Aanvallen op Nas door hackers.

[Patrick80]

Zijn er meer mensen die de laatste dagen, worden aangevallen door hackers ?
Sinds dinsdag is het bij mij volop aan de gang. gemiddeld 50 pogingen per dag op het het Admin account. gelukkig staat deze uit.
Maar heb het nog nooit zo erg gehad. Zou wel eens willen weten of het via de ****.synology.me account komt of dat ze direct mijn ip adres proberen. Iemand een idee hoe ik daar achter kan komen.

[Birdy]

https://www.synology-forum.nl/firmware-algemeen/alle-landen-maar-geblokkeerd/?topicseen
https://www.synology-forum.nl/firmware-algemeen/aanval-op-admin-account/?topicseen

[Briolet]

Zou wel eens willen weten of het via de ****.synology.me account komt of dat ze direct mijn ip adres proberen.

Dat gaat direct naar het IP adres. Elk IP adres in de wereld krijgt dagelijks wel bezoek van de Shodan zoekmachine. Die kijkt welke services achter welke poort draait.

Hackers hoeven zelf niet naar nassen te zoeken. Dia gaan naar Shodan en vragen een lijst op met alle Synology nassen die aan het internet hangen.

[dirklammers]

Toch blijven dit soort berichten mij verbazen. Ik zie nergens een indicatie dat ze ook bij mij iets proberen. Ben ik naïef ? Kijk ik op de verkeerde plek (waar moet ik kijken dan) of zit alles bij mij goed dicht ?
Ik word hier altijd “onrustig” van want ik ben bang dat ergens buiten mijn zicht toch allerlei narigheid richting mijn NASsen gebeurt 

Groet, Dirk

[Wyodor]

Ga hiernaartoe en typ je WAN IP in het zoekveld.

https://www.shodan.io/

[Patrick80]

Ga hiernaartoe en typ je WAN IP in het zoekveld.

https://www.shodan.io/

Oke, dit wist ik niet, maar hier zie je inderdaad welke poorten ik heb open staan, en dat er een nas achter zit van Synology

[Patrick80]

Toch blijven dit soort berichten mij verbazen. Ik zie nergens een indicatie dat ze ook bij mij iets proberen. Ben ik naïef ? Kijk ik op de verkeerde plek (waar moet ik kijken dan) of zit alles bij mij goed dicht ?
Ik word hier altijd “onrustig” van want ik ben bang dat ergens buiten mijn zicht toch allerlei narigheid richting mijn NASsen gebeurt 

Groet, Dirk

Ik heb Autoblocker in de nas aanstaan, en ingesteld op 2 pogingen in 30 minuten. Als ze binnen deze tijd het 2 keer proberen en het lukt niet om in te loggen dan wordt het ip adres geblokkeerd, zodat ze niet oneindig kunnen blijven proberen. Hiervan krijg ik dan een mailtje van mijn nas en het staat ook in het logboek. Als jij niet de meldingen krijgt en autoblocker staat aan, mag je er vanuit gaan dat je save zit. Deze pogingen worden altijd gedaan op de username Admin en heel soms Host. Hierbij ook belangrijk om een ander Admin account te maken (andere naam) en het Admin account zelf uit te schakelen. 

[Babylonia]

Ga hiernaartoe en typ je WAN IP in het zoekveld.

https://www.shodan.io/

Oke, dit wist ik niet, maar hier zie je inderdaad welke poorten ik heb open staan, en dat er een nas achter zit van Synology

Dan heb je je zaakjes t.a.v beveiliging toch NIET goed ingesteld.
Ik vermoed m.b.t. tekortkomingen met firewall regels t.a.v. "regio-blocking".

Die "test" website  "shodan.io"   waar naar wordt gerefereerd is gelegen in "Amerika".




Dat is nu net een regio die ik heb uitgesloten om überhaupt contact te kunnen leggen met mijn router en NAS.

Mijn resultaat bij die test-website:



En dat afgezien van de "WEL" bereikbare Synology router en Synology NAS  in "Nederland"  als zijnde:
- Normale inlog voor de DSM  NAS    interface (https ---> poort 5000 / 5001)
- Normale inlog voor de SRM  router interface (https ---> poort 8000 / 8001)
- WebDAV (NAS)
- VPN via de protocollen  OpenVPN   -   L2TP/IPSev   -   Synology SSL
  waarvan SSL op twee verschillende niveaus (twee verschillende poorten)

- internet (web-server) poorten 80 en 443
- VOIP ---> UDP poorten 5060, 5070, 6000
- WOL ---> UDP poorten 7

[Patrick80]

Ga hiernaartoe en typ je WAN IP in het zoekveld.

https://www.shodan.io/

Oke, dit wist ik niet, maar hier zie je inderdaad welke poorten ik heb open staan, en dat er een nas achter zit van Synology

Dan heb je je zaakjes t.a.v beveiliging toch NIET goed ingesteld.
Ik vermoed m.b.t. tekortkomingen met firewall regels t.a.v. "regio-blocking".

Die "test" website  "shodan.io"   waar naar wordt gerefereerd is gelegen in "Amerika".

(Link naar bijlage)


Dat is nu net een regio die ik heb uitgesloten om überhaupt contact te kunnen leggen met mijn router en NAS.

Mijn resultaat bij die test-website:

(Link naar bijlage)

En dat afgezien van de "WEL" bereikbare Synology router en Synology NAS  in "Nederland"  als zijnde:
- Normale inlog voor de DSM  NAS    interface (https ---> poort 5000 / 5001)
- Normale inlog voor de SRM  router interface (https ---> poort 8000 / 8001)
- WebDAV (NAS)
- VPN via de protocollen  OpenVPN   -   L2TP/IPSev   -   Synology SSL
  waarvan SSL op twee verschillende niveaus (twee verschillende poorten)

- internet (web-server) poorten 80 en 443
- VOIP ---> UDP poorten 5060, 5070, 6000
- WOL ---> UDP poorten 7

Oke, bedankt voor de info. Ik zal mij hier eens op in inlezen. Snap het niet in een keer 
Maar wist niet van het bestaan van deze website. Zodat je kan zien wat je open hebt staan.

Maar waar blokkeer jij het dan ? in je router ? want je publieke ipadres heeft niks met je Synology te maken waar je ook landen kan blokkeren. Daarbij als je Amerika blokkeert, dan kan je volgens mij ook geen beveiliging certificaten krijgen en/of controleren op geldigheid omdat dit ook via Amerika loopt.

[Babylonia]

Het onnodig aanhalen van een uitgebreid compleet bericht wat er net aan vooraf gaat is niet zinvol,
en wordt hier op het forum niet gewaardeerd.  Hooguit enkele delen uit een reactie, of verder teruggaande informatie.
Het hoe en waarom zie meer info van het volgende onderwerp < HIER >

Zoek op andere -zeer recente- reacties en onderwerpen die nu net actueel zijn hier op het forum de antwoorden op je vragen,
wat je zou kunnen instellen.  Alles is al herhaald / "tig" keer eerder aan de orde geweest, wat je dan wel zou kunnen instellen.

[Patrick80]

@Babylonia

Punt 1
Sorry, ik had het bericht uit 2014 niet gelezen dat dit heel vervelend is. Excuses daarvoor, ik zit namelijk ook op andere forums en daar word het wel weer gewaardeerd.

Punt2
Daarbij is mijn topic vraag naar mijn weten een unieke vraag. Daarop reageer jij met iets wat nieuw is voor mij, en ik stel een weder vraag. En dan word ik erop aangesproken dat ik niet in het forum zoek. Een beetje vreemde redenering.
Aangezien ik aangeef, dat Amerika blokkeren mogelijk problemen geeft met je beveiliging certificaat, omdat deze via een Amerikaanse server word aangemaakt en tussentijds wordt gecontroleerd dit heb ik toch echt via een zoek opdracht op dit forum gevonden.

USA kun je rustig blokkeren, zolang je poort 80 maar doorlaat.

Gaat niet werken... Let's Encrypt komt vanuit de USA en heeft ook poort 443 nodig om je nas te verifiëren voor het certificaat.
Ik heb hiermee fors zitten worstelen om dat certificaat voor elkaar te krijgen. USA toestaan en poorten 80 en 443 open zetten en het was zo geregeld.

[Babylonia]

1.  Het bericht m.b.t. de wijze hoe om te gaan met aanhalingen staat als "sticky" / reminder
     bovenaan als 2e regel aangegeven bij ELK onderdeel / sectie van dit forum.
     Bij elkaar 78 keer als niet te missen belangrijke informatie van alle 78 deel-secties / onderdelen van dit forum.
     Ondanks in 2014 opgesteld, kennelijk na 7 jaar nog steeds een belangrijk statement om er aandacht voor te hebben.

2.  Nee, het is geen unieke vraag.
     Ik attendeer je er juist op dat er een paar actuele onderwerpen lopen met vergelijkbare vraagstellingen.
     Het is gebruikelijk op fora om eerst te kijken of je reeds antwoorden kunt vinden die je eigen vraag dekken,
     zodat gebruikers die ter wille zijn hulp te bieden niet allerlei herhalingen hoeven te schrijven
     van wat reeds in lopende onderwerpen nu net aan de orde is geweest.

     Er zal altijd wel een overlap zijn, dat begrijpt ieder wel.
     Maar nu lopen een aantal vergelijkbare onderwerpen met diverse reacties wel heel veel langs elkaar heen.

Je hebt kennelijk een deel van je oplossing zelf al kunnen vinden m.b.t. een Lets'cript certificaat.
Zegt als uitzondering natuurlijk weinig over andere regio's waar met name aandacht van potentiële hackers vandaan kan komen.

Lopende onderwerpen met vergelijkbare strekking:

https://www.synology-forum.nl/firmware-algemeen/alle-landen-maar-geblokkeerd/

https://www.synology-forum.nl/firmware-algemeen/aanval-op-admin-account/

https://www.synology-forum.nl/ddns-extern-benaderen/problemen-met-de-aanvraag-van-een-certificaat/

Uitleg m.b.t. firewall instellingen hoe de aandacht van potentiële hackers via "regio blocking" te kunnen beperken.
< DEZE uitleg >  -weliswaar voor een Synology router beschreven-
maar in principe geldt een sterk vergelijkbare werking voor de Firewall van een Synology NAS.

Wat verder terug naar de basis: < HIER > en vervolgreacties. En nog wat oudere reacties < HIER >