Hilfe - Daten plötzlich alle verschlüsselt

[Sequoia]

Ja. Mache ich ja nicht, bzw. habe ich ja auch nicht geschrieben.

Also noch mal die Frage zur Sicherung: ist das dann oben so korrekt eingestellt?

 

[heavy]

@DMHas Ganz ehrlich da du so viele Angriffe fast gleichzeitig hast solltest du dir ernsthaft Gedanken machen ob du deine URL und oder externe IP änderst denn beides scheint in einer Bot Liste gelandet zu sein. Was mir ein bisschen fehlt ist die Meldung mit der automatischen Blockierung. Denn irgendwann kommen sie dann mal durch weil sie eine Kombination finden die geht. Da bei mir anscheinend die URL nicht bekannt ist sondern einfach nur ein IP Scan durchgeführt wird habe ich nach der DSL Zwangstrennung meistens erstmal wieder ein paar Stunden Ruhe. Aber auch dann sind es bei weitem nicht so viele Versuche wie bei dir. Vor allem wenn dann von der Selben oder einer ähnlichen IP. Aber auch da ist dann nach einem DSL Reconnect wieder Ruhe.

 

[Benie]

Das stimmt, darüber habe ich mich auch gewundert, dsß er da nicht schon früher einen Riegel vorschiebt.

 

[ottosykora]

Ich denke, es werden einfach Zugangsdaten durch getestet. Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:

dieses Verhalten ist leider ziemlich normal. Wird einem Anschluss erkannt dass dort auf dem Port was reagiert, macht der Bot halt wozu es gebaut wurde.
Den Eingangsport halt dann auf etwas anderes stellen und dann ist zuerst mal Ruhe.

Kann sein dass der Bot den verschleierten Port in Zukunft wieder findet, na ja, dann halt wieder einen anderen nehmen

 

[Kurt-oe1kyw]

mein Admin (anderer Name) hat 2FA.

Laut Signatur verwendest du DSM 7.1, um all deine Wünsche zu erfüllen (Benachrichtigung usw usw) könntest du leicht vom derzeitigen 2FA auf das neue SecureSignIn umsteigen. Leider erst ab DSM 7 verfügbar.
Es funktioniert ident wie bei deiner Hausbank APP und es ist bequemer weil man nicht jedesmal 6 Ziffern eintippen muss.

Grober Ablauf:
SecureSignIn ist auf deinem handy als APP und auf der DS aktiv.
Von irgendwoher versucht sich irgendjemand mit irgendeinem Namen auf deiner DS anzumelden. Die Person kann vorerst nur den Usernamen eingeben, sonst nichts, der Anmeldebildschirm bleibt vorerst so stehen von dieser Person und ihrem eingwählenden Gerät und "wartet" jetzt auf dich als Admin.
Bei dir öffnet sich automatisch am handy die APP SecureSignIn von Synology mit einem Hinweisfenster "User X" möchte sich an deiner Diskstation anmelden, du tippst jetzt nur mehr auf "Ablehnen" oder "Genehmigen", danach kommt zur Sicherheit noch zB dein Fingerprint am handy.
Jetzt meldet deine handy APP der Diskstation zurück "Ja ist genehmigt" und erst jetzt erfolgt die tatsächliche Anmeldung vom User auf der Diskstation.
Du siehst also fast in Echtzeit am handy wer sich Anmelden möchte und erst nach deinem "ok", kann der User sich einloggen.
SecureSignIn ist schneller, bequemer und einfacher als 2FA.



Der grosse Vorteil ist halt dass du schon beim ersten Einwahlversuch Aufmerksam wirst und nicht erst Stunden später wenn du vielleicht schon Stunden-/Tagelang Logs auf der DS hast mit erfolglosen Einlogversuchen.

Wie schon x-Mal erwähnt, ein externes Backup auf separaten Speichermedien für die wichtigen Daten ist unerlässlich.

 

[Sequoia]

Kann noch Jemand bitte wegen der Firewall weiter oben sagen, ob das so korrekt ist, dass alle anderen Länder automatisch blockiert werden, wenn ich nur DE und CH erlaube?

Wegen Secure Signin:
Werde ich mir mal anschauen, wobei bequemer, als 2FA kann es kaum sein, denn im Apple Schlüsselbund fügt man zu den LoginDaten den 2FA QR Code hinzu, und die Apple Geräte füllen den 30 Sekunden gültigen Code automatisch mit ein.

 

[ArvidBlixen]

Die leidige Frage: Du hast ein Backup Deiner Daten?

Von meinen Daten habe ich ein Backup, allerdings sind von zwei Vereinen noch Daten auf der DS gewesen, da bin ich gerade am abklären ob die auch ein Backup haben...

 

[ArvidBlixen]

Welche Ports hast du denn nach außen alles geöffnet? Ansonsten KÖNNTE es hiermit ja in Verbindung stehen:
https://stadt-bremerhaven.de/synology-gibt-samba-warnmeldung-raus/

Die Portliste ist im Anhang...

 

[DMHas]

Wenn ich die Firewall so einstelle:

Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?

Sorry - für die späte Antwort. Richtig - nur noch DE und CH sind erlaubt. (Was nicht explizit erlaubt wird, gilt als verboten.)

@DMHas Ganz ehrlich da du so viele Angriffe fast gleichzeitig hast solltest du dir ernsthaft Gedanken machen ob du deine URL und oder externe IP änderst denn beides scheint in einer Bot Liste gelandet zu sein. Was mir ein bisschen fehlt ist die Meldung mit der automatischen Blockierung. Denn irgendwann kommen sie dann mal durch weil sie eine Kombination finden die geht. Da bei mir anscheinend die URL nicht bekannt ist ...

Da bin ich entspannt. Um das Admin-Passwort zu knacken, bräuchte es wahrscheinlich einen Quantencomputer. (Ich nutze dieses auch nur für den NAS-Admin.)

Wo ich bei Dir bin, dass der NAS-Link (Synology DDNS) oder die externe IP auf einer Liste gelandet ist. Aber das werde ich heute mal ändern und eine weitere (nicht Synology) DDNS einrichten und nutzen. Dann mal schauen ob es besser wird.

Eine Blockierung erfolgt nicht, da es unterschiedliche IP's im Minutenabstand sind.

Edit: Post zusammengeführt.

 

[ArvidBlixen]

Wie kann ich eigentlich das Admin kennwort Deaktivieren?
Ich habe mehrere Benutzer, teilweise auch mit Admin Rechten.
Diese kann ich alle deaktivieren, aber das eigentliche Admin Konto kann ich nicht deaktivieren

 

[geimist]

Du meinst bestimmt das Konto und nicht das Kennwort. Ein Admin ohne Kennwort wäre nicht sehr weise und meines Wissens nur mit dem einfachen Reset zu erreichen.

Ich denke, entweder bist du als admin eingeloggt, oder es ist der letzte verbliebene aktive Admin. Kann das sein?

 

[Thonav]

Ja, weil Du mit dem eingeloggt bist. Warum mehrere administratoren? Gib den Usern die Rechte die sie brauchen - mehr nicht.

 

[ArvidBlixen]

Danke, ja war als Admin eingeloggt, deshalb konnte ich das Konto nicht deaktivieren...

 

[luddi]

Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?

Ja das ist so schon richtig. Nur nach dem Bild #2 zufolge müsste diese Regel nun nach oben geschoben werden und zwar vor die Regel "Alle Verweigern" denn die Firewall arbeitet die Regeln sequentiell in der Reihenfolge von Oben nach Unten ab.

Wenn die Regel "Alle Verweigern" zugreift, dann kommt es nicht mehr zu der Prüfung "CH, DE Zulassen".

 

[Sequoia]

Alle Verweigern habe ich ja nicht aktiv, da man ja nur ein paar wenige Länder auswählen kann.
Die macht ja zudem auch keinen Sinn, da ja eh alle, außer DE und CH, geblockt sind, mit der Einstellung, dass nur Diese erlaubt sind.

 

[luddi]

Alle Verweigern habe ich ja nicht aktiv,

Laut dem Bild deiner Regeln ist dies aber der Fall.
Die vierte Regel von Oben lautet doch [Ports: Alle; Protokoll: Alle; Quell-IP: Alle; Aktion: Verweigern].
Und erst die sechste Regel behandelt die Länder CH und DE....

Mit Regel #4 sind die folgenden Regeln somit auch obsolet.

 

[Sequoia]

Ah. Okay. Interessant. Denn es funktionierte alles aus DE und der CH raus ohne Probleme.

 

[luddi]

Das liegt dann wohl eher daran, dass in diesem Fall bereits eine der ersten Regeln #1 bis #3 den Zugang erlaubt hat. Und dies unabhängig ob die Anfrage aus CH oder DE kam.
So würdest du aber auch allen anderen Ländern den Zugriff erlauben.

 

[Sequoia]

Ah, das leuchtet ein.
Aber wie mache ich das nun am besten korrekt?
Ich möchte die Ports, die ich angegeben habe, offen haben, aber nur für aus DE und CH.

 

[luddi]

Zunächst solltest du dir eine Regel erstellen die alle Anfragen aus deinem lokalen Netzwerk erlaubt bevor du dich selbst aussperrst.
Als zweite Regel kannst du dann alle Ports (TCP) definieren die Zugang von Außen und somit auch nur aus CH und DE haben sollen.
Als dritte Regel dann äquivalent zur zweiten Regel nur eben für das Protokoll UDP.
Und als vierte Regel die Block All.

Ich mach mal hier ein Beispiel mittels der Standard Netzwerkadresse einer Fritzbox