Nee - wie mehrmals beschrieben findet der Versuch mit dem (natürlich deaktivierten) Standard Admin Konto statt!!!
Das ist auch bekanntermaßen das Einfallstor #1 für solche Attacken
Ständige Anmeldeversuche am DSM
- Ersteller philipprem
- Erstellt am
-
Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.
Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.
Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier
Das ist auch bekanntermaßen das Einfallstor #1 für solche Attacken
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
Und ist doch deaktiviert oder sollte es sein. Der Login kommt doch von extern. Damit es nicht zu dem Loginversuch kommt, werden die IPs bereits im Vorfeld geblockt. Also vor dem ersten "anklopfen"!
Das ist leider falsch. Obwohl das Konto deaktiviert ist wird es für DMS vorhanden. Dementsprechend greift hier kein IP Blocking sondern nur der Kontoschutz.
Wenn eine IP sich über einen vorhandenen Benutzernamen versucht, anzumelden, wird nach den entsprechenden Versuchen das Konto gesperrt, aber die IP (weder IPv4 noch IPv6) nicht der Liste hinzugefügt. Bei einem nicht vorhandenen Benutzernamen kann das Konto logischerweise nicht gesperrt werden, da wird die IP dann der Liste hinzugefügt.
Das ist das Verhalten bei mir und die Frage von uglyulgy gewesen. Es geht nicht um geimists Skript, sondern das Systemverhalten von DSM. Stell es bitte mal bei dir nach.
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
Das Script importiert diese Liste. Lies dazu die Beschreibung.
Mach es oder lass es.
Mach es oder lass es.
Sehe ich anders.
Dann stell es bitte bei dir nach, was du anders siehst, hilft hier keinem weiter. 
Nochmal, mir geht es um das Systemverhalten von DSM, ob ich IPS geladen habe oder nicht, ist erstmal egal, die Mobil-IP, von der ich es eben versucht habe, ist nicht Teil des Skriptes gewesen und deshalb auch nicht von vorne herein geblockt.
Nochmal, mir geht es um das Systemverhalten von DSM, ob ich IPS geladen habe oder nicht, ist erstmal egal, die Mobil-IP, von der ich es eben versucht habe, ist nicht Teil des Skriptes gewesen und deshalb auch nicht von vorne herein geblockt.@Monacum : Ich verstehe das man ein nicht vorhandenes Konto natürlich nicht mit dem Kontoschutz sperren/schützen kann. Aber um eine brute force Attacke auf das bei jedem Synology Gerät vorhandene Admin Konto (welches man ja nur deaktivieren aber nicht löschen kann) effektiv zu stoppen wäre es schon cool wenn die IP, die den Kontoschutz auslöst, auch geblockt wird, oder?
weil mit dem jetzigen Zustand wird die Attacke ja nur verlangsamt. Maximale Zeit für den Kontoschutz sind bei mir 999 Minuten.
Und noch ne Frage zum Schluss - da das Admin Konto deaktiviert ist nervt halt die Meldung über den immer wieder neu aktivierten Kontoschutz, wirklich passieren kann aber nix, richtig?
weil mit dem jetzigen Zustand wird die Attacke ja nur verlangsamt. Maximale Zeit für den Kontoschutz sind bei mir 999 Minuten.
Und noch ne Frage zum Schluss - da das Admin Konto deaktiviert ist nervt halt die Meldung über den immer wieder neu aktivierten Kontoschutz, wirklich passieren kann aber nix, richtig?
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
https://kb.synology.com/de-de/DSM/t...ra_security_to_your_Synology_NAS#x_anchor_id9
Wenn die IP im Vorfeld blockiert ist, wie soll denn noch ein Login ausgeführt werden?
Und, wird bei dir eine IP gesperrt, wenn du dich an einem vorhandenen Konto zu oft angemeldet hast? Und bitte nicht wieder ein Screenshot, aus der Anleitung bin ich auch nicht schlauer geworden, die sagt nur, dass eine IP nach Anmeldeversuchen gesperrt wird, nicht, ob der Benutzername existieren muss dafür.
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
Ich verstehe euer Problem nicht. Ich habe eben zum Testen noch einmal die IP eines Gerätes gesperrt. Es ist damit kein Login mehr möglich. Noch nicht einmal ein Loginversuch wird von der DS noch aufgezeigt. Es wird sofort geblockt. Was will man mehr? Für welche Dienste dieser Block greift, steht in der Beschreibung #171. Wie bereits geschrieben ist es Ruhe mit den Logins. Auch unterschiedliche Dienste habe ich getestet. Somit ist es für mich geklärt, ob das Script und damit verbunden IP-Blockieren Sinn macht oder nicht. Ihr könnt es gerne anders machen oder lassen.
Hallo @EDvonSchleck , danke für deine Mühen und für die Erkenntis das von einer in dem Script hinterlegten IP keine Anmeldung möglich ist.
Das war aber gar nicht die ursprüngliche Frage. Die Frage war ob eine IP die einen Kontoschutz triggert auf der Blockierungsliste landet oder nicht - oder ob ich einen Fehler bei den Einstellungen gemacht habe.
ich denke diese Frage hat @Monacum ausreichend beantwortet
Das war aber gar nicht die ursprüngliche Frage. Die Frage war ob eine IP die einen Kontoschutz triggert auf der Blockierungsliste landet oder nicht - oder ob ich einen Fehler bei den Einstellungen gemacht habe.
ich denke diese Frage hat @Monacum ausreichend beantwortet
Servus @NSFH : Sauguter Tipp mit dem geänderten externen Port in der Fritz Box. Ich habe den, wie von dir vorgeschlagen, auf eine willkürlich hohe Nummer gesetzt und damit scheinen die Attacken bereits an der FB zu scheitern
!Achso, den externen Port 12345 an der FB hat der Angreifer sofort herausbekommen
. Hab jetzt was willkürliches genommen und es scheint Ruhe zu sein.ich habe mir auch die IPs mal näher angeschaut die versuchen sich einzuloggen. Das geht Querbeet, HongKong, Andorra, Italien, Schweiz, Vietnam…
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
Auch wenn ich dich enttäuschen muss, aber ich halte einen geänderten Port nicht für das Maß der Dinge und kein Sicherheitsfeature. Sicher sollte man nicht den 5000/5001 Port nutzen, aber einen anderen herauszubekommen ist kein Hexenwerk. Ich würde es eher über Subdomains und den bekannten Port 443 laufen lassen, wie viele andere User hier auch. Dazu eine ordentlich eingestellte Firewall und das Script und du wirst so gut wie niemals mehr etwas von Logins sehen. Dadurch erreichst du einen Schutz, bevor der erste Kontakt überhaupt entsteht, also präventiv.
Nein nein du enttäuscht mich auf keinen Fall. Mir ist schon bewusst das das Port variieren in der FB so ne Quick&Dirty Lösung ist (die bisher allerdings gut funktioniert).
Firewall habe ich jetzt auch optimiert so wie es in diesem Thread bereits beschrieben wurde. Mir ist absolut bewusst das diese DS exponiert ist (für meine Arbeit sogar sein muß). Bei den anderen DS'en die nicht extern erreichbar sein müssen habe ich jetzt, auch der Beschreibung folgend, über die Firewall jeglichen Zugriff von außen weggebügelt.
In der FB habe ich gerade auch nen VPN angelegt und werde die nächsten Tage mal damit experimentieren ob das für mich und meine Zwecke taugt. Wenn ja würde ich die 918er auch wieder hinter die FW packen.
@EDvonSchleck - ist jetzt wirklich nicht böse oder negativ von mir das ich das Script, mit dem du und andere hier so gute Erfahrung gemacht hast, so links liegen lasse. Habe da noch etwas Berührungsängste wie du sicherlich bemerkt hast.
Firewall habe ich jetzt auch optimiert so wie es in diesem Thread bereits beschrieben wurde. Mir ist absolut bewusst das diese DS exponiert ist (für meine Arbeit sogar sein muß). Bei den anderen DS'en die nicht extern erreichbar sein müssen habe ich jetzt, auch der Beschreibung folgend, über die Firewall jeglichen Zugriff von außen weggebügelt.
In der FB habe ich gerade auch nen VPN angelegt und werde die nächsten Tage mal damit experimentieren ob das für mich und meine Zwecke taugt. Wenn ja würde ich die 918er auch wieder hinter die FW packen.
@EDvonSchleck - ist jetzt wirklich nicht böse oder negativ von mir das ich das Script, mit dem du und andere hier so gute Erfahrung gemacht hast, so links liegen lasse. Habe da noch etwas Berührungsängste wie du sicherlich bemerkt hast.
- Registriert
- 04. Jan. 2012
- Beiträge
- 5.951
- Reaktionspunkte
- 1.708
- Punkte
- 234
Am besten gleich die Portweiterleitungen in der FritzBox löschen, damit Anmeldeversuche gar nicht erst ins Heimnetz gehen.
Oha - guter Hinweis. Die hab ich tatsächlich noch nicht gelöscht! Besten Dank!
Zuletzt bearbeitet von einem Moderator:
EDvonSchleck
Gesperrt
- Registriert
- 06. März 2018
- Beiträge
- 4.703
- Reaktionspunkte
- 1.122
- Punkte
- 214
Du kannst die IPs auch manuell installieren. Das geht ohne Probleme und du hast auf einen Schlag zwischen 20000 und 23000 gesperrte IPs, je nach Quelle.
https://lists.blocklist.de/lists/all.txt
https://grellmann.net/ip-blacklist/
Das Script macht es nur automatisch und es ist nichts zu befürchten uns Stefan macht eine super Arbeit und geht auch auf Bedürfnissen von Usern ein.
https://lists.blocklist.de/lists/all.txt
https://grellmann.net/ip-blacklist/
Das Script macht es nur automatisch und es ist nichts zu befürchten uns Stefan macht eine super Arbeit und geht auch auf Bedürfnissen von Usern ein.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
