Da hat jemand große lange weile

[Heaven1976]

Hi,

Bastel gerade bischen an meiner DS als ich sah das sich mein Protokol ständig aktualisiert und ich sah dann das:



Daher ich zu der IP kein richtigen Standort ausmachen konnte habe ich die IP erst einmal manuel Blockiert und denke der kommt sicher wieder.
Am besten würde ich von dem die komplett ip Range sperren, aber gestaltet sich schwieriger als gedacht. IP Lookup sagt mir zwar das es England ist oder auch USA aber nachdem ich das per Firewall gesperrt habe war der immernoch da,also die IP als Blockip eingetragen und dann war erst einmal ruhe; die frage ist nur wie lange.
Meine DS ist eh von aussen nicht erreichbar nur die Ports für Mail und http sind offen alles andere ist nur über das interne Netzwerk erreichbar.

 

[ottosykora]

hast du denn keinen Autoblock drin?
Oder funktioniert der bei Mail nicht?

 

[Heaven1976]

Doch Autoblock ist an und auf Standard eingestellt:
10 Loginversuche innerhalb von 5 Minuten ist eingestellt und sind auch schon einige IPs in der Liste bei mir und warum dieser user nicht blockiert wurde kann ich nicht sagen.
Hab den dann Manuell drauf gesetzt und dann war auch ruhe.

 

[ottosykora]

wenn die Zahl/Zeit nicht passt, dann fällt der halt durch. Vielleicht ist er schlau und wartet immer 5 min.
Dann halt die Parameter auf weniger in längerer Zeit.
Und sonst muss er ja user und passw haben, wenn passw einigermassen sauber ist, dann wird auch gute Bot es einmal aufgeben.

Mir hat mal jemand versucht etwas am Carddav zu versuchen. Habe es vorübergehend dann auf 2 Versuche in 10min gestellt weil die IP immer geändert hat.
Nach 2 Tagen war der Spuck weg, der Bot hat wohl realisiert dass es langweilig ist. Das war ca 2 Jahren, seit dem ist Ruhe.

 

[Heaven1976]

Die zeiten habe ich garnicht mit auf dem screenshot:



Man sieht schon das es da nicht greifen kann.
Oder ich übersehe da was evtl muss ich das etwas runter setzen.
info kann man ignorieren.

 

[blurrrr]

Sowas wird man immer wieder haben, das ist aber ganz normal... Die gehen aber i.d.R. auch nur ihre 0815-Listen durch, weil es ansonsten viel zu aufwändig wäre (admin/admin, admin/password), oder einfach nur "admin" mit 1000 Passwörtern oder so, da ist i.d.R. kaum etwas bei, was wirklich ernst zu nehmen wäre. Richtige Bruteforce-Attacken würden so nämlich auch "viel" zu lange dauern Das was bei Dir da durchläuft, sieht eher so aus, als hätte man ein paar gekaperte Accounts gesammelt und probiert nun aus, wo es noch passen könnte.... Halt etwas in die Richtung: %user%@<domain.tld> + %passwort%, also immer der lokale Teil vor dem @ und das dazugehörige Passwort und das vermutlich dann über zig Domains geknallt... Deswegen stehen da auch so Klamotten wie dev3, public, etc., weil in irgendeiner "geklaut"-Datenbank sowas steht wie dev3@meyer123.net + diesistmeinpasswort... Also kein Grund zur Panik

 

[Heaven1976]

Damals als ich noch Root und VPS Server hatte war meine logfile auch immer überschwemt von solchen versuchen. Da der Mailserver gut gesichert war gaben die damals doch irgendwann auf und nun versuchen die wohl wieder ihr Glück bei meiner Domain.
Domain ist die selbe geblieben seit 4 jahren nur der Standort hat sich geändert

Was ich aber auch vermute man versucht open relays rauszufinden, um damit dann Spam oder sonstigen müll zu versenden, da werden die bei mir aber pech haben
Was ich schade finde beim NAS und dem Mailserver das man keine separaten Passwörter vergeben kann, sprich ein eigenes passwort nur für den E-mail account

 

[ottosykora]

versuch es mit 2x in 10min und danach 10 Tage Sperre

 

[blurrrr]

2x10m?? A>lso je nachdem ob noch wer "anderes" drauf zugreifen soll, halt "kurze" Intervalle auswählen. Syno-Default war "meine ich" sowas um 3 Anmeldungen in 5 Minuten oder so. Einfach mal drüber nachdenken... wie schnell tippst Du? Wie schnell meldest Du Dich nochmal an, wenn Du Dich mal vertippt hast? Bei mir sind es normalerweise eher nur Bruchteile von Sekunden (tippe halt etwas schneller). Stell das einfach mal nach, so dass die Chancen, dass Du Dich selber von extern aussperrst ebenfalls minimiert werden. Ich "behaupte" jetzt mal, dass 10 Sekunden für die meisten - bei falscher Passworteingabe - schon viel zu viel sind. Ergo könnte man auch rechnen: 3 falsche Anmeldungen innerhalb von 30 Sekunden. Für die Langsam-Tipper vllt noch ein bisschen mehr, danach Sperre für 1 Tag, wenn das nicht reicht, dann für 3 Tage und wenn das auch nicht reicht, dann eben länger.

 

[Heaven1976]

Heute hatte ich mal wieder einen der es mit user admin/root/test/info versucht hat und war sehr fleißig meine DS hat den dann blockiert.
Aber wie konnte der user weiter machen obwohl der geblockt wurde vom System? Weil die IP ist dauerhaft gesperrt.

Vielleicht kann mir das jemand beantworten.

Hier mal ein Screenshot:

 

[blurrrr]

Irgendwelche Ports verbogen? Mitunter greift die Jail-Definition nicht (falls die Synos sowas überhaupt haben, aber irgendwo müssen die Klamotten ja stehen)

EDIT: Ich würde aber auch mal sagen, hau direkt das ganze Subnetz weg... Denke nicht, dass Du jemals im Leben irgendwo dort zwingend Zugriff brauchst:

inetnum: 185.222.59.0 - 185.222.59.255
person: K.M. Badrul Alam
address: Naherins Domain, 134/7 B, Furfura Sharif Road, Darus Salam
address: 1216
address: Dhaka
address: BANGLADESH

 

[Heaven1976]

Ne es sind nur die ports nach außen offen die auch offen sein sollen, sprich Mailports 25,993,465 und http/https 80/443
alles andere ist nicht offen selbst die DS selber ist nach außen hin nicht erreichbar sowie auch SSH.

Hab jetzt nochmal paar änderungen gemacht und mal sehn.

 

[blurrrr]

Okay, falls das nix bringt, kannst Du auch nochmal via Shell schauen:

usage: synoautoblock
--help
--attempt ip service
--deny ip
--reset ip
--in-white-list ip

Denke grade "attempt <ip> <service>" könnte da interessant sein und vllt nochmal ein händisches "deny", muss ja irgendwie in den Griff zu kriegen sein... Falls nicht, weg mit dem Dreck, ordentlich fail2ban drauf, Jails anlegen und ab dafür (gibt's genug Anleitungen im Netz)

 

[Puppetmaster]

Die Frage war: warum sperrt die DS die IP nicht selbsttätig (wie sie im Log auch ausweist)? DAS macht mir doch mehr Sorgen als der eigentliche Angriff.

 

[Heaven1976]

@blurrr ne Bangladesh ist nicht meine richtung die können da bleiben wo die sind , weil kenne da eh keinen

Und failban hatte ich damals auf meinem rootserver installiert war sehr wirkungsvoll sowie ne gut konfigurierte firewall und regeln mit iptables.
Auf einer Syno sieht das etwas anders aus, weil Linux marke eigenbau. Syno unterstützt ja den autoblock hab mich grade auch selber gesperrt, weil ich das Mail und Login auf eine Länge von 20 Zeichen erweitert habe in der form (Beispiel: XzUaWfL3MAmwRN4eg5E8 ) glaube darauf kommen die nicht so schnell bei so einem Password

@puppetmaster

Hab mich schon 2x selber gesperrt und musste mich selber rausnehmen also klappt schon hab die intervalle mal verkürzt.

 

[blurrrr]

Da gibt es auch sowas wie eine Whitelist...

 

[Heaven1976]

Aber nicht für eine Dynamische IP
Über meine interne IP und über https://meinDSname komme ich ja drauf nur in meinem Mailclient steht halt meine Domain drin die auf eine DDNS verweist gänzlich ausgesperrt war ich ja nicht.
Und für den ganz großen notfall kurzer IP wechsel via kurzreset am Router und hab eine neue ip

 

[Puppetmaster]

Dass man sich selbst aussperren kann ist keine Frage, dass also die IP Blockade grundsätzlich funktioniert. Nur hier versagt sie - scheinbar. Weshalb?
Ich habe das schon min. einmal hier in einem Threads gesehen.

 

[Heaven1976]

Hab von 5 Min intervall auf 2 Minuten und 5 Logins runter geschraubt.
Da sollten die jetzt schneller auf die Blacklist kommen.

 

[Puppetmaster]

Also du meinst, es ist ein Timing-Problem?