Auteur Topic: Admin aanmeldingen vanaf random ip's  (gelezen 1683 keer)

Offline dylan19

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 15
Admin aanmeldingen vanaf random ip's
« Gepost op: 11 april 2023, 16:53:22 »
Ik krijg sinds een tijdje eens in de zoveel dagen elke minuut admin aanmeldpogingen vanaf allerlei ip adressen. Hebben meer mensen hier last van en wat kan ik hier tegen doen?
Voorbeeld onderstaand:

Waarschuwing
Skraapie
admin
Connection
User [admin] from [109.136.190.111] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:49:21
Waarschuwing
Skraapie
admin
Connection
User [admin] from [37.251.23.3] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:48:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [217.41.16.100] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:53
Waarschuwing
Skraapie
admin
Connection
User [admin] from [86.156.25.82] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:47:08
Waarschuwing
Skraapie
admin
Connection
User [admin] from [124.188.83.22] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:46:26
Waarschuwing
Skraapie
admin
Connection
User [admin] from [84.176.211.8] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:45:55
Waarschuwing
Skraapie
admin
Connection
User [admin] from [77.21.195.77] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:58
Waarschuwing
Skraapie
admin
Connection
User [admin] from [175.182.7.161] failed to sign in to [DSM] via [password] due to authorization failure.
11-04-2023
16:44:09
Waarschuwing
Skraapie
admin
Connection
User [admin] from [14.48.28.154] failed to sign in to [DSM] via [password] due to authorization failure.
  • Mijn Synology: D920+
  • HDD's: 1x st2000 3x st 4000
  • Extra's: DS218 play Backup

Gemarkeerd als beste antwoord door dylan19 Gepost op 17 april 2023, 10:39:18

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Admin aanmeldingen vanaf random ip's
« Reactie #1 Gepost op: 11 april 2023, 17:10:22 »
Kijk even je firewall na, blokkeer alle landen behalve je eigen land (Nederland of België) en de landen waar je regelmatig eens verblijft.
Daarmee blokkeer je een heleboel ellende in één klap EN je blijft toegang houden voor je zelf
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Admin aanmeldingen vanaf random ip's
« Reactie #2 Gepost op: 11 april 2023, 18:35:47 »
Citaat
wat kan ik hier tegen doen?

Als je het admin account uit hebt en op al je accounts met admin-rechten 2FA gebruikt, kun je dit gewoon negeren. Inlogpogingen zijn er altijd. Om dat te totaal te voorkomen moet je de nas geen internet toegang geven.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Admin aanmeldingen vanaf random ip's
« Reactie #3 Gepost op: 11 april 2023, 19:47:12 »
Is wel erg rigoureus "geen internet toegang".

De niet bedoelde inlogpogingen die ik op mijn NAS apparaten heb gehad, zijn op één hand te tellen in jaren tijd.
(En waren nog te traceren door verkeerde inlogogingen van mijn dochter zelf via het IP-adres van haar school).
Die NAS apparaten zijn toch echt via internet te benaderen.  Inderdaad wel binnen een zeer beperkte regio.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline dylan19

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 15
Re: Admin aanmeldingen vanaf random ip's
« Reactie #4 Gepost op: 17 april 2023, 10:40:28 »
Bedankt,

Nieuwe firewall regels gemaakt en het is gestopt.
  • Mijn Synology: D920+
  • HDD's: 1x st2000 3x st 4000
  • Extra's: DS218 play Backup

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Admin aanmeldingen vanaf random ip's
« Reactie #5 Gepost op: 17 april 2023, 22:25:55 »
Even een aanvulling op mijn eigen post: merk je LAN IP-range ook aan als 'toegestaan', anders kom je je eigen NAS niet meer in vanaf je eigen LAN, maar als het goed is waarschuwt je NAS ook hiervoor.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Admin aanmeldingen vanaf random ip's
« Reactie #6 Gepost op: 20 april 2023, 02:57:01 »
Wil op dit onderwerp nog een aanvulling geven.
Bedoeld als waarschuwing, want er is kennelijk extra activiteit aan inlogpogingen.

Een kennis van mij kwam vorige week toevallig met informatie dat hij in zijn logbestanden dagelijks nogal wat inlogpogingen tegenkwam.
Hele lijsten, ondanks dat de Firewall was voorzien van regels met regio filtering alleen voor Nederland.
Heb het zaakje bij hem onderzocht en nog wat aanpassingen gedaan, wat kan helpen om alles nog scherper af te stellen.

Wat bleek ?
In zijn situatie betroffen het allemaal IP adressen met inlogpogingen vanuit "Nederland"  (Ziggo - KPN...).

Hackers maken schijnbaar gebruik van een  "botnet"  via geïnfecteerde PC's "binnen Nederland" om de regio filtering te omzeilen.

De aanval is specifiek gericht op "Synology NAS apparaten".
Men gaat daarbij uit dat gebruikers doorgaans de  -voorheen-  (vroeger) gebruikelijke "standaard" instellingen van een NAS inzetten.

- met een geactiveerd "admin" account (met  probeert in te loggen met de "admin" gebruikersnaam).
- de tijdsperiode van het maximaal aantal blokkeringen op "5 minuten" staat.
   (Zie vervolgmenu bij "beveiliging" om aantal inlogpogingen in te stellen).

   Indien deze tijd op "5 minuten" staat ingesteld (standaard waarde),  en men blijft onder het maximaal aantal inlogpogingen,
   (meestal staat het aantal inlogpogingen op 3x),  kan in principe  na die 5 minuten  weer opnieuw geprobeerd worden in te loggen.

   Men ziet dan één of twee inlogpogingen, telkens herhalen met tussenpozen van minimaal 8 minuten.
   Het is dus zaak die tijd veel hoger in te stellen,  bijv. 1440 minuten  =  24 uur  ---> of naar behoefte nog veel langer.

[ EDIT - 18-5-2023 ] Om verwarring met andere menu's te voorkomen, hier nog eens de afbeeldingen waar het om gaat.

Instellingen voor DSM 6          DSM 7

59436-0           59438-1



- De standaard DSM toegangspoorten 5000 / 5001
   Gebruik beter een "niet standaard" alternatieve poort voor DSM,
   als men al kiest voor directe externe toegang van de NAS via de DSM web-benadering.

   Ben ervan verzekerd dan alleen de poort voor  https  in te zetten (port forwarding voor de NAS),
   en niet de poort voor  http      Gebruik evt. nog een aanmelding via "Two factor autorisatie" = 2FA.
   (Beter is om bijv. nog een VPN verbinding in te zetten).

ICMP  in de router uit te schakelen.
   Zodat  "ping requests"  niet worden beantwoord.  (Men blijft op die wijze het meest "anoniem" als internetconnectie).

-  In de router alternatieve DNS-servers in te stellen die filtert op mogelijke malware.
    Cloudflare  DNS server IP adressen    1.0.0.2   en   1.1.1.2
    (Nog strengere "adult" filtering          1.0.0.3    en   1.1.1.3  ).




Voor de situatie van een Synology router, waarvoor vergelijkbare instellingen en aanbevelingen gelden.

(zowel bij  SRM 1.2.x  als  SRM 1.3.x )

59450-2

Hoeft  ICM  daarbij doorgaans niet extra uitgeschakeld te worden,
omdat Firewall regels meestal zodanig zijn opgezet, dat ICM daarmee reeds automatisch is uitgeschakeld.
(Met gebruik van een laatste "slot / eind" Firewall regel om alles te weigeren  -  en ervoor "ICM" niet expliciet is toegestaan
 Firewall SRM 1.2.x    -    Firewall SRM 1.3.x ).

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Admin aanmeldingen vanaf random ip's
« Reactie #7 Gepost op: 20 april 2023, 10:33:51 »
Waardevolle aanvulling @Babylonia !
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

Na uitschakelen admin als gebruiker is mijn NAS niet meer netwerk te benaderen.

Gestart door skinnyvodkaBoard File Station

Reacties: 3
Gelezen: 3559
Laatste bericht 27 mei 2014, 21:24:54
door Birdy
Alleen externe toegang met Admin, niet voor gebruikers.

Gestart door kkr300Board Synology DSM 5.1 en eerder

Reacties: 0
Gelezen: 1891
Laatste bericht 11 november 2012, 13:31:12
door kkr300
Admin interface niet te benaderen via 192.168.1.1 Bedraad wel via wifi

Gestart door FranckeMBoard Synology Router

Reacties: 33
Gelezen: 18555
Laatste bericht 11 januari 2016, 09:04:03
door Babylonia
hyperbackup admin problemen

Gestart door ronhooBoard Data replicator & overige backupsoftware

Reacties: 6
Gelezen: 2413
Laatste bericht 30 oktober 2020, 18:30:22
door Birdy
USB drive No Access als Admin

Gestart door ALKMAARBoard Externe harddisks en Printers

Reacties: 5
Gelezen: 1515
Laatste bericht 22 september 2023, 17:07:35
door Birdy