Toggle sidebar

Hackerversuch aus dem Internet auf meine Synology DS 716+

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
H

hans44

Benutzer
Registriert
10. Nov. 2018
Beiträge
2
Reaktionspunkte
0
Punkte
0
Hallo
In letzter Zeit hatte ich mehrere Zugriffsversuche aus dem Internet auf meine NAS.
Die IP-Adressen sind alle aus östlichen Ländern.

DS 716 meldet mir dann:
IP-Adresse wurde von DSM blockiert.

Was sind meine Risiken?
Wie kann ich diese Angriffe besser abwehren?

Danke zum Voraus für Hilfe

Hans
 
Willkommen im Forum, Hans!

Nutz die Firewall, um Zugriff nur aus DE bzw. Ländern zuzulassen, aus denen Du den Zugriff benötigst. Per Suchfunktion solltest Du bei Bedarf Details finden.
 
Vielleicht schreibst du mal, welche Ports du überhaupt nach Aussen über den Router geöffnet hast. Da sollten keine unverschlüsselten Ports bei sein und am besten diese Ports auch per Redirection in einen anderen Bereich verlegen!
Die well known Ports der Syno werden nämlich gerne gescanned.
 
Ports an DS offen ist auch nicht soooo schlimm, wenn eh nur die wichtigsten Ports vom Router durchgereicht werden. (aber ja, falls im Router mal die Config nicht stimmt, ist es besser, wenn sie dennoch in der DS garnicht erst offen sind)


Ich habe hierzu auch noch eine Frage.
Ländersperre hilft mir nicht, da der Hackingvesuch aus Frankfurt am Main kam.

die Anzahl fehlgeschlagener Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf ***** hat das Limit von 3 Versuchen innerhalb von 1 Minuten überschritten. Sie können sich nur von vertrauenswürdigen Geräten, die sich bereits erfolgreich angemeldet haben, bei diesem Konto anmelden.

Die IP-Adresse [185.189.112.113] hatte 3 Fehlversuche beim Versuch, sich bei DSM auf ***** innerhalb von 5 Minuten anzumelden, und wurde um Fri Nov 9 11:31:44 2018 blockiert.
Zum Vergrößern anklicken....

Schlimmer finde ich hier, dass der "admin"-Account eigentlich deaktiviert ist ... wie um Himmels willen kann es da möglich sein, dass sich dort wer einloggen will/kann?
 
Finde ich auch etwas irritierend, hängt aber damit zusammen, dass der Name dem System bekannt ist. Dann kann das System ihn auch sperren.
Als ich das bemerkt habe, habe ich den Account aktiviert, ihm ein Monsterpasswort verpasst und dann wieder deaktiviert. Etwas schizophren, beugt aber einem Systemfehler vor.
Gibt man einen unbekannten Namen ein sind unzählige Versuche möglich.
 
himitsu schrieb:
Schlimmer finde ich hier, dass der "admin"-Account eigentlich deaktiviert ist ... wie um Himmels willen kann es da möglich sein, dass sich dort wer einloggen will/kann?
Zum Vergrößern anklicken....

Da hast du einfach nur einen Gedankenfehler. Der Account ist ja da und vorhanden, er ist ja nur deaktiviert. DAHER ist auch das Einloggen nicht möglich.
Ich würde mir darüber auch keine weiteren Gedanken machen, 25 Minuten vor dir hatte ich die selbe IP mit Einloggversuch:

blocked_ip185189112113.jpg

und ich bin ziemlich sicher wir zwei waren nicht die Einzigen an diesem Tag :)

Siehe Beitrag oben, einfach ein langes PW mit Zahlen, GROSS und kleinschreibung sowie Sonderzeichen verwenden und gut ist.
 
NSFH schrieb:
Finde ich auch etwas irritierend, hängt aber damit zusammen, dass der Name dem System bekannt ist. Dann kann das System ihn auch sperren.
[...]
Gibt man einen unbekannten Namen ein sind unzählige Versuche möglich.
Zum Vergrößern anklicken....
Äh den Account zu sperren wäre suboptimal. Das würde einem Angreifer ermöglichen den Accountinhaber auszusperren. Es wird ja auch gar nicht der Account, sondern die IP-Adresse gesperrt und dazu ist es eigentlich auch gar nicht nötig, dass dem System der beim fehlgeschlagen Loginversuch benutzte Account bekannt ist.
 
Es gibt zwei Speeren, welche das DSM automatisch aktivieren kann.
Einmal das Ziel, also den kompromittierten Account
und zusätzlich/optional die Quelle, also die IP von wo es kam.

Letzeres ist gut, wenn über mehrere/viele IPs der Angriff abläuft, bzw. wenn dort dann einfach ein anderes Login versucht wird, sobald der eine Account gesperrt ist,
und Ersteres sperrt nur einen Account, also wenn du ausversehn paar mal das falsche Passwort nutzt, dann kannst du dich oder der Kollege neben dir sich dennoch über einen anderen Account (Admin) einloggen und die Sperre aufheben, um es nochmal zu versuchen.

Darum wird in der Standardeinstellung auch zuerst der Account und bei weiteren Fehlversuchen die IP gesperrt.
Die Sperre des Accounts wird ja bald wieder aufgehoben und dann kommst auch du wieder rein, bzw. wenn du vorher manuell die Sperre aufhebst.
 
Zuletzt bearbeitet:
Bin verwirrt über deine Aussage einen Account zu sperren. Wo wird das eingestellt?
 
Hallo,
Systemsteuerung - Sicherheit - Konto - Kontoschutz aktivieren

Gruß Götz
 
Dachte immer das hier der Client geblockt wird, deshalb auch die Liste mit vertrauenswürdigen und blockierten Clients.
Die Aussage oben verstehe ich so, dass das Konto gesperrt wird, gleichzusetzen bzw vergleichbar mit einem deaktiviertem Konto.
 
Hallo,
das Konto wird gesperrt, von einem anderen Gerät ist ein login nicht möglich. An dem auslösendem Client kann man sich aber mit einem anderen Account anmelden. Bei Kontoschutz gibt es keine Clientliste

GrußGötz
 
Diese Clientliste ist wohl nur für's DSM über HTTP/HTTPS, wo auch die "Kennung" des Browsers ausgelesen werden kann.
Die Kontosperren gelten dagegen für Alles, was diese Konten zum Einloggen verwendet, also z.B. auch Ordnerfreigaben.
 
Also bei mir gibt es unter Persönliches / Kontoschutz eine Clientliste

cl.jpg
 
Hallo,
ich meinte eine Liste mit blockierten Clients, die gibt es nur für die IP Sperre.

Gruß Götz
 
dil88 schrieb:
Willkommen im Forum, Hans!

Nutz die Firewall, um Zugriff nur aus DE bzw. Ländern zuzulassen, aus denen Du den Zugriff benötigst. Per Suchfunktion solltest Du bei Bedarf Details finden.
Zum Vergrößern anklicken....

Darf ich mich hier einklinken? Ich habe explizit China und Russland per Firewall verweigert. dennoch hatte ich in zwei Tagen genau je ein Angriff aus diesen Länder. Macht da meine Firewall an der Syno was nicht richtig?
 
nein.... jetzt schon... Danke... mal schauen ob es bessert..
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten