Toggle sidebar

Synology wird angegriffen!

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

sonoio

Benutzer
Registriert
22. Nov. 2011
Beiträge
284
Reaktionspunkte
3
Punkte
18
Hallo, zugegeben, etwas "reißerischer" Titel, aber mir ist folgendes aufgefallen. Ich habe zwei DS in demselben Netz hängen, die eine meldet sich über no-ip.org und selfhost.me an, die andere bekommt eine myDS.me-Adresse von Synology. Seit diese zweite DS im Netz hängt, wird sie - aber auch nur sie - ständig von obskuren IP-Adressen aus China und den Niederlanden gescannt und nach drei Versuchen werden die IPs dann auch erfolgreich geblockt. Es scheint also, als würden Hacker ganz gezielt die Synology-DynDNS-Adressen abklappern, um dort eine offene DS zu finden oder das PW zu erraten. Ist das noch wem aufgefallen? Geht Euch das auch so?

Gruß, SONOiO
 
jetzt habe ich ein gutes Argument gegen den dyndns von Syno :-) Würde mich nicht wundern wenn diese "Hacker" einfach den DNS Server der Syno dynDNS Domain abgrasen und die ermittelten IPs an ihre Scripte verfüttern. Bester Schutz? Kein Syno dyndns. Weil durch die Nutzung dieses Dienstes gibst du einem Angreifer mindestens die Info in die Hand was für ein Serversystem bei dir läuft
 
sonoio schrieb:
Ist das noch wem aufgefallen? Geht Euch das auch so?
Zum Vergrößern anklicken....
Hallo sonoio,
Ich kann das nicht bestätigen. Du brauchst außer Login, Passwort noch die Seriennummer.
Und diese wird live abgefragt.
Scannen mag sein, ja wo nicht :)

Gruß Jo
 
Bei mir hat auch die automatische Blockierung letztens eine IP in China gesperrt. Da wollte jemand auf meinen FTP-Server auf der DS zugreifen. Da ich aber eingestellt habe, dass er bei 3 Fehlversuchen in 5 Minuten blockiert wird, dürfte das schwer werden. :-) Ich nutze aber ein ganz normales DynDNS-Konto (Daten im Router drin).
 
FTP Server auf dem normalen Port werden immer schon von Zeit zu Zeit angegriffen. Aber dazu hat man ja auch den autoblock...
 
MattCB schrieb:
Bei mir hat auch die automatische Blockierung letztens eine IP in China gesperrt. Da wollte jemand auf meinen FTP-Server auf der DS zugreifen. Da ich aber eingestellt habe, dass er bei 3 Fehlversuchen in 5 Minuten blockiert wird, dürfte das schwer werden. :-) Ich nutze aber ein ganz normales DynDNS-Konto (Daten im Router drin).
Zum Vergrößern anklicken....

Meine DS hängt direkt im Netz und innerhalb 24h kommen so zwischen 1-10 Blockierungen rein, unter der Woche mit Tendenz zu 1 und am Wochenende mit Tendenz zur 10. Das Ganze sehe ich derzeit als normal an.
Lustig war es nur am 07.01.12 dort prasselten gleich 25 Blockierungen (20 innerhalb von 6h) durch, war aber bis dato die einzige Situation die ich als gezielt ansehe.

syno_ip_block.jpg

Viel Spass mit www.utrace.de und den IP's wer denn wissen will wo die so angesiedelt sind ^^


Grüße
 
Es wird vermutlich auch stark mit dem Namen bei der Synology-Domain zu tun haben. Ich weiss nicht, wie Domain und Subdomain aufgebaut sind, aber wenn jemand hans.synodns.com oder so hat, ist ein Angriff bestimmt wahrscheinlicher als bei x7h2.syndodns.com.
 
habe meine DS nun schon einige monate. bis jetzt hatte ich nur die ports 443, 1194, 1723 und 5001 offen. Hatte damit nur alle paar wochen eine blockierung von ips.

seit samstag habe ich noch port 400 und 5000 geoeffnet und auf einen schlag komme ich auf ca. 2-5 blockierungen pro tag. port 5000 wird doch sicher nur von der DS genutzt, hat es hier jemand direkt auf die DS abgesehen?
 
Wenn jemand gezielt Synology-Domains scanned, wird er es sicherlich u.a. auf Port 5000 abgesehen haben. Ich wuerde einfach beim Router Port 2000 oder sonstwas auf machen und dnan auf 5000 leiten.
 
Bei mir rasseln momentan auch viele IP's in die Block Liste..
Meine Dynamische DNS beziehe ich bei no-ip.
Ich werde heute Abend auch einen anderen Port auf die 5000 forwarden...

Im übrigen werden bei mir IP's geblockt, welche innert 120min 3 Fehlversuche gemacht haben. Die IPs werden nicht automatisch entblockt.
 
Hallo!

Ich habe die Blockierung auf 3 Fehlversuche innerhalb von 10 Minuten stehen (ohne Autoentsperrung). Ich habe eine Dyn-Domain (*.li) von selfhost.de und kämpfe mal mehr mal weniger mit blockierten IPs. Die IPs kommen meistens aus dem chinesischen / russischen oder amerikanischen Bereich. Den Standard-Admin-Account habe ich mit einem starken Kennwort ausgerüstet und benutzertechnisch blockiert. Die User selbst haben ebenfalls "starke" Kennwörter. Ports nach Außen gehen bei mir FTP, HTTPS, OpenVPN und DSM (5001).

Seit gestern habe ich den SSH-Port ins WAN wieder dicht. Ich denke das bringt auch wieder einiges, den werde ich nur noch über VPN von außen her öffnen. Ich wette wenn ich den FTP-Port noch auf einen anderen leite werden die Angriffe nochmals weniger.

Gescannt wird auf jeden Fall genug, aber sicherlich nur im vorderen Port-Bereich. Irgendwo habe ich auch schon eine Anleitung in der Wiki gefunden die IP-Kreise außerhalb von DE komplett zu sperren, aber da hab ich mich noch nicht rangetraut :)

Es wurde auch mal beschrieben komplette Kreise über die iptables zu blockieren, das ist aber manchmal ganz schön Arbeit und sicherlich eine nicht enden wollende dazu.

LG
Mike
 
Mich würde mal interessieren, wofür ihr eure DynDNS alles nutzt!
Habt ihr Fotos von der Photostation auf Facebook veröffentlicht o.Ä.?

Ich nutze hier ausschliesslich VPN und habe in 2 Jahren - toi toi toi - noch keinen einzigen fremden Zugriff verzeichnet.

Ach ja, wer die DynDNS von Synology und die Standardports benutzt, der sollte sich wirklich nicht wundern. ;-)
 
Ap0phis schrieb:
Ich nutze hier ausschliesslich VPN und habe in 2 Jahren - toi toi toi - noch keinen einzigen fremden Zugriff verzeichnet.
Zum Vergrößern anklicken....

In den mehr als 3 Jahren mit den diversen Syno's habe ich insgesamt eine oder zwei IP's in meiner 'Trap' gehabt. Dabei gelten 3 Loginversuche in 5 Minuten. Sollte also nicht so schwer sein, da reinzulaufen (hab ich auch selbst schon geschafft :) ). Ports habe ich einige offen. VPN nutze ich eher selten, steht aber auch als Option. Nichtsdestotrotz sind noch einige andere Ports offen: http, https, sftp, WebDAV u. div. andere.
Manchmal hilft es schon, wenn man nicht die Standardports nimmt.
Ich hatte mal für 2 Tage simples ftp auf Port 21 aktiv, da hatte ich alle 2 Minuten eine fremde IP geblockt. Da meine DS da aber nicht mehr zur Ruhe kam, bin ich auf sftp auf einem gänzlich anderen Port umgestiegen. Ist mir eh lieber so.
Also mit Port 21 offen klingelt's ganz ordentlich in der Blockiertliste.
 
Ich kann das nicht bestätigen. Bei mir ist das sogar eher anders herum, ich hab lange Zeit eine DynDns Adresse von no-ip.org gehabt und da sind einige Angriffe zu Verzeichnen gewesen. Hier auf der Synology DNNS hab ich so wie gar keine Angriffe bzw. nur sehr wenige, obwohl bei mir der FTP-Server von Aussen ansprechbar ist. Und ich sage mal wenn dein Passwort nicht im "Wörterbuch" auftaucht dann brauch man sich auch keine Gedanken zu machen. Ein "richtiger Hacker" sucht sich eh nicht deine DS aus um da ein zu brechen bzw. wenn er es versuchen wollte wäre er vermutlich schon längst auf der DS gewesen ohne das du das auch nur bemerkt hättest. Ich denke mal wenn einer wirklich wichtige Daten hat, die nie über den Ethernet laufen sollten, dann wird er das auch nicht auf der DS speichern. :p Bei mir gelten auch die 3 Loginversuche in 5 Minuten. Allerdings lasse ich die geblockten Adressen nach einem Tag wieder frei. Hab da keine Lust jedes mal die IP's von Hand zu löschen und da sich die IP's im normal Fall jeden Tag ändern bringt das nicht viel die geblockten Adressen in der Liste der DS stehen zu lassen.
 
Nastas schrieb:
Und ich sage mal wenn dein Passwort nicht im "Wörterbuch" auftaucht dann brauch man sich auch keine Gedanken zu machen.
Zum Vergrößern anklicken....

Für die Sicherheit nicht, aber es ist am Sinn des Ruhezustands vorbei, wenn die DS eigentlich 8 Stunden am Tag am Stück schlafen kann (wenn ich z.B. arbeite), das aber nicht geht weil ständig irgendwer anklopft.
 
Puppetmaster schrieb:
Für die Sicherheit nicht, aber es ist am Sinn des Ruhezustands vorbei, wenn die DS eigentlich 8 Stunden am Tag am Stück schlafen kann (wenn ich z.B. arbeite), das aber nicht geht weil ständig irgendwer anklopft.
Zum Vergrößern anklicken....

Wenn man seine DS in den Ruhezustand schicken will, dann kann man das mit den Standardports eh vergessen. Aber da ich meine DS den ganzen Tag laufen lasse und nur Nachts ausschalte ist mir das egal wer da anklopft. Ich denke Interessant wird der Ruhezustand erst, wenn man ne größere mit mehr Power DS hat die man doch gerne mal in den Ruhezustand schicken will. Da wäre dann VPN so wieso die beste Alternative. Aber bei meiner kleinen DS ist der Ruhezustand für meine Begriffe einfach lächerlich.
 
Nastas schrieb:
Wenn man seine DS in den Ruhezustand schicken will, dann kann man das mit den Standardports eh vergessen. Aber da ich meine DS den ganzen Tag laufen lasse und nur Nachts ausschalte ist mir das egal wer da anklopft. Ich denke Interessant wird der Ruhezustand erst, wenn man ne größere mit mehr Power DS hat die man doch gerne mal in den Ruhezustand schicken will. Da wäre dann VPN so wieso die beste Alternative. Aber bei meiner kleinen DS ist der Ruhezustand für meine Begriffe einfach lächerlich.
Zum Vergrößern anklicken....

Da mag ja jeder denken, wie er mag.
Ich halte den Ruhezustand für eine gute Sache, auch bei den kleinen DSen. Dabei geht's gar nicht mal nur um den Stromverbrauch. Geräuschkulisse mag da z.B. auch eine Rolle spielen.
Tendenziell würde ich gerade bei den großen NAS eher sagen, daß dort kein Ruhezustand der sinnvollere Ansatz ist als bei den kleinen. Aber genau aus diesem Grund habe ich z.B. auch mehrere kleine DS anstatt einer großen. Es müssen sich nicht permanent 18TB drehen, wenn ich ein Album höre oder einen Film gucke, bzw. wenn jemand sich ein paar Bilder auf meiner Homepage ansieht. Nachts wird auch nichts ausgeschaltet. Die DS213+ hat einen Energiehunger von 2,6W im Ruhezustand. Da lohnt das Ausschalten nicht. Des weiteren will ich auch nachts noch erreichbar sein (woanders ist ja dann z.B. auch Tag! :)).
Nochmal zu den Ports: Ich habe 2 DynDNS Adressen und einige Standardports offen, aber eben nicht die einschlägigen (ftp), die gerne von den Script-Kiddies gescannt werden. Trotzdem so gut wie nie unerwünschten Besuch von aussen.
 
Puppetmaster schrieb:
Die DS213+ hat einen Energiehunger von 2,6W im Ruhezustand. Da lohnt das Ausschalten nicht. Des weiteren will ich auch nachts noch erreichbar sein (woanders ist ja dann z.B. auch Tag! :)).
Zum Vergrößern anklicken....


Wenn ich so eine wunderschöne DS213+ hätte, dann würde ich die auch nicht ausschalten. :D Mich will Nachts keiner besuchen. :(
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten