Hallo zusammen,
ich bin momentan auf Heimaturlaub und kam auf die tolle Idee ein bisschen an meiner DS215j herumzuspielen. Konkret wollte ich auf Spurensuche bezüglich des immer wieder unterbrochenen Ruhezustands der Festplatten gehen.
Also per Fernzugriff am Router Port 22 freigeschalten und über SSH auf die DS zugegriffen um per "syno_hibernate_debug_tool --enable 10" das log für den Ruhezustand zu aktivieren. Binnen kürzester Zeit wurden diverse externe Anmeldeversuche blockiert. Panisch deaktivierte ich die Portweiterleitung wieder. Soweit, so gut.
Nach einer Stunde melde ich mich wieder im DSM an. Verbundene Benutzer wurden nicht angezeigt und auch auf den Paketmanager, sowie diverse andere Einstellungen konnte nicht zugegriffen werden. Ein Neustart wurde nicht durchgeführt, herunterfahren nicht möglich. Als letzte Möglichkeit blieb mir nur noch über SSH "shutdown -h now". Die Diskstation ist jetzt aus und alle Ports dicht gemacht. Da ich aber momentan nicht physisch an das Teil ran komme, treibt mich eine gewisse Unruhe. Kann sich jemand dieses Verhalten erklären, bzw. mich einigermaßen beruhigen, dass keine Malware eingeschleußt wurde?
Viele Grüße und noch schöne Feiertage!
ich bin momentan auf Heimaturlaub und kam auf die tolle Idee ein bisschen an meiner DS215j herumzuspielen. Konkret wollte ich auf Spurensuche bezüglich des immer wieder unterbrochenen Ruhezustands der Festplatten gehen.
Also per Fernzugriff am Router Port 22 freigeschalten und über SSH auf die DS zugegriffen um per "syno_hibernate_debug_tool --enable 10" das log für den Ruhezustand zu aktivieren. Binnen kürzester Zeit wurden diverse externe Anmeldeversuche blockiert. Panisch deaktivierte ich die Portweiterleitung wieder. Soweit, so gut.
Nach einer Stunde melde ich mich wieder im DSM an. Verbundene Benutzer wurden nicht angezeigt und auch auf den Paketmanager, sowie diverse andere Einstellungen konnte nicht zugegriffen werden. Ein Neustart wurde nicht durchgeführt, herunterfahren nicht möglich. Als letzte Möglichkeit blieb mir nur noch über SSH "shutdown -h now". Die Diskstation ist jetzt aus und alle Ports dicht gemacht. Da ich aber momentan nicht physisch an das Teil ran komme, treibt mich eine gewisse Unruhe. Kann sich jemand dieses Verhalten erklären, bzw. mich einigermaßen beruhigen, dass keine Malware eingeschleußt wurde?
Viele Grüße und noch schöne Feiertage!
Typische Kombis sind dann übrigens admin/admin, admin/password, admin/1234, root/root, root/password, root/1234, usw.... Das, was Du sonst nicht mitbekommst, wird dann auch schlichtweg "Grundrauschen" genannt... Prinzipiell kann man auch unterscheiden zwischen 2 großen Szenarien: a) Es gibt ein festes Ziel (z.B. ein bestimmtes Haus), also prüfen wir da "alle" Fenster, b) Es gibt kein festes Ziel, aber es soll "einfach" sein (da wir z.B. eine aktive Lücke haben, welche wir ausnutzen wollen), ergo werden alle Häuser einer Strasse (IP-Range) geprüft, ob nicht vielleicht im Erdgeschoss ein Fenster offen ist. Letzteres ist mit Sicherheit bei Dir der Fall gewesen, denn diese Login-Versuche finden nicht nur bei Dir statt, sondern bei tausenden anderen ebenfalls. Ist aber "gar kein Problem", da dann der fail2ban-Mechanismus greift (Syno-Slang: "automatische Blockierung"). Wenn möglich könntest Du aber auch hingehen (müsste man mal testen) und eine dyndns-Adresse für den Zugriff erlauben. Allerdings solltest Du dann auf dem Handy eine entsprechende Update-App für den DDNS-Dienst haben, damit Dein Handy quasi immer von der gleichen DDNS-Adresse kommt, für welche dann der Zugriff gewährt wird.
Aber vielen Dank für den regen Zuspruch und die Tipps bezüglich VPN. Dann kann ich nur hoffen, dass sich die Probleme bzgl. des streikenden Ressourcenmonitors nach einem Neustart in Wohlgefallen auflösen.
