2x poging tot inbraak

[Erwin1]

Beste allemaal,

Vanochtend vroeg kreeg ik van m'n NAS een mailtje dat wederom vannacht is geprobeerd in te loggen op de mailserver, en dat het IP adres geblokkeerd is.
Op zich prima, echter is dit als de tweede keer sinds een week.

Ik vind het vreemd dat er geprobeerd wordt in te loggen op de webmail, aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.
Daarnaast vraag ik me af of ik extra veiligheidsmaatregelen moet nemen.

Nu staat de IP ban zo ingesteld dat wanneer 3x binnen 900 minuten geprobeerd word in te loggen, hij automatisch voor altijd blokkeert.

Wat denken jullie?

Ik heb de IP's getraceerd en die van vannacht kwam uit China, en van vorige week was afkomstig van de VS..

[Birdy]

Het zijn pogingen tot inbraak, die blijf je altijd houden.
Het systeem heeft die pogingen geblokkeerd en doet z'n werk dus goed.

[Erwin1]

Maar is het mogelijk te achterhalen met welke inloggevens ze geprobeerd hebben in te loggen?

[Birdy]

Misschien kun je dat zien in de systeem logfiles ?

[Erwin1]

Helaas, dat gaat niet..

[Birdy]

Wat gaat niet ? Of bedoel je, ik zie niets in de log.

[Erwin1]

Ja inderdaad ik bedoel dat ik dat niet kan zien.
Hij geeft alleen een waarschuwing weer, met de tekst dat het ip adres geblokkeerd is.

[Robert Koopman]

Ik let er niet zo op maar met welke gebruiker ze proberen in te loggen zie ik alleen bij de ftp server.
Dan zie je dat ze met guest, admin, administrator, root en andere bekende id's proberen in te loggen.
Gebruik altijd sterke wachtwoorden en je kan verder niet veel doen.

[Erwin1]

Maar om het moment dat ze op mail inloggen is er geen sprake van FTP neem ik aan?
Heb overigens de FTP uitstaan, dus dat scheelt.

[Briolet]

... aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.

Ze zoeken gewoon hele IP ranges af waar een webserver draait, je url is niet relevant in deze. Ik krijg zo'n 2 pogingen per week, maar een paar week geleden waren dat er meerdere per uur gedurende een hele dag. En een kennis aan de andere kant van het land had precies hetzelfde op die dag.

Jouw IP vinden ze b.v. op: http://www.shodanhq.com/search?q=synology+nas Op die link vind je allemaal IP's van de synology nassen wereldwijd. En als je een account neemt, zie je ze allemaal. Dat zijn leuke zoekmachines voor hackers.

Jou vinden is dus niet zo moeilijk. Maar of ze binnenkomen heb je zelf in de hand.

[Erwin1]

En ze proberen gewoon een standaard wachtwoord?

[Hofstede]

Ja. Ze hebben een heel lijstje van standaardgebruikers en passwords dat ze automatisch aflopen omdat er nog steeds genoeg mensen zijn die niet de moeite nemen om die na installatie aan te passen.
Daarom zijn bij mij de standaardgebruikers zoals admin allemaal uitgeschakeld.

[Endeavour]

Je zegt "zoals", maar je hoeft toch alleen admin en guest uit te schakelen?

Er zal vast wel iemand "Jan" heten. Is dat niet bijna net zo'n grote kans dan als met guest?

Ik gebruik mijn Nas tot nu toe alleen via de router in het thuisnetwerk (Nas zit met een kabel aan de router en apparaten zoals de mediaspeler koppelen via DHCP). Kunnen ze dan ook een poging van buitenaf doen?

Geen idee hoe dat allemaal werkt.

[Erwin1]

Zodra je poorten in de router dicht zijn, lijkt me van niet..

Edit: Wat betreft 'Jan', dat klopt maar het blijkt dat vooral mensen uit andere landen een hack poging ondernemen, en in China is Jan waarschijnlijk niet z'n voor de hand liggende naam

[Basalt]

Vanochtend vroeg kreeg ik van m'n NAS een mailtje dat wederom vannacht is geprobeerd in te loggen op de mailserver, en dat het IP adres geblokkeerd is. Op zich prima, echter is dit als de tweede keer sinds een week.
Ik vind het vreemd dat er geprobeerd wordt in te loggen op de webmail, aangezien die alleen bereikt kan worden via www.mijndomein.nl/mail net echt een link je die makkelijk kunt bereiken.

Gebruik je DSM 5.0?
In DSM 4.3 krijg je deze meldingen niet voor webmail (=Roundcube), zou mooi zijn als dat is opgelost in 5.0

Als extra maatregel kan je in je router naar de buitenwereld een andere (random) poort gebruiken, dat verkleint de kans op ongewenst bezoek aanzienlijk.

/Erik