Auteur Topic: DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all  (gelezen 10121 keer)

Offline JG

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Beste forumleden, deze herfstvakantie had ik van buiten af opeens geen contact meer met mijn NAS 214+. Normaal check ik elke dag wel de bewakingscamera's en domotica. Bij thuiskomst bleek dat XS4all mijn router had geblokkeerd voor verkeer van buiten, omdat er de afgelopen dagen veel spam/ aanvallen vanuit mijn IP-adres waren verstuurd. Het logboek van de NAS toonde dat vreemde IP-adres (178.188.70.122 én 192.109.148.100) met succes als admin via DSM waren ingelogd en daar allerlei firewalls en portforwarding hebben aangepast. Dat is mij de afgelopen 10 jaar niet overkomen, daar ik dacht:
- een zeer lastig te kraken admin-wachtwoordzin te gebruiken;
- bij foutieve aanmeldingen de inbreker meteen een jaar te laten blokkeren na 2 foute aanmeldingen in een minuut;
- firewall-regels toe te passen en gericht poorten open te zetten, niet meer dan nodig is om mijn applicaties te draaien;
- nieuwe updates direct automatisch te installeren;
- security-checks te doen, waarna Synology aangeeft dat eea in orde is;

Heeft iemand hier ervaring mee of leerzame tips? Hoe lukt het derden dan toch om als admin binnen te komen in mijn NAS? Lukt dat via de beschreven UPnP van de router (van XS4all waar ik nu enkele maanden over beschik)? Heeft het lek kunnen ontstaan doordat ik dan per smart-phones en computer gebruik maak van een open netwerk in buitenland, waar ze wellicht inlogcodes hebben kunnen afluisteren in mijn internetverkeer?

Ik heb de firewalls en poorten weer hersteld, dubbele verificatie bij inloggen ingesteld, alle gebruikers afgesloten en zal mijn UPnP nog afsluiten in de router. Houdt dit toekomstige hackers dan tegen? Graag jullie ervaringen, theorieën en suggesties. Bij voorbaat dank!
Groet, Jelger
DS214+ intern en DS213 extern als backup;
Gekoppeld aan 5 bewakingscamera's, Domoticz, Astrisk met 2 Grandstream VOIP-toestellen;

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all
« Reactie #1 Gepost op: 25 oktober 2015, 00:23:35 »
1. NOOIT  "admin" als gebruikers loginnaam gebruiken.
    Dan hoeft er alleen maar een wachtwoord te worden gegenereerd.
    (Account "admin" uitschakelen, en andere gebruikersnaam met admin rechten instellen om in te loggen).

2. Voor login naar je NAS, van buiten uit, gebruik in ieder geval een beveiligde verbinding (https ----> poort 5001),
    zodat verstuurde login-data versleuteld is.  Of nog beter, gebruik een VPN-verbinding.

    (Als antwoord op gebruik van smart-phones en computergebruik in buitenland, en je doet dat niet met een beveiligde verbinding,
     ja die ingetikte login-data zou opgepikt en uitgelezen kunnen worden).

3. De betreffende IP's behoren toe aan een range buiten Nederland  (zover ik het kan achterhalen Oostenrijk en Frankrijk).
    Firewall-regels instellen met restricties voor "regio's. Dan stel je alleen toegang open voor Nederland, of land waar je je bevindt.
    ---> Zo gauw je weer terug bent van het buitenland sluit je het land waar je bent geweest meteen weer uit voor toegang.
    Zie voorbeeld hoe dergelijke regio-restricties in te stellen < HIER >

4. De door  XS4ALL  versterkte "Fritz!box" modem/routers zijn al eerder doelwit geweest van hacks.
    Weet niet of je de Remote Acces-functie van de modem van buiten uit hebt ingesteld, maar dat is dus een extra veiligheidsrisico.
    https://blog.xs4all.nl/2014/02/06/telefoniemisbruik/
    https://blog.xs4all.nl/2014/02/18/nieuwe-firmware-voor-alle-gebruikers-van-fritzbox-modems/

    In ieder geval bij < Fritz!box Benelux > zelf controleren of de laatste firmware update voor de modem/router is geïnstalleerd.
    (Eerst even informeren, om er zeker van te zijn dat een update de voor XS4ALL gebruikelijke connectie-profielen bevatten).

Weet niet of de "Fritz!box" een Firewall heeft waarbij je kunt instellen dat alleen apparaten met een bepaald MAC-adres verder toegang wordt verleend tot achterliggende diensten. Dan zet je daar alleen de door jezelf gebruikte apparatuur in.

5. Het gebruik van UPnP wordt ten zeerste afgeraden i.v.m. veiligheidsrisico's.

Onlangs nog een ernstig veiligheidslek m.b.t. UPnP er nog bijgekomen, waardoor een toevallige connectie met een verkeerde website, en inschakeling van Javascript in je browser, men toegang heeft "van binnenuit" tot je router, en in 20 seconden je router kan zijn gewijzigd waardoor men toegang heeft.

Zie officiële waarschuwing van CERT via:   https://www.security.nl

Hoewel de UPnP-problemen waarvoor het CERT/CC waarschuwt alleen via privénetwerken kunnen worden aangevallen, is het ook mogelijk om vanaf het internet hier toegang toe te krijgen. Via een speciale website kan een aanvaller, bij gebruikers van Chrome en Firefox die JavaScript hebben ingeschakeld, namelijk willekeurige UPnP-verzoeken naar de firewall sturen en zo het netwerk verder aanvallen.
De "Filet-O-Firewall" kwetsbaarheid werd begin augustus al gedemonstreerd, maar nu heeft het CERT/CC besloten er een waarschuwing voor af te geven.


en ook:

"volgens de ontdekker van het probleem gaat het om een "leverancier onafhankelijke kwetsbaarheid".

Meer info:
http://www.filet-o-firewall.com

Zie YouTube filmpje (30 aug. 2015 geplaatst) hoe de aanval plaatsvindt in 20 seconden:
Filet-O-Firewall Vulnerability PoC Demonstration:  Zie < YouTube Filmpje >

Na die eerste aanval zijn allerlei Firewall-regels toegevoegd (met uitsluitingen) die connectie van buitenaf verder mogelijk maken.


Verder:
Bij thuiskomst bleek dat XS4all mijn router had geblokkeerd voor verkeer van buiten, omdat er de afgelopen dagen veel spam/ aanvallen vanuit mijn IP-adres waren verstuurd.

Ik neem dan aan dat je je computer-sytemen en NAS erna tevens heel grondig hebt gescand en ontdaan van alle virussen en malware die de problemen hebben veroorzaakt, zodat er niet alsnog DDOS aanvallen en/of SPAM van jou kant verstuurd kunnen worden, en het gevaar nog niet is geweken?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Ben(V)

  • Gast
Re: DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all
« Reactie #2 Gepost op: 25 oktober 2015, 09:32:16 »
Gebruik VPN om je netwerk van buiten te benaderen.
Dat is het meest secure.
Het allerbeste is het als je router VPN ondersteund(dat doen vele routers) zodat je de beveiliging aan de poort van je eigen netwerk hebt staan.
Ondersteund je router geen VPN dan kun je de VPN server van Synology gebruiken.

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all
« Reactie #3 Gepost op: 25 oktober 2015, 09:39:15 »
De beste tips zijn al gegeven. Hoe ze ondanks al je maatregelen toch binnen wisten te komen? Ik denk dat je ergens openbaar internet hebt gebruikt en dat iemand mee zat te "luisteren". Of mogelijk zelfs een openbare internet-computer?

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline JG

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 9
Re: DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all
« Reactie #5 Gepost op: 25 oktober 2015, 21:56:46 »
Allen dank voor de waardevolle antwoorden en tips! Ik vermoed dat ik ben "afgeluisterd" tijdens het gebruik van een smartphone (inloggen op netwerk richting NAS) op een openbaar WIFI-netwerk in Oostenrijk. Ik heb hierbij http gebruikt en geen https. Dus dat het inbrekende IP-adres uit Oostenrijk/ Frankrijk afkomstig is, is zeer waarschijnlijk! Dankzij jullie tips heb ik de firewall en poorten anders ingesteld, waarmee ik al het verkeer buiten NL weer, is de UPnP in de XS4all-modem uitgezet, zijn wachtwoorden gewijzigd en ga ik mijn admin-account verwijderen en gebruikers anders inrichten. Die VPN-tunnel ga ik zeker uitzoeken en toepassen.
Het grondig scannen van mijn NAS blijkt tijdrovend... na een 12 uur is er pas 20% gescand. Ergens moeten de indringers wel een programmaatje hebben achtergelaten....dat mogelijk ook zijn eigen poort probeert te openen.
Wat wel opvallend is dat een VOIP-telefoon op mijn netwerk (Grandstream GVX3275 in gebruik met Asterisk) steeds een afwijkend poort probeert te openen naar buiten als ik de UPnP even open zet op de modem.  Die zal ik voor de zekerheid terugzetten naar fabrieksinstellingen. Mocht er nog wat uit de malware-scan van de NAS rollen, dan zal ik dat toevoegen aan deze topic. Hopelijk kunnen andere gebruikers hier weer hun voordeel mee doen. Dank tot zover!
DS214+ intern en DS213 extern als backup;
Gekoppeld aan 5 bewakingscamera's, Domoticz, Astrisk met 2 Grandstream VOIP-toestellen;

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all
« Reactie #6 Gepost op: 26 oktober 2015, 00:05:47 »
....ga ik mijn admin-account verwijderen

Een admin account kun je niet verwijderen, maar wel uitschakelen (nadat je eerst een andere gebruikersnaam adminrechten hebt gegeven).

Het grondig scannen van mijn NAS blijkt tijdrovend... na een 12 uur is er pas 20% gescand. Ergens moeten de indringers wel een programmaatje hebben achtergelaten....dat mogelijk ook zijn eigen poort probeert te openen.

Niet alleen NAS scannen maar ook je PC's.

Wat wel opvallend is dat een VOIP-telefoon op mijn netwerk (Grandstream GVX3275 in gebruik met Asterisk) steeds een afwijkend poort probeert te openen naar buiten als ik de UPnP even open zet op de modem.

Die VOIP functionaliteit is typisch het gedeelte waar indertijd de Fritz!box op gehackt is bij XS4ALL.
Gebruikers werden getrakteerd op erg hoge telefoonkosten door buitenlandse telefoontjes op kosten van de gebruiker.
Misschien kan de klantenservice van XS4ALL je daarbij nog wel van dienst zijn in welke richting je moet zoeken om problemen daarmee te elimineren, omdat ze daar eerder mee geconfronteerd zijn geweest en "ervaringsdeskundig" daarin zijn.

Voor alle zekerheid zou ik ook even nagaan of je telefoonkosten niet onnodig hoog zijn opgelopen, wat je nu nog niet weet omdat het mogelijk pas bij een volgende afrekening wordt gepresenteerd? Indien dat het geval is, zeker de problematiek met XS4ALL doornemen.
(Graag ook aanvullende informatie / update hier op het forum, als het probleem groter blijkt dan tot nu toe gedacht).

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Belangrijke poorten

Gestart door Erwin1Board DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 3385
Laatste bericht 13 april 2014, 17:53:38
door Erwin1
USB 3.0 poorten DS213 defect?

Gestart door DragonBoard Externe harddisks en Printers

Reacties: 1
Gelezen: 1709
Laatste bericht 22 april 2013, 20:02:09
door Matr1x
Poort 8989 voor Sonarr wordt door een andere service gebruikt. Welke?

Gestart door Colt4uBoard Overige 3rd party packages

Reacties: 0
Gelezen: 1178
Laatste bericht 03 mei 2021, 10:20:41
door Colt4u
Iphoto in ICloud uitschakelen en vervangen door NAS

Gestart door Synology-MACBoard iOS Apps (iPhone, iPad en iPod)

Reacties: 5
Gelezen: 2366
Laatste bericht 09 oktober 2022, 14:50:49
door Synology-MAC
Dubbele foto's door Synology Photo backup?

Gestart door Matr1xBoard Photo Station / Photos

Reacties: 9
Gelezen: 740
Laatste bericht 29 december 2023, 22:52:04
door Bobo