatsschutz, BSI und Lauterbach schon aktiv geworden und hätten es in den Medien publiziert. Spaß beiseite (oder auch nicht), es sind viele Bots die es einfach automatisch abarbeiten, das wurde aber in den letzten tagen schon mehrfach diskutiert und unterschiedlichen Threads.
watendaten schrieb:
Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
Zum Vergrößern anklicken....
Sollte doch automatisch passieren wenn eingestellt. Zusätzlich kannst du noch weitere importieren z.B. mit den Script von @geimist.
Alternativ VPN nutzen und alle Ports zu lassen, wenn man nicht weis was man genau macht und wie etwas abzuwehren ist.
 
watendaten schrieb:
Gibt es eine Möglichkeit an jede IP Adresse die versucht einzudringen automatisch auf meiner NAS in eine Liste der blockierten IP Nummern einzufügen ?
Zum Vergrößern anklicken....
Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:
1665756472822.png
Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.
 
gegen vertippen hilft ein Passwortmanager, man muß sich nur ein einziges Passwort merken und der Rest geht nach Auswahl automatisch
 
Klar, löst aber das Problem nicht. Manche Apps merken sich das Passwort auch selbst. WinSCP ist so ein Beispiel.
Einmal das Passwort eines Users auf der DS geändert und vergessen, das in WinSCP nachzuziehen, schon ist man ruckzuck geblockt, denn WinSCP wiederholt die Login-Versuche ständig. Dann hilft es nur, entweder einen Tag zu warten, oder halt seine eigene IP temporär mal zu ändern.
 
Du denkst zu kurz. Auch bei einen Passwortmanager solltest du ein sicheres Passwort benutzen. Wenn du den Passwortmanager noch selbst hostest wie z.B. Bitwarden, dass ganze noch mit fail2ban absichert und am besten ohne Ablaufdatum (manuelle freigeben) der Sperre und dich jetzt doch einmal vertippst was machst du denn? Kommst ja denn nicht an den Passwortmanager und auch nicht an der Diskstation ohne diese zurück zu setzen.

Andere Passwortmanager in der Cloud oder Keepass(XC) mit den Datenbanken (manuelles kopieren) finde ich jetzt nicht als optimale Alternative. Weder ist die Handhabung mit unterschiedlichen Geräten einfach oder die Daten sind auf fremden Servern. Bitwarden ist in meinen Augen aktuell die beste Lösung.
 
sicheres Passwörter macht der Passwortmanager (KeePass) , ich weiß selber nur das Hauptpasswort
 
Benares schrieb:
Das ist eigentlich das, was die "Automatische Blockierung" macht. Schau mal unter unter Systemsteuerung, Sicherheit hier:
Anhang anzeigen 74798
Mit den Werten sollte man nicht zu kritisch sein, gelegentlich vertippt man sich ja auch selbst mal beim Login.
Zum Vergrößern anklicken....
also ohne Haken bei "Verfallen der Blockierung aktivieren" werden alle IP Adressen automatisch nicht mehr zugelassen ?
 
Keepass ist wohl nicht mehr auf Höhe der Zeit. Auch glaube ich nicht das du ein generiertes Passwort als Masterpasswort nutzt.
Davon abgesehen ist es eine Qual mit der Synchronisierung der Datenbank auf mehreren Geräten.

Ich hoffe du erkennst das deine zuvor getätigte Aussage so nicht übernommen werden kann.
 
Zuletzt bearbeitet:
Bringt nur leider nicht viel m´wenn man sie dauerhaft blockert, denn d´gerade die IPv4 sind endlich. Was ist wenn man diese IP vom Provider selbst zugewiesen bekommt oder auf ein Phone etc.?

Unerfahren User sollten lieber auf VPN (direkt im Router) setzen und erfahrene User wissen was sie tun und unternehmen müssen. Unterschiedliche Ansätze gibt es ja mehrere.
 
Ist es gewollt, daß dein NAS direkt aus dem Internet erreichbar ist? Wie schon oben erwähnt: eine VPN Verbindung ist viel sicherer. Auf ein langes Passwort und geänderten Admin Namen würde mich nicht verlassen. Das ist nur so lange gut, bis die nächste Sicherheitslücke bekannt wird, die alle Hürden umschifft.
 
  • Like
Reaktionen: Synchrotron
ein regnerisches WE... ich gehe das mit dem VPN mal an
KEEPASS ist in der Firma auch zugelassen, daher hab ich das vor Jahren mal genommen und schätzen gelernt
 
watendaten schrieb:
ein regnerisches WE... ich gehe das mit dem VPN mal an
Zum Vergrößern anklicken....
Ein WE brauchst du dafür nicht, das ist eher eine Sache von ein paar Minuten bis zu 1 Stunde für Anfänger und wenn es wirklich sehr sehr lange dauert!
watendaten schrieb:
...daher hab ich das vor Jahren mal genommen und schätzen gelernt
Zum Vergrößern anklicken....
Dus sagst es vor Jahren! Vautwarden (Bitwarden Server) macht vieles besser, probiere es doch einfach einmal aus, dort kann man auch leicht den Keepass-Tresor importieren. Für den ersten Test braucht man sich nur durch klicken (Docker-GUI) und danach einen Reverse Proxy Eintrag anlegen und schon kann das testen beginnen. Danach kann man die Emailbestätigung, Admin-Account, Personalisieren usw vornehmen.

Wenn ich schon an das Verbinden des Browserplugins von Keepass(XC) mit Keepass denke, reicht mir das schon. Das ist nicht wirklich gut gelöst. Teste es aus ;) Genug Videos und Anleitungen findest du auf Youtube und im Netz. Das ganze ist ebenfalls Open Source und Kostenlos und auf jeden Fall ein Blick wert!
 
  • Like
Reaktionen: watendaten
KeePass wird weiterentwickelt und ist, richtig eingerichtet, problemlos über mehrere Geräte synchron. DB auf der Syno.

Es gibt bestimmt/wahrscheinlich besseres, aber so abzukanzeln ist es nicht.
 
  • Like
Reaktionen: D_Espero
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten