Toggle sidebar

Attacken | IP-Adresse [xxx.xxx.xxx.xxx] wurde von SSH auf Synology blockiert

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Andy+

Andy+

Benutzer
Sehr erfahren
Registriert
25. Jan. 2016
Beiträge
5.544
Reaktionspunkte
584
Punkte
214
Seit Beginn der Kriegshandlungen zwischen Ukraine und Russland kann ich über die Blockierung von IP´s auf meiner Produktiv-DS ungewöhnlich hohe Aktivitäten bzw. Attacken verzeichnen. Wie geht es euch damit?
 
Hab die DS-Firewall auf Zugriff nur von Österreich eingestellt, heute war ein Versuch aus Österreich, wurde aber blockiert, sonst seit Ewigkeiten Ruhe
 
Also seit KW 06 ist mehr Druck auf dem Kessel vom USG.
 
Also die Targets richten sich bei mir nicht an die DS. Die ohnehin als DS nach außen nicht erkennbar ist, da vorgeschaltet der SWAG-Reverse Proxy liegt.
Die Threat-Versuche haben sich seit KW 6 bei mir verdoppelt. Über Geo-IP werden bereits kritische Länder (China, Russland und Co.) geblockt.
Hier klopfen aber leider viele aus USA und Deutschland an. Die kann ich schlecht per Geo-IP blocken.
 
Trotz fester öffentlich IP seit Jahren Ruhe und jetzt auch nix Neues.
 
Ich habe auf den Mailserver vermehrte Angriffe leider greift da die Firewall auch nicht wirklich. Ich muss dann die DSL Leitung neu verbinden um dann wieder eine Weile Ruhe zu haben.
 
  • Wow
Reaktionen: ctrlaltdelete
Port 22 ist halt heiß begehrt.

Wenn schon SSH nach außen zugänglich sein muss: Warum ändert ihr den Port nicht bzw. biegt ihn im Router um?

Port 42781 und Zehntausend andere im hohen Zahlenbereich warten nur darauf auch mal zum Einsatz zu kommen. ;-)
 
  • Like
Reaktionen: AndiHeitzer
Gestern Abend gab es wieder vermehrt Angriffsversuche. Ursprünglich aufgefallen, dass man versuchte meinen FTP-Zugang zu knacken.
Den habe ich täglich für eine Stunde offen, damit einige Webseiten-Backups durchlaufen können. Die DS gab hierzu dann aufgrund des Autoblocks eine Mail. Normalerweise stört mich das Grundrauschen ja nicht. In diesem Fall ging es aber mit anderen Attacken (log4j Attempt) - insgesamt ~50 Versuche etc. weiter.
x9R0XqP.png

Die IP habe ich dann geblockt und den Reverse Proxy vom Netz genommen - dann war natürlich Ruhe.
Bei der Studie meiner Logs bin ich dann auf folgendes gestoßen:

192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:15 +0100] "GET / HTTP/1.1" 301 169 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:16 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:18 +0100] "GET /login.jsp HTTP/1.1" 301 169 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:18 +0100] "GET /index_en.htm HTTP/1.1" 301 169 "-" "cyberscan.io"
Der Log enthält über 15000 Records.

Der Angreifer hat hier also auf Dienste Pen-Test-Tools von cyberscan.io zurückgegriffen, welche auf scheinbar Google-Servern betrieben werden. (WHOIS).

Es sollte sich jeder, der Dienste nach Außen öffnet, zu einer passablen Firewalllösung Gedanken machen. Die Firewall der DS hilft hier nur bedingt - zumal die Anfrage aus einem Rechenzentrum aus Deutschland kam. Ihr könnt euch aber obligatorisch die Quell-IP: 35.246.143.66 sperren.
 
  • Like
Reaktionen: Flessi
Bei mir ist nun seit Tagen wieder Ruhe. Ich hatte "Login-Versuche" ohnehin immer auf 3 stehen und "Innerhalb von" auf 20 Minuten erhöht. Dadurch gab es noch mal etwas gehäufter Blockiermeldungen, dann wars vorbei. Gesammelt habe ich dadurch rund 170 Elemente, alleine seit Anfang März. Ich habe noch rund 30 weitere Blockiereinträge, die sich im Gegensatz dazu in den letzten 4 Jahren angesammelt haben.

Da würde ich glatt sagen, CyperKrieg im Osten lässt grüssen.
 
  • Like
Reaktionen: AndiHeitzer
Bei mir sind 3 Logins innerhalb von 3 Minuten konfiguriert. Zusätzlich habe ich über meine USG diverse Geo-Blocks erstellt. Aus Russland, China etc. kommt also schon gar nichts rein. Allerdings bringt die Auto-Sperre Konfiguration nichts, wenn das Ziel für die Exploits gar keine Authentifizierung notwendig ist bzw. das Ziel nicht auf andere Webapplikationen zielt. cyberscan.io scant z.B. nach Sicherheitslücken von bugzilla, diversen Wikis und Co.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten