Toggle sidebar

DSM 7.1 Werde ich gezielt angegriffen?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

D

Dominik.S

Benutzer
Registriert
08. März 2024
Beiträge
13
Reaktionspunkte
0
Punkte
1
Seit dem 27. Dezember häufen sich erfolglose Login-Versuche auf DSM. Mittlerweile fast im Minutentakt:

2025-12-28 - Blockierungen IP-Adressen.jpg

Den gängigen IP Address Lookups zufolge sind die IP-Adressen nicht als proxies oder crawler bekannt, und deshalb auch nicht in den einschlägigen IP deny blocklists verzeichnet (ich verwende das Skript von geimist, um die IP Blockliste automatisch zu aktualisieren).

Die IP-Adressen stammen alle aus den paar europäischen Regionen und den Vereinigten Staaten, für welche ich die Firewall offen gelassen habe.

Jetzt, während des Schreibens des Beitrags, kamen noch weitere Blockierungs-Info-Mails rein.

So massiv hatte ich das noch nie. Seit ich das Skript vom gemist zum automatischen Aktualisiseren der IP-Blockliste nutze, herrscht eigentlich Ruhe.

Kann das ein hartnäckiger Bot sein, oder besteht Anlass zur Sorge, dass "jemand" gezielt rein möchte? Standard-Admin-Konto ist selbstverständlich deaktiviert, 2FA ist für das stattdessen eingerichtete Admin-Konto aktiviert, und in Router- & DSM-Firewall sind nur die nötigsten Dienste freiegeben, also z.B. kein SSH-Zugang, kein SMB, kein unverschlüsselter FTP u.s.w..

Vorab danke & alles Gute für 2026

Dominik
 
Wenn da steht "ihr Konto admin wird geschützt", klingt das für mich nicht so als wäre das deaktiviert, vielleicht irre ich mich auch.
Was sind die nötigsten Dienste ? DSM auf 5000/5001 ?
 
Ich tippe auch auf einen "offenen Dienst"! Betreibst du irgendwas mit Bit-Torrent z.B. eines der *arr Pakete?
 
Aus dem Internet erreichbar sind:
DSM 5000 und 5001, Webserver bzw. Web Station 80 und 443, Surveillance Station 9900 und 9901, Synology Drive Server 6690, Video Station 9025 bis 9040 sowie WebDAV (HTTPS/SSL) 5006.

Größtenteils sind Nutzer speziell für die jeweiligen Dienste eingerichtet, die jeweils nur den jeweiligen Dienst verwenden dürfen (bspw. ein Account nur für den Zugriff auf die Surveillance Station, ein Account mit Zugriff nur auf bestimmte Ordner und Nur-Lese-Recht für WebDAV via HTTPS/SSL etc.).

Den Logs im Protokoll-Center entnehme ich, dass die Login-Versuche jeweils über DSM erfolgt sind. Bei anderen Diensten (z.B. SSH oder FTP, diese sind jedoch seit Jahren nicht mehr freigegeben) war im Protokoll des Ereignisses in rechteckigen Klammern immer der jeweilige Dienst, über den das Login versucht worden ist, angegeben.

Das Default-Admin-Konto ist definitiv deaktiviert. Es ist mir allerdings auch schon aufgefallen, dass die Warnungen zu fehlgeschlagenen Logins auch in Bezug auf Konten erfolgen, welche deaktiviert sind, verschickt werden. Aber das ist wohl auch so vorgesehen: https://kb.synology.com/de-de/DSM/tutorial/NAS_shows_failed_login_attempts.
 
Wieso unverschlüsselte Ports ?, Warum so viele ? Warum Standardports ? Muss das alles nach aussen offen sein ? Was ist mit VPN ?
Nutze VPN oder Portweiterleitung mit Reverseproxy oder wenn du das wirklich alles brauchst besorg die eine Firewall.
 
  • Like
Reaktionen: Benie
Ok, auf die unverschlüsselten 80 (Webserver), 5000 (DSM) und 9900 (Surveillance Station) könnte ich verzichten.

Was die jeweils verschlüsselten Pendants zu diesen betrifft: Surveillance Station, Video Station und Synology Drive sollen auch von technisch weniger versierten Mitarbeitern mittels der entsprechenden Apps "out of the box", also nur durch Eingabe von Adresse, Benutzernamen und Kennwort, genutzt werden können. Ohne jedes Mal erst eine VPN-Verbindung herstellen zu müssen.

Jahrelang hat das so funktioniert, und jahrelang waren die Ports für Video- und Surveillance Station so konfiguriert wie in dem Screenshot gezeigt. Das ist der erste Welle von fehlgeschlagenen Login-Versuchen in einem solch kurzem Zeitraum seit Jahren.

Sollte wirklich einer der wenigen von mir freigebenen Ports außer 5000 und 5001 Schuld dran sein, dass sich der Bot oder was auch immer seit zwei Tagen im Minutenrhythmus am DSM-Login versucht? Ausweislich der Protokolle scheint es ja ausdrücklich DSM, und nicht ein anderer Dienst zu sein.
 
Zuletzt bearbeitet:
Noch ein Nachtrag - vielleicht war der zuvor gepostete Screenshot von der Synolgy-Firewall missverständlich: Freigegeben sind nur die mit einem blauen Häckchen ausgewählten Ports, nicht die ganze Liste. Und ebenso sind auch nur diese Ports in der Firewall des Routers freigegeben.
 
Zuletzt bearbeitet:
Ich würde das definitiv über den proxyserver regeln damit hast du nur den Port 443 offen und es ist auch für wenig technisch versierte Leute gut nutzbar. 6690/für drive muss leider trotzdem offen sein.
 
Das ist schlüssig und macht, ganz unabhängig von den gespenstigen Zugriffsversuchen, grundsätzlich Sinn. Danke für den Ratschlag, ich werde das so umsetzen.

Was mich trotzdem interessieren würde: Ich bin vermutlich nicht der einzige, der die Freigabe von Diensten ohne reverse proxy nutzt. Sind derartig penetrante Zugriffsversuche mittlerweile auch bei automatisierten Botnet-Angriffen auf zufällig ausgewählte Ziele "normal" bzw. alltäglich geworden?

So ein Botnet-Angreifer könnte doch auch irgendwann mal umschwenken, und sich ein anderes zufällig herausgepicktes Ziel herussuchen. Z.B. ein Synology, bei dem das Standard-Admin-Konto noch aktiv, und vielleicht nur mit passwort123 gesichert ist. Das geht doch viel schneller und ressourcensparender, als sich tage- und ggf. wochenlang ausgerechnet an meinem NAS festzubeißen. Es gibt doch auch noch andere DiskStations mit ggf. viel interesanteren Inhalten auf dieser Welt.
 
Zuletzt bearbeitet:
Dominik.S schrieb:
Sind derartig penetrante Zugriffsversuche mittlerweile automatisierten Botnet-Angriffen auf zufällige Ziele "normal" bzw. alltäglich geworden?
Zum Vergrößern anklicken....
ja
Dominik.S schrieb:
Es gibt doch auch noch andere DiskStations mit ggf. viel interesanteren Inhalten auf dieser Welt.
Zum Vergrößern anklicken....
das weis man ja erst wenn man in deiner Station drin ist.
Die Daten müssen für andere nichtmal interessant sein, wichtiger ist was du dafür bereit bist zu bezahlen wenn alle Daten plötzlich verschlüsselt sind, oder irgendwelche privaten Fotos/Dokumente im Netz herumgeistern.
 
Ja das ist normal. Manchmal sogar vom selben IP Block, sprich es ändert sich nur die letzte Stelle. Wenn du kannst dann verbinde dich einmal neu mit dem Internet damit du eine neue externe IP bekommst. Geht dass nicht, dann bleibt dir nur eine gute Firewall.
 
Danke, das lässt mich ruhiger schlafen. Ich hatte so etwas in dieser Penentranz lediglich noch nie gehabt.

Neu verbinden bringt nichts, ich bekomme immer wieder die gleiche IP.

Bis ich auf reverse proxy umgestellt habe: So lange niemand mein echtes Admin-Login kennt, sollten mich doch eigentlich die wiederholten Angriffsversuche auf den Default-Account nicht wirklich beunruhigen (es sei denn, es gäbe eine gravierende Sicherheitslücke in DSM), oder?
 
So sah es erst vor wenigen Tagen bei mir aus. Ich habe halt den Vorteil dass ich einfach eine neue Einwahl anstoße, dann ist wieder Ruhe. Denn sie haben nur die IP aber nicht die Domain. Und von denen habe ich ein paar.
 

Anhänge

  • 1766963048386.png
    1766963048386.png
    26,5 KB · Aufrufe: 20
Rotbart schrieb:
Wenn da steht "ihr Konto admin wird geschützt", klingt das für mich nicht so als wäre das deaktiviert, vielleicht irre ich mich auch.
Zum Vergrößern anklicken....
Mein admin ist auch deaktiviert, in den Protokollen steht dann...

User [admin] from [93.46.88.37] failed to sign in to [DSM] via [password] due to authorization failure.
Zum Vergrößern anklicken....

Der Zugriffsversuch wird bei mir zwar protokolliert, die Mail erfolgt aber erst sobald die böse IP-Adresse gesperrt ist. Eingestellt habe ich, dass bei zwei erfolglosen Loginversuchen die IPs gesperrt werden. Meistens klopfen diese Bots aber nur einmal mit IP und Passwortversuch an. Dann ändert sich die IP.
 
  • Like
Reaktionen: maxblank
Wenn der normale DSM Port offen im Netz hängt, ist das normal.
Wenn ich eine Tür am Haus offen lasse, wird da auch irgendwann mal jemand versuchen, einzutreten...
 
  • Like
Reaktionen: maxblank
Kaiser Wilhelm schrieb:
Meistens klopfen diese Bots aber nur einmal mit IP und Passwortversuch an. Dann ändert sich die IP.
Zum Vergrößern anklicken....
Weil bei Dir eingestellt ist, dass die IP schon nach zwei Logins gesperrt wird. Wäre es z.B. auf fünf fehlgeschlagene Versuche eingestellt, würden sie vier mal mit der gleichen IP anklopfen. Während der ersten Login-Versuche erkennen die, nach wie vielen Fehlversuchen gesperrt wird.

plang.pl schrieb:
Wenn ich eine Tür am Haus offen lasse, wird da auch irgendwann mal jemand versuchen, einzutreten...
Zum Vergrößern anklicken....
Ich hatte es bislang immer so verstanden (und mir damit möglicherweise schöngeredet), dass der Port zwar von außen (öffentlich) zu sehen und erreichbar ist (wie eine Tür an einem Haus in einer belebten Straße), aber durch die üblichen Maßnahmen (deaktiviertes Standard-Admin-Konto, sichere Passwörter, 2FA, Kontoschutz...) nicht wirklich offen steht, also das Haus nicht für die Öffentlichkeit zugänglich ist.

Dedizierte Firewall, Zugriff auf sensible Ports nur via reverse proxy etc., was ich demnächst angehen werde, hatte ich immer als zusätzliche Sicherheitsmaßnahmen verstanden, ähnlich eines Zusatzschlosses aus gehärtetem Stahl.
 
Ja, das siehst du ja auch richtig. Und solange du da keinen erfolgreichen Logins von unbekannten hast ist das auch ok
Aber das Risiko ist halt höher bei Standardports bzw. wird da schlicht mehr versucht dann.
Stell dir das vor wie einen Porsche, der alleine in der Innenstadt steht und das nachts. Der wird so auch eher geklaut bzw. wird öfter ein Auge darauf geworfen, wie wenn da ne Abdeckplane drüber wär
 
Was man auch tun kann: port 5000/5001 maskieren.

Also Beispielsweise den externen 50xx auf den internen 5001 umleiten.

Ich hatte damals, als ich's noch offen hatte, extern 5018 für die 218j:5001 und extern 5024 für die 224+:5001 verwendet

Dann muss lediglich der Port mitgegeben werden.
Anstatt
Code: 
 https://meineNAS.myds.me
wird dann
Code: 
https://meineNAS.myds.me:5024
eingegeben
Das hat schon viel ausgemacht, weil Bots meist nur die standard ports angreifen.

Heute hab ich alles zu, da ich die Netzwerke meiner Eltern, meines Bruders und meines per VPN zusammen geschlossen habe.
Mehr ist in meinem Fall nicht nötig.
Es ist aber auch logisch dass es nicht immer und überall möglich/sinnvoll ist Netzwerke zu verbinden.
 

Additional post fields

NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten