Toggle sidebar

DSM 7.1 Hack Versuch auf meiner Synology

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Michael Wacenovsky schrieb:
wundere mich nur, was das für ein user sein sollte
Zum Vergrößern anklicken....
Das sind Automaten, also auf Rechner läuft eine SW die scannt zuerst mal rinfach IP, dann wenn da auf einem Port was offen ist, also dort ein Program antwortet, kann man versuchen anzuklopfen. Hat eigentlich kaum eine Wirkung. Verursacht aber zumindest Traffic an dem Abschluss was alleine schon einige nerven kann.
Der Automat hier ist etwas blöd, die meisten versuchen so was wie admin zuerst.
 
Hagen2000 schrieb:
@snibchi Wird nicht viel helfen, die Login-Versuche in #1 stammen fast alle von unterschiedlichen IP-Adressen.
Zum Vergrößern anklicken....
Ja und? Dann werden eben die verschiedenen IPs automatisch nacheinander gesperrt. Meine Liste z. B.:

Screenshot 2025-11-10 144831.jpg

Außerdem Sperrung alles was außerhalb der EU kommt über die FW. Beispiel:
Screenshot 2025-11-10 145026.jpg
 
Zuletzt bearbeitet:
Michael Wacenovsky schrieb:
Es war die ungeschriebene Frage, wie man damit umgeht.
Zum Vergrößern anklicken....
Sichere Benutzernamen und Passwortkombination in Zusammenhang mit 2FA hast du schon genannt - prima!

Darüber hinaus:
  • schließe alle externen Ports, auf die du nicht zwingend aus dem Netz zugreifen musst
  • nutze Subdomains, statt Standardports ➜ z.B. syno.ddns.com , photo.ddns.com
    Bei einem Port 5001 wissen Angreifer schon vorher, dass es sich wahrscheinlich um ein Synology NAS handelt.
  • sperre in der Firewall Länder, die nichts auf deinem NAS zu suchen haben, bzw. erlaube explizit nur erwünschte
  • pflege bekannte böse IPs automatisch in die Blocklist ein (aktiviere auch eine Verfallszeit - IPs sind für die Bösewichte schnell verbrannt)
Mit diesen Maßnahmen habe ich nur noch alle paar Monate einen fehlerhaften Loginversuch auf Port 25 (den ich nicht verbiegen kann).
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Michael Wacenovsky, Thorfinn und Kachelkaiser
ich habe auf Quick Connect umgestellt. Erscheint mir sicherer. Ich verstehe nur nicht, warum ich bisher über Jahre keinen login Versuch hatte und dies heute Nacht schlagartig begann
 
Vermutlich Zufall. Sicher und gleichzeitig schnell ist m. E. nur eine Verbindung über einen VPN-Tunnel.
 
Michael Wacenovsky schrieb:
warum ich bisher über Jahre keinen login Versuch hatte
Zum Vergrößern anklicken....
wahrscheinlich war da schon was, vor allem mit standard Port
aber man merkt ja nichts davon, es sei denn man geht die Logs zu betrachten was.
Einen hohen 5-stelligen Port zu nehmen ist eine gute temporäre Lösung.


Wenn dir allerdings QC genügt von der Geschwindigkeit her, dann ist es durchaus problemlos und sehr einfach, vor allem bei Synology Apps auf Phone etc.
Aber dann wirklich Ports nach aussen am Router schliessen.
 
snibchi schrieb:
Dann werden eben die verschiedenen IPs automatisch nacheinander gesperrt.
Zum Vergrößern anklicken....
Da sammelst Du dann aber mit der Zeit immer mehr Adressen in deiner Firewall an. Wie in #28 schon vorgeschlagen, würde ich auch eine plausible Verfallszeit vorsehen.
Außerdem greift der Filter nur, wenn die gleiche IP-Adresse mehrfach innerhalb des vorgegebenen Zeitfensters versucht zuzugreifen. Mittlerweile sind die Angreifer schlauer geworden und verwenden immer wieder wechselnde IP-Adressen (oder permutieren diese innerhalb eines Subnetzes) und greifen "nicht zu schnell" zu, um Tools wie fail2ban oder eben die Zugriffsbeschränkungen des NAS auszutricksen.
 
snibchi schrieb:
Ja und? Dann werden eben die verschiedenen IPs automatisch nacheinander gesperrt.
Zum Vergrößern anklicken....
Nein werden sie nicht. Dir ist da offensichtlich entgangen, dass es beim Threadstarter wohl immer nur einen Versuch pro IP-Adresse gab, zumindest in dem sichtbaren Logausschnitt.
 
Also zuerst einmal zeigt die Syno nicht alles an, was an Eindringversuchen statt gefunden hat. Was man sieht sind die, die auf bestimmte von der Syno genutzte Ports zielen. Das ist aber nur ein Bruchteil des tatsächlichen Betriebs auf deinen nach aussen zeigenden Ports.
Umstellung auf .me geht, macht aber die Zugriffe langsam.

Zielführend sind eigentlich drei (alternativ zwei) Massnahmen:
1. Verwendung des Reverse Proxy der Syno, um den gesamten Portverkehr über 443 laufen zu lassen. Dann können alle anderen Weiterleitungen aus dem Router zur Syno entfallen
2. Verwendung des hier im Forum verbreiteten sh Scripts mit der laufend, automatisch aktualisierten Blacklist
3. als Standard eine sauber konfigurierte Firewall in der Syno
alternativ:
1. VPN benutzen.
2. als Standard eine sauber konfigurierte Firewall in der Syno

Alles andere ist Quark!
 
  • Like
Reaktionen: Michael Wacenovsky, Crashandy, Kachelkaiser und 3 andere
Das wäre die "langsamste" aller Methoden. Deshalb hatte ja @ottosykora bereits in Post #32 den Hinweis gegeben....

ottosykora schrieb:
Wenn dir allerdings QC genügt von der Geschwindigkeit her, dann ist es durchaus problemlos und sehr einfach, vor allem bei Synology Apps auf Phone etc.
Zum Vergrößern anklicken....
 
  • Like
Reaktionen: Michael Wacenovsky

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten