Er staat een emailadres tussen aanvallers NAS, persoon is ook Engineer. Wat nu?

[Robertio]

Twijfel, wat te doen?

Ik ervaar fors veel aanvallen de laatste weken (no worries; ADMIN inactief, na 2 aanmeldingen block, firewall actief met slimme regels en bekend met Shodan). Over het algemeen maak ik me geen zorgen. Wel heeft de firewall recent poorten dichtgezet en die is nieuw voor mij? Normaal zie ik in het log alleen de blocks van gehackte IP's.

Waar ik nu mee struggle is dat een van de aanvallen met e-mailadres zichtbaar is, terwijl de opvolgende aanval alleen zijn IP laat zien (zie bijlage). Nu kan het een gehackte PC zijn, maar de afzender is ook nog eens een engineer!!!

Wat zouden jullie doen? Mail sturen, aangifte...

[DSGebruiker]

Niet teveel tijd insteken.
Kan vb afkomstig zijn van een geinfecteerde PC, zonder dat de eigenaar dit mischien weet.
Anyway het mdhmx.com domein is ook niet echt super transparant precies.

Kortom, gewoon beschouwen als Internet "ruis" en negeren en accepteren dat als je een NAS toegangkelijk maakt je dit soort dingen moet verwachten.
Mijn firewall heeft zo altijd > 8000 entries staan.

[Birdy]

Ik weet niet of een aangifte wel zin heeft echter, als je vermoedt dat er misbruik gemaakt wordt van dat emailadres, zou je een e-mail kunnen wagen.
Maar ja, misschien is de eigenaar van dat emailadres zelf de hacker, je weet het gewoon niet, ook al is het een engineer.

In ieder geval is het IP-adres van VPN Provider Strong Technology

[Birdy]

Is mdhmx.com valid?

[Babylonia]

Nu kan het een gehackte PC zijn, maar de afzender is ook nog eens een engineer!!!

Maar ook een "engineer" (what's in a name?) kan worden gehackt.

Zou verder geen e-mail sturen of aangifte doen, naar die persoon.
Dat zijn PC mogelijk met een  "botnet" is geïnfecteerd, is zijn probleem. (Of is mogelijk de "hacker" zelf wat anderen opperen).
Je zou een dagtaak kunnen vullen om alle mensen die zijn besmet / gehackt te waarschuwen.

Om je eigen beveiliging goed op orde te zetten.
Voor connectie van buitenaf, gebruik in je Firewall filteringen op "regio" niveau.
Lees verder ook nog eens < DEZE reactie >  als aanvulling bij een onderwerp waarbij toenemende inlogpogingen worden vastgesteld.

Meer over firewall regels voor Synology routers en NAS (= vergaand hetzelfde principe),  < HIER >
Met onderaan in het eerste bericht een aantal verwijzingen naar voorbeelden met opstellen firewall regels specifiek voor een NAS.

[Robertio]

Eigenlijk allemaal nuttige aanvullingen. Dat ICMP (router) ga ik ff uitzoeken, de rest staat goed.

Ik ga verder niet reageren op die snuiter die gehackt is, of de hacker zelfs is. Ik vond alleen de combi naam, IP en functie verdacht.
Nu ik jullie toch op de lijn heb...wellicht moet dit in een nieuw draadje (maar dan hoor ik Birdy wel :-))

Volgens mij staan mijn firewall rules niet goed (regel 2,3 en 4 zijn mijn IP ranges, zonder subnet), want voor de 2e keer heeft DSM 3 poorten geblokkeerd waardoor ik niet meer met DDNS kan loggen. Bovendien zet DSM automatisch de bovenste regel erbij?!!! Ik doe dat niet zelf. Klopt dat wel, of heb ik een issue? Bij verbonden gebruikers zie ik geen vreemde logs.

[Babylonia]

De schermafdruk bekeken, heb je de instellingen van je firewall echt verkeerd.
De eerste regel begint al dat je de toegang voor DSM  - met "Alles" voor Bron IP,  vanuit  "heel de wereld"  toestaat.

Met je opmerking:   "Bovendien zet DSM automatisch de bovenste regel erbij?!!!"

Kwestie om de mogelijkheid van het automatisch aanmaken van regels uit te schakelen.

Echt aan te raden de eerder gegeven link < DEZE reactie > als geheel door te nemen voor het principe.
Is wel voor een Synology router opgezet, maar de firewall van een NAS gelden vergelijkbare regels.
(Vergelijkbaar spreek ik ook daar om instellingen voor "automatische" aanmaak van firewall regels uit te schakelen,
omdat die automatische regels IMO veel te ruimhartig zijn als set-up. Dan heb je er nog weinig controle over).

Met onderaan in het eerste bericht een aantal verwijzingen naar voorbeelden met opstellen firewall regels specifiek voor een NAS.

[Robertio]

Het gaat dus juist om die eerste regel @Babylonia , die heb ik dus niet zelf aangemaakt?! Ik heb 'm nu weer verwijderd, maar gek toch?
Mijn regels waren zoals zichtbaar in de bijlage screenshot. Ik had beheergebruiksinterface er helemaal niet bij staan, mede omdat ik alleen deze poorten gebruik. 

[ Gespecificeerde bijlage is niet beschikbaar ]
Ik heb een netwerk met een Unifi router. Daar heb ik de poorten geforward. Maar Unifi en DSM zijn verder gescheiden systemen.
Hoe komt die regel er dan bij te staan en hoe kan het dat de poorten 5000, 5001 en nog 1 geblokkeerd worden waardoor ikzelf niet meer in DSM kan met DDNS?

Dus verkapt is de vraag, ben ik wellicht toch gehackt of is dit verklaarbaar?

Sorry, krijg die bijlages niet goed voor elkaar in de tekst.

[Birdy]

Als UPnP aan staat in je Router, dan kan DSM zelf poorten forwarden.
Als dat zo is, dan UPnP uitzetten, zie dit Topic.
Kijk ook in DSM > Configuratiescherm > Externe toegang > Routerconfiguratie of je Router is ingesteld.
Of, misschien vroeger ingesteld gehad ?

[Babylonia]

Ik heb een netwerk met een Unifi router. Daar heb ik de poorten geforward. Maar Unifi en DSM zijn verder gescheiden systemen.
Hoe komt die regel er dan bij te staan en hoe kan het dat de poorten 5000, 5001 en nog 1 geblokkeerd worden waardoor ikzelf niet meer in DSM kan met DDNS?

Inderdaad wat  @Birdy in het kort beschrijft:  UPnP (Universal Plug and Play)  instellingen gooien nogal wat roet in het eten.

Ondanks router en NAS "gescheiden" systemen zijn, geeft het apparaten de mogelijkheid toch te morrelen aan instellingen van een router.
(Bijv. middels een netwerk wizard binnen de NAS).   Maar dat niet alleen.
Ook allerlei andere programmacode in bijv. web-pagina's, apps, en wat al dies meer zij, kunnen aanpassingen doorvoeren.

De verwijzing naar één pagina bij  Security.nl uit 2015  dekt wellicht niet de lading die het het nog steeds heeft.
Zie veel ruimer het aantal "hits" met de juiste zoekactie bij  < security.nl  met zoekwoord UPnP en router >      -       < alleen op UPnP >

Heb je poorten door te sturen, regel dat strikt handmatig in de router zelf.

[Robertio]

UPnP staat zeker uit @Birdy en @Babylonia , controle over poorten regel ikzelf. Unifi router kennis zit wel goed.
Ook geen router ingesteld in DSM omdat ik port forwarding vanuit mijn Unifi router regel.

Ik kan mijn vraag inmiddels wel concreter maken, want de DSM firewall heeft weer 3 poorten dichtgezet. Zie bijlage.
Als ik deze dus bevestig, komen dus die firewall regels waar ik het hieronder over had (beheer gebruikersinterface) erbij. En die regels zetten dus alles wagenwijd open.

Wat ik dus graag wil weten, is waarom DSM firewall die poorten geblokkeerd heeft? Heeft dat met de hoeveelheid aanvallen te maken? Ik heb er op het moment veel last van namelijk, zie bijlage.
Ik hoop dat iemand me kan helpen? Ik kan de firewall natuurlijk uitschakelen en vertrouwen op de blocks, maar dat voelt minder prettig.

[Babylonia]

OK, UPnP op de router niet ingeschakeld  -  en geen gebruik van een wizard, komen er geen automatische port forwarders bij.

Komt het aan op de firewall in de NAS zelf, voor zover het gaat om de poorten die je in de router als "algemeen" hebt doorgestuurd.
(Port forwarders maken op zichzelf bijv. geen onderscheid in regio.  Als mogelijkheden in een Unfi router verder beperkt zijn
om op dat niveau reeds firewall regels op te zetten, doe je dat in de NAS zelf).

Ik kan mijn vraag inmiddels wel concreter maken, want de DSM firewall heeft weer 3 poorten dichtgezet. Zie bijlage.
Als ik deze dus bevestig, komen dus die firewall regels waar ik het hieronder over had (beheer gebruikersinterface) erbij.

Eerder al aangegeven om alle menu's m.b.t. automatisch in te stellen Firewall regels "uit te schakelen".
Zolang dat nog wel gebeurt, heb je dat dus niet afdoende uitgeschakeld.

Er zit nog wel verschil of met wel- of niet geactiveerde poorten "in de NAS", daar een vervolg aan is gegeven,
met overeenkomstige poorten in de router, of die ook daadwerkelijk zijn doorgestuurd?
"Meldingen" in de NAS gaan alleen uit van de situatie in de NAS.

Gewoon dubbel controleren.

Eventueel controleer je nog met mogelijkheden van "Shields UP"   ---->  Meer info wat verdere naar beneden bij < eerste reactie >.


Verder zie ik in je eerdere reactie nog wel een schermafbeelding voor FTP poort 21

Daarbij gaat het om een niet versleutelde verbinding.
Tenzij je in firewall regels zeer expliciet op een enkel vast WAN IP-adres filtert (en dat zou al bedenkelijk gevonden kunnen worden),
zou ik poort 21 helemaal niet gebruiken. Beter een versleutelde SFTP verbinding, en gebruik mogelijk alternatieve poorten voor services.

[Briolet]

Waar ik nu mee struggle is dat een van de aanvallen met e-mailadres zichtbaar is,

Dit is niets bijzonders. Hij gebruikt gewoon een e-mail adres als inlognaam.  Als je b.v. via LDAP inlogt op de nas, heb je ook een e-mail adres als inlognaam. Dus op zich niet vreemd dat men dit probeert.

[Robertio]

Regel PF poort 21 verwijderd. Goede tip @Babylonia
Shield-up gebookmarked, duik ik morgen even in.

Thanks all.