Auteur Topic: Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?  (gelezen 805 keer)

Offline Robertio

  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 3
  • Berichten: 57
Twijfel, wat te doen?

Ik ervaar fors veel aanvallen de laatste weken (no worries; ADMIN inactief, na 2 aanmeldingen block, firewall actief met slimme regels en bekend met Shodan). Over het algemeen maak ik me geen zorgen. Wel heeft de firewall recent poorten dichtgezet en die is nieuw voor mij? Normaal zie ik in het log alleen de blocks van gehackte IP's.

Waar ik nu mee struggle is dat een van de aanvallen met e-mailadres zichtbaar is, terwijl de opvolgende aanval alleen zijn IP laat zien (zie bijlage). Nu kan het een gehackte PC zijn, maar de afzender is ook nog eens een engineer!!!

Wat zouden jullie doen? Mail sturen, aangifte...???
  • Mijn Synology: DS415Play
  • HDD's: 3 x 3TB Seagate

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Niet teveel tijd insteken.
Kan vb afkomstig zijn van een geinfecteerde PC, zonder dat de eigenaar dit mischien weet.
Anyway het mdhmx.com domein is ook niet echt super transparant precies.

Kortom, gewoon beschouwen als Internet "ruis" en negeren en accepteren dat als je een NAS toegangkelijk maakt je dit soort dingen moet verwachten.
Mijn firewall heeft zo altijd > 8000 entries staan.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Ik weet niet of een aangifte wel zin heeft echter, als je vermoedt dat er misbruik gemaakt wordt van dat emailadres, zou je een e-mail kunnen wagen.
Maar ja, misschien is de eigenaar van dat emailadres zelf de hacker, je weet het gewoon niet, ook al is het een engineer.

In ieder geval is het IP-adres van VPN Provider Strong Technology



CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Nu kan het een gehackte PC zijn, maar de afzender is ook nog eens een engineer!!!

Maar ook een "engineer" (what's in a name?) kan worden gehackt.

Zou verder geen e-mail sturen of aangifte doen, naar die persoon.
Dat zijn PC mogelijk met een  "botnet" is geïnfecteerd, is zijn probleem. (Of is mogelijk de "hacker" zelf wat anderen opperen).
Je zou een dagtaak kunnen vullen om alle mensen die zijn besmet / gehackt te waarschuwen.

Om je eigen beveiliging goed op orde te zetten.
Voor connectie van buitenaf, gebruik in je Firewall filteringen op "regio" niveau.
Lees verder ook nog eens < DEZE reactie >  als aanvulling bij een onderwerp waarbij toenemende inlogpogingen worden vastgesteld.

Meer over firewall regels voor Synology routers en NAS (= vergaand hetzelfde principe),  < HIER >
Met onderaan in het eerste bericht een aantal verwijzingen naar voorbeelden met opstellen firewall regels specifiek voor een NAS.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Robertio

  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 3
  • Berichten: 57
Eigenlijk allemaal nuttige aanvullingen. Dat ICMP (router) ga ik ff uitzoeken, de rest staat goed.

Ik ga verder niet reageren op die snuiter die gehackt is, of de hacker zelfs is. Ik vond alleen de combi naam, IP en functie verdacht.
Nu ik jullie toch op de lijn heb...wellicht moet dit in een nieuw draadje (maar dan hoor ik Birdy wel :-))

Volgens mij staan mijn firewall rules niet goed (regel 2,3 en 4 zijn mijn IP ranges, zonder subnet), want voor de 2e keer heeft DSM 3 poorten geblokkeerd waardoor ik niet meer met DDNS kan loggen. Bovendien zet DSM automatisch de bovenste regel erbij?!!! Ik doe dat niet zelf. Klopt dat wel, of heb ik een issue? Bij verbonden gebruikers zie ik geen vreemde logs.
  • Mijn Synology: DS415Play
  • HDD's: 3 x 3TB Seagate

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
De schermafdruk bekeken, heb je de instellingen van je firewall echt verkeerd.
De eerste regel begint al dat je de toegang voor DSM  - met "Alles" voor Bron IP,  vanuit  "heel de wereld"  toestaat.

Met je opmerking:   "Bovendien zet DSM automatisch de bovenste regel erbij?!!!"

Kwestie om de mogelijkheid van het automatisch aanmaken van regels uit te schakelen.

Echt aan te raden de eerder gegeven link < DEZE reactie > als geheel door te nemen voor het principe.
Is wel voor een Synology router opgezet, maar de firewall van een NAS gelden vergelijkbare regels.
(Vergelijkbaar spreek ik ook daar om instellingen voor "automatische" aanmaak van firewall regels uit te schakelen,
omdat die automatische regels IMO veel te ruimhartig zijn als set-up. Dan heb je er nog weinig controle over).

Met onderaan in het eerste bericht een aantal verwijzingen naar voorbeelden met opstellen firewall regels specifiek voor een NAS.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Robertio

  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 3
  • Berichten: 57
Het gaat dus juist om die eerste regel @Babylonia , die heb ik dus niet zelf aangemaakt?! Ik heb 'm nu weer verwijderd, maar gek toch?
Mijn regels waren zoals zichtbaar in de bijlage screenshot. Ik had beheergebruiksinterface er helemaal niet bij staan, mede omdat ik alleen deze poorten gebruik. 
60433-0
[ Gespecificeerde bijlage is niet beschikbaar ]
Ik heb een netwerk met een Unifi router. Daar heb ik de poorten geforward. Maar Unifi en DSM zijn verder gescheiden systemen.
Hoe komt die regel er dan bij te staan en hoe kan het dat de poorten 5000, 5001 en nog 1 geblokkeerd worden waardoor ikzelf niet meer in DSM kan met DDNS?

Dus verkapt is de vraag, ben ik wellicht toch gehackt of is dit verklaarbaar?

Sorry, krijg die bijlages niet goed voor elkaar in de tekst.
  • Mijn Synology: DS415Play
  • HDD's: 3 x 3TB Seagate

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Als UPnP aan staat in je Router, dan kan DSM zelf poorten forwarden.
Als dat zo is, dan UPnP uitzetten, zie dit Topic.
Kijk ook in DSM > Configuratiescherm > Externe toegang > Routerconfiguratie of je Router is ingesteld.
Of, misschien vroeger ingesteld gehad ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Ik heb een netwerk met een Unifi router. Daar heb ik de poorten geforward. Maar Unifi en DSM zijn verder gescheiden systemen.
Hoe komt die regel er dan bij te staan en hoe kan het dat de poorten 5000, 5001 en nog 1 geblokkeerd worden waardoor ikzelf niet meer in DSM kan met DDNS?

Inderdaad wat  @Birdy in het kort beschrijft:  UPnP (Universal Plug and Play)  instellingen gooien nogal wat roet in het eten.

Ondanks router en NAS "gescheiden" systemen zijn, geeft het apparaten de mogelijkheid toch te morrelen aan instellingen van een router.
(Bijv. middels een netwerk wizard binnen de NAS).   Maar dat niet alleen.
Ook allerlei andere programmacode in bijv. web-pagina's, apps, en wat al dies meer zij, kunnen aanpassingen doorvoeren.

De verwijzing naar één pagina bij  Security.nl uit 2015  dekt wellicht niet de lading die het het nog steeds heeft.
Zie veel ruimer het aantal "hits" met de juiste zoekactie bij  < security.nl  met zoekwoord UPnP en router >      -       < alleen op UPnP >

Heb je poorten door te sturen, regel dat strikt handmatig in de router zelf.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Robertio

  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 3
  • Berichten: 57
Re: Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?
« Reactie #10 Gepost op: 29 oktober 2023, 16:05:36 »
UPnP staat zeker uit @Birdy en @Babylonia , controle over poorten regel ikzelf. Unifi router kennis zit wel goed.
Ook geen router ingesteld in DSM omdat ik port forwarding vanuit mijn Unifi router regel.

Ik kan mijn vraag inmiddels wel concreter maken, want de DSM firewall heeft weer 3 poorten dichtgezet. Zie bijlage.
Als ik deze dus bevestig, komen dus die firewall regels waar ik het hieronder over had (beheer gebruikersinterface) erbij. En die regels zetten dus alles wagenwijd open.

Wat ik dus graag wil weten, is waarom DSM firewall die poorten geblokkeerd heeft? Heeft dat met de hoeveelheid aanvallen te maken? Ik heb er op het moment veel last van namelijk, zie bijlage.
Ik hoop dat iemand me kan helpen? Ik kan de firewall natuurlijk uitschakelen en vertrouwen op de blocks, maar dat voelt minder prettig.
  • Mijn Synology: DS415Play
  • HDD's: 3 x 3TB Seagate

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?
« Reactie #11 Gepost op: 29 oktober 2023, 16:35:54 »
OK, UPnP op de router niet ingeschakeld  -  en geen gebruik van een wizard, komen er geen automatische port forwarders bij.

Komt het aan op de firewall in de NAS zelf, voor zover het gaat om de poorten die je in de router als "algemeen" hebt doorgestuurd.
(Port forwarders maken op zichzelf bijv. geen onderscheid in regio.  Als mogelijkheden in een Unfi router verder beperkt zijn
om op dat niveau reeds firewall regels op te zetten, doe je dat in de NAS zelf).

Ik kan mijn vraag inmiddels wel concreter maken, want de DSM firewall heeft weer 3 poorten dichtgezet. Zie bijlage.
Als ik deze dus bevestig, komen dus die firewall regels waar ik het hieronder over had (beheer gebruikersinterface) erbij.

Eerder al aangegeven om alle menu's m.b.t. automatisch in te stellen Firewall regels "uit te schakelen".
Zolang dat nog wel gebeurt, heb je dat dus niet afdoende uitgeschakeld.

Er zit nog wel verschil of met wel- of niet geactiveerde poorten "in de NAS", daar een vervolg aan is gegeven,
met overeenkomstige poorten in de router, of die ook daadwerkelijk zijn doorgestuurd?
"Meldingen" in de NAS gaan alleen uit van de situatie in de NAS.

Gewoon dubbel controleren.

Eventueel controleer je nog met mogelijkheden van "Shields UP"   ---->  Meer info wat verdere naar beneden bij < eerste reactie >.


Verder zie ik in je eerdere reactie nog wel een schermafbeelding voor FTP poort 21

Daarbij gaat het om een niet versleutelde verbinding.
Tenzij je in firewall regels zeer expliciet op een enkel vast WAN IP-adres filtert (en dat zou al bedenkelijk gevonden kunnen worden),
zou ik poort 21 helemaal niet gebruiken. Beter een versleutelde SFTP verbinding, en gebruik mogelijk alternatieve poorten voor services.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?
« Reactie #12 Gepost op: 29 oktober 2023, 18:00:04 »
Citaat
Waar ik nu mee struggle is dat een van de aanvallen met e-mailadres zichtbaar is,

Dit is niets bijzonders. Hij gebruikt gewoon een e-mail adres als inlognaam.  Als je b.v. via LDAP inlogt op de nas, heb je ook een e-mail adres als inlognaam. Dus op zich niet vreemd dat men dit probeert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Robertio

  • Bedankjes
  • -Gegeven: 40
  • -Ontvangen: 3
  • Berichten: 57
Re: Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?
« Reactie #13 Gepost op: 29 oktober 2023, 21:35:58 »
Regel PF poort 21 verwijderd. Goede tip @Babylonia
Shield-up gebookmarked, duik ik morgen even in.

Thanks all.
  • Mijn Synology: DS415Play
  • HDD's: 3 x 3TB Seagate


 

DS214play staat na recente update vaak vast (DSM 5.0-4493 Update 4)

Gestart door hart4synologyBoard Synology DSM 5.1 en eerder

Reacties: 15
Gelezen: 7038
Laatste bericht 10 september 2014, 22:06:46
door Birdy
Documenten en bestanden kopiëren tussen twee NASsen

Gestart door RicoKBoard Synology DSM 6.2

Reacties: 12
Gelezen: 2937
Laatste bericht 27 maart 2021, 19:52:41
door RicoK
Bewegingsmelding alleen cams binnen zodra home mode op afwezig staat.

Gestart door Ray308Board Surveillance Station

Reacties: 25
Gelezen: 2060
Laatste bericht 04 februari 2023, 12:55:39
door Ray308
Databackuppen tussen 2 Syno's over het internet

Gestart door BinnetieBoard Data replicator & overige backupsoftware

Reacties: 5
Gelezen: 8673
Laatste bericht 22 juni 2011, 18:34:38
door klen
Kan optie Surveillance modus wisselen tussen home en away niet vinden

Gestart door ujjainBoard Surveillance Station

Reacties: 0
Gelezen: 1673
Laatste bericht 14 juni 2017, 09:27:45
door ujjain