Auteur Topic: Aanval op Admin account  (gelezen 4185 keer)

Offline gsamplo

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Aanval op Admin account
« Gepost op: 28 juli 2021, 10:44:42 »
Hoi iedereen,

Sinds gistermiddag ervaar ik iedere 4-5 minuten een aanval op mijn Admin account. Dit steeds vanaf een ander IP-adres. Gisteravond de NAS maar uitgezet. Vanmorgen om half acht ging hij weer aan en 5 minuten later begon de aanval weer.

Uiteraard staat mijn Admin account uit dus tot zover geen zorgen.

Het liefst zou ik willen dat ze vanuit het buitenland helemaal geen aanmeldpoging kunnen doen. Hoe fix ik dat?
  • Mijn Synology: DS923+
  • HDD's: 3x 4TB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Aanval op Admin account
« Reactie #1 Gepost op: 28 juli 2021, 10:55:19 »
Zie dit Topic.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Rubensky

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 16
  • Berichten: 353
Re: Aanval op Admin account
« Reactie #2 Gepost op: 28 juli 2021, 10:55:43 »
Helemaal voorkomen ga je aanvallen nooit.
Wat je wel kan doen is dit, blokkeer middels de firewall alle landen behalve Nederland, en eventuele andere landen waarvandaan inloggen noodzakelijk is.
Zorg ervoor dat IP adressen na een aantal verkeerde inlogpogingen worden geblokkeerd.
Zet 2FA aan op je accounts.
  • Mijn Synology: DS214play
  • HDD's: 2

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Aanval op Admin account
« Reactie #3 Gepost op: 28 juli 2021, 11:32:02 »
Zoals hierboven aangegeven 2FA aanzetten en die e-mail meldingen uit zetten voor je rust.

Als je nas aan het internet hangt, komen er aanvallen. Bij een maiserver zijn dit zelfs honderden per dag. Bij een goed wachtwoord + 2fa kun je de waarschuwingen negeren omdat ze toch kansloos zijn. Als ze al binnen komen, is dat door een bug in de webinterface en daar krijg je dan waarschijnlijk geen waarschuwing voor.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Aanval op Admin account
« Reactie #4 Gepost op: 28 juli 2021, 17:32:00 »
Wat je wel kan doen is dit, blokkeer middels de firewall alle landen behalve Nederland, en eventuele andere landen waarvandaan inloggen noodzakelijk is.

Weet niet hoe je die stelling bedoelt?  Maar zoals in andere onderwerpen aangehaald "andersom".
Sta alleen toegang toe voor Nederland (en landen waarvandaan inloggen noodzakelijk is.), het eigen LAN, en blokkeer op de rest.
Het zit hem specifiek in de volgorde hoe regels op te stellen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline viper-srt10

  • Bedankjes
  • -Gegeven: 30
  • -Ontvangen: 13
  • Berichten: 56
Re: Aanval op Admin account
« Reactie #5 Gepost op: 28 juli 2021, 20:29:43 »
Ben blij dat ik dit lees.
Gisteren ook bij mij van het zelfde. Tot zelfs elke 40 a 50 seconden een mislukte aanmeld poging op het (uitgeschakelde) admin account.
Ik heb het (voorlopig) kunnen stoppen door mijn router een ander WAN IP te laten forceren.
DS212+    2x WD80EFAX (RAID 0)
DS220+    2x WD140EFFX (RAID 0) 6GB RAM
DS1019+  5x WD80EFBX (SHR-2)
DS1515+  6GB RAM - Niet in gebruik
UPS          APC BR1500G-FR
UPS          APC BR900G-FR

Offline Wannabe007

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 10
Re: Aanval op Admin account
« Reactie #6 Gepost op: 28 juli 2021, 21:19:14 »
Hier hetzelfde. Sinds gisteren rond 13:30u elke paar minuten een poging om met admin in te loggen. In totaal al meer dan 900 pogingen. Een beetje filteren laat zien dat het vanuit zo'n 170 verschillende IP adressen komt.

Heeft er iemand ervaring met het (automatisch) laten blokkeren van een lijst met IP adressen? Ik dacht wellicht via een script of zo, direct naar IPTables.
  • Mijn Synology: DS918+
  • HDD's: 4 x HDN728080ALE604
  • Extra's: 960 PRO 512GB cache

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Aanval op Admin account
« Reactie #7 Gepost op: 28 juli 2021, 21:24:00 »
Eerder is al naar < dit onderwerp > verwezen.

Uitleg van Firewall regels  -weliswaar voor een Synology router-  maar in principe geldt een vergelijkbare werking voor de Firewall van een NAS.
Kijk eens bij < DIT onderwerp >

Wat verder terug naar de basis: < HIER > en vervolgreacties. En nog wat oudere reacties < HIER >
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Wannabe007

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 10
Re: Aanval op Admin account
« Reactie #8 Gepost op: 28 juli 2021, 21:49:53 »
Omdat het vanaf roterende IP adressen plaatsvindt werkt het automatisch blokkeren niet. Alleen toegang geven vanuit Nederland is voor mij geen optie. Daarom dacht ik aan het filteren van de IP adressen en deze dan automatisch laten blokkeren door de FW. Het lijkt er op dat er 'slechts' systemen beschikbaar zijn voor de aanval en daarom zou het blokkeren hiervan al kunnen helpen.

Om het probleem nu even te tackelen had ik port-forewarding even uitgezet, maar zodra ik het weer aanzette zag ik de pogingen weer.
  • Mijn Synology: DS918+
  • HDD's: 4 x HDN728080ALE604
  • Extra's: 960 PRO 512GB cache

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: Aanval op Admin account
« Reactie #9 Gepost op: 28 juli 2021, 21:57:46 »
En wat is het probleem van een aanval op het admin account? Als het uit staat gebeurt er toch nooit iets. Ik heb de meldingen uit staan en kijk heel af en toe in het logboek.

Ik heb wel in logcenter ingesteld dat als er > 20 logregels per seconde komen, dat er wel een mailtje naar me toe komt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Online DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 118
  • Berichten: 753
Re: Aanval op Admin account
« Reactie #10 Gepost op: 28 juli 2021, 23:29:10 »
Je kan ook instellen dat vanaf 1 foute poging je reeds op de "banlist" komt, dus dan zullen zelfs roterende IP's erop komen.
Wel even opletten natuurlijk dat je zelf je INTERNE LAN IP mischien ergens zeker "whitelist" zodat je bij een foute inlogpoging ook niet mee op de ban-list komt.

Aan de andere kant is het zoals je andere ook zeggen, dit zijn automatische systemen die altijd steeds dezelfde accounts gebruiken. Als je "admin" disabled zet EN nog es een deftig password gebruikt moet je je eigenlijk geen zorgen maken, al zijn het 1000x inlogpogingen per dag. Het geeft alleen wat "logvervuiling"

Ik heb in logs van andere firewalls gezien dat er telkens bepaalde dezelfde user-id's werden gebruikt dit standaard zijn op vb qnap of cisco of andere router producten etc.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Aanval op Admin account
« Reactie #11 Gepost op: 29 juli 2021, 00:12:22 »
...Alleen toegang geven vanuit Nederland is voor mij geen optie.

Nee, maar kan me voorstellen dat er toch nogal wat regio's in de wereld zijn waar je werkelijk geen enkele binding mee hebt.

Dan is het een afweging om die regio's erbij te zetten waar dan "wel" mensen bij je moeten kunnen inloggen op de NAS
om data te kunnen ophalen.   5 landen, 10 landen ??

Of   -als het de meerderheid van alle landen in de wereld is-   van waar gebruikers bij je zouden moeten kunnen inloggen,
(wat ik me nauwelijks kan voorstellen),  dan maar hele lijsten samen te stellen van enkel die regio's die je perse wilt buitensluiten.

Er zijn pakweg  195 onafhankelijke landen,  dus het "kantelpunt" om met de minste moeite regio's te selecteren, is de helft.
En dan kun je kiezen voor "toegang" of juist "blokkeren".
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline fred54

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 42
Re: Aanval op Admin account
« Reactie #12 Gepost op: 17 augustus 2021, 15:12:40 »
Ook bij mij werd via de Admin account geprobeerd in te loggen. Dit account is uitgeschakeld en na drie inlog pogingen wordt het IP adres geblokkeerd. De inlog pogingen hielden dagelijks aan vanuit heel veel verschillende IP adressen.

Omdat ik regelmatig de Audio station van buitenaf gebruik heb ik poort 5000 in mijn router opengezet.
Ik heb deze nu geblokkeerd en sindsdien zijn er tot op heden geen inlog pogingen meer geweest.

Zou fijn zijn dat er voor de Audio Station geen poort open hoeft te staan.
Ik gebruik nu als alternatieve oplossing de DSM VPN applicatie om de Audio Station alsnog te kunnen gebruiken.
  • Mijn Synology: DS220+
Synology DS220+, DSM 7.2.1-69057 Update 1

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Aanval op Admin account
« Reactie #13 Gepost op: 17 augustus 2021, 15:16:42 »
Quick Connect.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 903
  • -Ontvangen: 1482
  • Berichten: 7.949
Re: Aanval op Admin account
« Reactie #14 Gepost op: 17 augustus 2021, 15:19:58 »
Omdat ik regelmatig de Audio station van buitenaf gebruik heb ik poort 5000 in mijn router opengezet.

Poort 5000 is ook een heel slecht idee, omdat het een onversleutelde toegang betreft.
Je zou dan toch minimaal voor een https (poort 5001) moeten gaan.  (Ook via QuickConnect).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Schijf gecrashed na "Smurf" (DDOS) aanval

Gestart door daansmitBoard NAS hardware vragen

Reacties: 3
Gelezen: 3470
Laatste bericht 19 september 2012, 15:59:11
door daansmit
Synology geeft waarschuwing voor ransomware aanval.

Gestart door HofstedeBoard Synology DSM algemeen

Reacties: 275
Gelezen: 96322
Laatste bericht 10 december 2021, 14:15:18
door Birdy
Is dit een aanval

Gestart door DungeonBoard Netwerk algemeen

Reacties: 12
Gelezen: 779
Laatste bericht 29 januari 2023, 11:29:25
door Briolet
Cyber aanval

Gestart door KoenskBoard The lounge

Reacties: 12
Gelezen: 1979
Laatste bericht 20 mei 2017, 10:25:58
door Briolet
IP adressen geblokkeerd, aanval van buiten

Gestart door SylvesterBoard Netwerk algemeen

Reacties: 31
Gelezen: 4872
Laatste bericht 07 februari 2021, 14:50:09
door Jerengina