Toggle sidebar

DRINGEND: Hacking-Verdacht!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

M

michael1508

Benutzer
Registriert
12. Jan. 2014
Beiträge
54
Reaktionspunkte
3
Punkte
8
Hallo,

ich habe seit gestern ein ungewöhnliches Verhalten meiner Synology festgestellt. Sie machte seit Stunden Fesplattengeräusche. Also so, als ob meine BackUp-Software läuft und etwas auf die Platte geschrieben wird. Nun habe ich festgestellt, dass gar kein BackUp läuft, sondern die Synology die ganze Zeit Anmeldeversuche ablehnt.

Im Protokollcenter sehe ich sekündliche Warnmeldungen über nicht erfolgreiche Anmeldeversuche von unterschiedlichen Usern und IP-Adressen.

Meine Synology ist über eine feste IP-Adresse und über die Firewall der FritzBox von außen erreichbar. Natürlich entsprechend gesichert. Ich habe sie jetzt erst einmal physisch ausgestellt.
Ist mein Hacking-Verdacht berechtigt, oder kann das eine ganz andere Ursache haben?

Wie sollte ich weiter vorgehen? Sollte ich den Port in der Fritzbox erstmal schließen, bevor ich die Synology wieder starte? Welche weiteren Schritte kann ich unternehmen, um die Einwahlversuche von dieser IP zu unterbinden?

Danke für Eure Hilfe!
Micha
 

Anhänge

  • Screenshot 2026-05-27 114824.jpg
    Screenshot 2026-05-27 114824.jpg
    135,8 KB · Aufrufe: 53
Port sperren, IP Adressen mal googeln…
Was ist im internen Netz noch erreichbar, irgendwelche PCs? FritzNas aktiv?
 
eigentlich ist so was nichts ungewöhnliches, wenn etwas an einem Anschluss kommuniziert dann wird es verwendet. Also alles normal.

Du kannst für DSM statt 5000/5001 einen anderen Port verwenden, also etwas 5-stelliges, das hilft für einige Zeit.

Natürlich kannst du auch autoblock einschalten, einige der Anrufe wiederholen die gleiche IP

ansonsten wenn du gutes Password hast, dann siehst du es gibt keine Folgen
 
  • Like
Reaktionen: Thorfinn
Wenn du eine Fritzbox hast, einfach für die NAS- IP die Kindersicherung als Netzsperre einschalten. Geht wahrscheinlich bei allen anderen Routern auch.
Ich würde überhaupt diese Sperre grundsätzlich drin lassen und von außen nur über VPN (Wireguard) auf das NAS zugreifen.
 
  • Like
Reaktionen: Benie
Passiert mir auch alle paar Monate. Irgendein Bot erkennt die offenen Ports und klopft dort mit irgendwelchen Accountnamen incl. bekannter Passwörter an. Wenn du keine feste IP vom Provider erhalten hast, dann lass dir über die Fritzbox eine neue IP nach draußen vergeben. WebInterface der Fritzbox aufrufen und unter Internet - Onlinemonitor - Neu verbinden anklicken. In der Regel erhälst du dann eine neue IP-Adresse vom Provider und der Spuk hat erst einmal ein Ende. Solltest du eine feste IP vom Provider besitzen, dann geht dies natürlich nicht.
 
  • Like
Reaktionen: Benie
michael1508 schrieb:
Hallo,

ich habe seit gestern ein ungewöhnliches Verhalten

Meine Synology ist über eine feste IP-Adresse ... von außen erreichbar. ... Welche weiteren Schritte kann ich unternehmen, um die Einwahlversuche von dieser IP zu unterbinden?
Zum Vergrößern anklicken....

Du hast deine Synology von aussen erreichbar mit fester Adresse aufgestellt. Das hat sicher gute Gründe (die du uns nicht verraten hast).
Das ist in etwas so als wenn du aussen an dein Haus einen Klingelknopf montierst.
Jetzt kommt jemand vorbei, klingelt und rüttelt an der verschlossenen Tür.
Das passiert. Das ist nix ungewöhnliches. Das wird wieder passieren. Denn da draussen ist Leben.

Du kannst deinen Router bitten, Anfragen von 85.11.187. und einigen anderen Regionen (Geoblocking) per se nicht an die NAS weiterzuleiten.
Dumm ist das dann, wenn du mit einem Mobilgerät im Urlaub in den Regionen von dort eine IP Adresse zugeteilt bekommst.
85.11.187. ist ein Adressenraum den sich ein bulgarischer ISP gesichert hat.
 
  • Like
Reaktionen: Baernd und Skyhigh
Vielen Dank für Eure schnellen und ausführlichen Antworten!
Da werde ich mich heute nach Feierabend nochmal mit in Ruhe auseinandersetzen. Aber ich habe schon einige gute Tipps beim Überfliegen gesehen.
Also nochmal herzlichen Dank. Ich weiß zumindest jetzt, was ich machen sollte.
 
Und vielleicht kurz erläutern, was alles von außen erreichbar sein muss? Vielleicht lässt sich ja was mit Wireguard auf der Fritzbox regeln und du kannst alle Ports schließen 😉.
 
Baernd schrieb:
Was soll das genau bewirken?
Zum Vergrößern anklicken....
Deine Fritzbox ist von außen nicht mehr erreichbar, sie antwortet nicht mehr.
Zum Updaten schalte ich sie wieder frei, bis das erledigt ist, und dann wieder offline.
 
Es ist viele Jahre her, das ich eine FB benutzt habe, aber wirkt die Kindersicherung nicht von innen nach außen? Das was du meinst ist aber von außen nach innen. Dafür ist die Kindersicherung der FB meines Wissens nicht gebaut. Blockierst du von innen nach außen, nützt dem TE das für Angriffe nicht. Oder verstehe ich / wir dich falsch?
 
  • Like
Reaktionen: Benie
@Lumix_216 Meinst du wirklich die Fritzbox? Ichdenke es soll NAS heißen.
Erklärung: Wenn man in der Fritzbox einem Gerät eine feste IP-Adresse zuordnet und dieser dann über die Kindersicherung den Zugang ins Internet zeitlich begrenzt oder für immer entzieht, kann auch keiner an deinem NAS anklopfen.

In der Regel erfolgt das Öffnen der Ports aber aus bestimmten Gründen und somit scheidet diese Idee eigentlich aus.

Einzige Möglichkeit: Einen VPN einrichten und über den VPN ins heimische Netzwerk eintauchen. Dann braucht es die Portfreigabe eines Gerätes (hier NAS) ins Internet nicht.
 
@Ronny1978 Die Fritzbox blockt für das Gerät alle eingehenden und ausgehenden Ports. Wenn man es denn so einstellt. Die Kindersicherung bzw. die Freigaben für Geräte und auch Programme (sperren oder freigeben, in der Bandbreite bei Volllast priorisieren) ist in der Fitzbox gut zu händeln.
 
Zuletzt bearbeitet:
@Kaiser Wilhelm Danke für die Info. Ich kannte die Funktion "Kindersicherung", nur ausgehend. 😉 Wieder was dazugelernt.
 
Ich habe nochmal etwas recherchiert. Es gibt sowohl Hinweise darauf, dass die Gerätesperre für ein- und ausgehende Verbindungen gilt. Aber auch Hinweise, dass nur eingehende Verbindungen verworfen werden. Ist in diesem Falle aber egal (meine Meinung), denn bevor ein anderes Gerät eine TCP-IP Verbindung aufrufen kann, braucht es eine antwortende Gegenstelle. Ohne Antwort des NAS ist keine TCP-IP-Verbindung möglich und somit auch kein Loginversuch. Zumindest ist das mein Verständnis bei TCP-IP. Um bei unserem Beispiel des NAS zu bleiben, es hilft dem Hacker nicht - wenn der Port 5000 nicht antworten kann. Auch das NAS kann dann keine Aussage darüber treffen, welcher User mit welchem Kennwort anklopft. Dafür bedarf es meiner Meinung nach der beidseitigen Verbindung und diese gibt es nicht.

Bots die die offenen Ports der Fritte abklappern, finden zwar sehr wohl einen Angriffspunkt, werden aber an der Fritte am Port 5000 nicht bedient, da das NAS nicht antwortet. Hier wird der Bot sich wohl einen andere Fritzbox aussuchen müssen.

Natürlich wird ein Bot einen erkannten offenen Port 5000 für Eindringversuche nutzen wollen und somit an der Fritte Traffic verursachen, welcher dann auch über Tools (z.B. Wireshark) sichtbar gemacht werden können, aber sie werden vom NAS nicht bedient, da ausgehende Verbindungen für das NAS in der Fritte verhindert werden. Keine Antwort - keine TCP-IP-Verbindung.

Wie das ganze dann auf den anderen Ebenen des OSI-Modells aussieht, dass kann ich nicht sagen. Ich tippe auf ein blocken ab Ebene 3 (Vermittlungsschicht), spätestens aber ab der Ebene 4 (Transportschicht)
 

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten