Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Erwin1 op 26 april 2014, 14:55:20
-
Beste allemaal,
Vanochtend vroeg kreeg ik van m'n NAS een mailtje dat wederom vannacht is geprobeerd in te loggen op de mailserver, en dat het IP adres geblokkeerd is.
Op zich prima, echter is dit als de tweede keer sinds een week.
Ik vind het vreemd dat er geprobeerd wordt in te loggen op de webmail, aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.
Daarnaast vraag ik me af of ik extra veiligheidsmaatregelen moet nemen.
Nu staat de IP ban zo ingesteld dat wanneer 3x binnen 900 minuten geprobeerd word in te loggen, hij automatisch voor altijd blokkeert.
Wat denken jullie?
Ik heb de IP's getraceerd en die van vannacht kwam uit China, en van vorige week was afkomstig van de VS..
-
Het zijn pogingen tot inbraak, die blijf je altijd houden.
Het systeem heeft die pogingen geblokkeerd en doet z'n werk dus goed.
-
Maar is het mogelijk te achterhalen met welke inloggevens ze geprobeerd hebben in te loggen?
-
Misschien kun je dat zien in de systeem logfiles ?
-
Helaas, dat gaat niet..
-
Wat gaat niet ? Of bedoel je, ik zie niets in de log.
-
Ja inderdaad ik bedoel dat ik dat niet kan zien.
Hij geeft alleen een waarschuwing weer, met de tekst dat het ip adres geblokkeerd is.
-
Ik let er niet zo op maar met welke gebruiker ze proberen in te loggen zie ik alleen bij de ftp server.
Dan zie je dat ze met guest, admin, administrator, root en andere bekende id's proberen in te loggen.
Gebruik altijd sterke wachtwoorden en je kan verder niet veel doen.
-
Maar om het moment dat ze op mail inloggen is er geen sprake van FTP neem ik aan?
Heb overigens de FTP uitstaan, dus dat scheelt.
-
... aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.
Ze zoeken gewoon hele IP ranges af waar een webserver draait, je url is niet relevant in deze. Ik krijg zo'n 2 pogingen per week, maar een paar week geleden waren dat er meerdere per uur gedurende een hele dag. En een kennis aan de andere kant van het land had precies hetzelfde op die dag.
Jouw IP vinden ze b.v. op: http://www.shodanhq.com/search?q=synology+nas Op die link vind je allemaal IP's van de synology nassen wereldwijd. En als je een account neemt, zie je ze allemaal. Dat zijn leuke zoekmachines voor hackers.
Jou vinden is dus niet zo moeilijk. Maar of ze binnenkomen heb je zelf in de hand.
-
En ze proberen gewoon een standaard wachtwoord?
-
Ja. Ze hebben een heel lijstje van standaardgebruikers en passwords dat ze automatisch aflopen omdat er nog steeds genoeg mensen zijn die niet de moeite nemen om die na installatie aan te passen.
Daarom zijn bij mij de standaardgebruikers zoals admin allemaal uitgeschakeld.
-
Je zegt "zoals", maar je hoeft toch alleen admin en guest uit te schakelen?
Er zal vast wel iemand "Jan" heten. Is dat niet bijna net zo'n grote kans dan als met guest?
Ik gebruik mijn Nas tot nu toe alleen via de router in het thuisnetwerk (Nas zit met een kabel aan de router en apparaten zoals de mediaspeler koppelen via DHCP). Kunnen ze dan ook een poging van buitenaf doen?
Geen idee hoe dat allemaal werkt.
-
Zodra je poorten in de router dicht zijn, lijkt me van niet..
Edit: Wat betreft 'Jan', dat klopt maar het blijkt dat vooral mensen uit andere landen een hack poging ondernemen, en in China is Jan waarschijnlijk niet z'n voor de hand liggende naam ;)
-
Vanochtend vroeg kreeg ik van m'n NAS een mailtje dat wederom vannacht is geprobeerd in te loggen op de mailserver, en dat het IP adres geblokkeerd is. Op zich prima, echter is dit als de tweede keer sinds een week.
Ik vind het vreemd dat er geprobeerd wordt in te loggen op de webmail, aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.
Gebruik je DSM 5.0?
In DSM 4.3 krijg je deze meldingen niet voor webmail (=Roundcube), zou mooi zijn als dat is opgelost in 5.0
Als extra maatregel kan je in je router naar de buitenwereld een andere (random) poort gebruiken, dat verkleint de kans op ongewenst bezoek aanzienlijk.
/Erik
-
Yes gebruik DSM 5.0
-
In DSM 4.3 krijg je deze meldingen niet voor webmail (=Roundcube), zou mooi zijn als dat is opgelost in 5.0
Ik gebruik Mail Server en Mail Station. Ik krijg deze meldingen sinds oktober 2013, toen ik naar dsm 4.3 ge-update heb. Dus vreemd dat je ze dan niet krijgt.
Er zal vast wel iemand "Jan" heten. Is dat niet bijna net zo'n grote kans dan als met guest?
Maar Jan heeft nog een achtwoord. Een gast mag zo binnen op je systeem. Een gast heeft wel geen rechten, maar je kunt er toch last van hebben. Alleen als je heel bewust gasten wilt toelaten, kun je hem aan laten.
-
Ik gebruik Mail Server en Mail Station. Ik krijg deze meldingen sinds oktober 2013, toen ik naar dsm 4.3 ge-update heb. Dus vreemd dat je ze dan niet krijgt.
Ik krijg als ik via no-ip "buitenom" inlog met fout wachtwoord wel een melding in de system log (IP=127.0.0.1 omdat Roundcube lokaal draait?), maar dat leidt niet tot blokkeren. Bij jou wel?
/Erik
-
Ik krijg als ik via no-ip "buitenom" inlog
Dan gebruik je de nat-loopback functie van de router. Dat kan verschillende resultaten leveren per routermerk. Maar misschien zijn het inlogpogingen op Mail Server en niet op roundcube. Het log laat alleen zien dat er een IP geblokkeerd is, maar niet door welke applicatie. Ik kan alleen maar gokken dat het Mailserver is omdat de meldingen begonnen na het aanzetten van de Mailserver. En FTP of SSH inlogpogingen komen wel in het log.
-
Via no-ip gaat (iig bij mij) wel buiten de router om. Ik heb het voor de zekerheid nog via een proxy geprobeerd, zelfde resultaat als ik onjuist wachtwoord gebruik voor Webmail:
User[] from [127.0.0.1] failed to log in via [Mail Server] due to authorization failure
Dat kan ik onbeperkt blijven doen, dus een brute force attack is mogelijk. Bij ssh wordt ik wel na 3x geblokt.
Dat was ook de reden waarom ik destijds een "anti brute force" script aan Roundcube heb toegevoegd. Dat script is in DSM 4.3 kennelijk nog steeds nodig, misschien niet meer in DSM 5.0 ?
/Erik
-
Mijn eigen onderzoek ( ;) ) heeft uitgewezen dat er een verband hangt tussen het gebruik van het download centrum, en het dus downloaden van torrents, en de aantal pogingen die wordt gedaan om het account te hacken.
Met andere woorden, wanneer ik gebruik maak van het download centrum stijgt de dagen die daarop volgen de pogingen tot inbraak. Wanneer ik deze een tijd lang niet gebruik, is er nauwelijks spraken van een inbraakpoging.
Wanneer een torrent wordt gedownload is het ip adres zichtbaar, wellicht dat mensen daarvan gebruik maken als ze niks te doen hebben?
-
Torrents vermijden een optie?
-
download centrum
Je bedoelt Download Station ?
Torrent downloads (eigenlijk iedere download) brengt altijd risico's met zich mee, in mijn ogen.
Zolang het bij pogingen blijft en DSM blokt IP's, dan is er niets aan de hand.
-
Torrent downloads (eigenlijk iedere download) brengt altijd risico's met zich mee, in mijn ogen.
Ik denk ook dat de inhoud van de torrent (malware besmetting) een groter risico is dan het bekend maken van je IP.