Auteur Topic: Hack aanval op account niveau  (gelezen 5374 keer)

Offline Tonie_R

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 6
Hack aanval op account niveau
« Gepost op: 29 juli 2019, 09:58:01 »
De laatste paar weken wordt er geprobeerd om via een admin account in te breken op mijn synology nas. Ik heb de beveiliging nu zo strak gezet dat na x milukte pogingen binnen y tijd de account wordt geblokkeerd.
Hiervan heb ik op zich geen last, alleen dat er op account niveau wordt geprobeerd in te breken geeft mij geen fijn gevoel. Inmiddels heb ik al een aardige lijst met ip adressen die ik blokkeer.

suggesties?

  • Mijn Synology: DS218
  • HDD's: 2 x western digital

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.169
  • Fijne feestdagen.......
    • Truebase


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Hack aanval op account niveau
« Reactie #2 Gepost op: 29 juli 2019, 11:21:47 »
Zo werkt internet nu eenmaal. Stel je een eigen apparaat open, dan moet je ervan uitgaan dat er geprobeerd wordt in te breken. Enige remedie: goed beveiligen. Zie verder de link van Birdy.

Citaat
alleen dat er op account niveau wordt geprobeerd in te breken

Dit is bij mij niet echt accountniveau omdat er alleen met default account namen geprobeerd wordt. Er wordt niet geprobeerd andere inlognamen te bemachtigen.

Er is de laatste tijd vergrote interesse in nassen. Niet alleen de synology assen worden intensiever aangevallen dan in het verleden.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Hack aanval op account niveau
« Reactie #3 Gepost op: 29 juli 2019, 12:59:39 »
Je kan de firewall wat strakker zetten. Zelf heb ik daar China, India, Russische fedratie, Oekaïne, Turkije, Thailand en Brazilië al helemaal buitengesloten (scheelde al gauw zo'n 60% in aantal pogingen). Wel (voor de zekerheid) mijn eigen (interne) IP adresrsange op Altijd toestaan gezet.

Daarnaast automatisch blok op 3 inlogs binnen 30 minuten en nooit weer opgeheven. En ook daar mijn eigen IP-adres opgenomen onder Lijst toestaan. Dit om mezelfs door een domme actie niet buiten te sluiten.

Verder controleer ik regelmatig het logboek verbindingen op slimme jongens... hackertjes hebben al snel in de gaten dat ze er na 3 pogingen binnen een half uur uit liggen en gaan dan met een ander IP-adres over op tragere schema's, bijv. één keer per uur en soms op één keer per dag. Zo een voeg ik dan handmatig toe aan de bloklist.

Heel af en toe loop ik de bloklist nog 's door, daar staat vrijwel altijd het land van herkomst erachter, zou ik weer een land zien, dat me toch wel erg overdadig van blocks voorziet, dan zal ik dat land weer toevoegen aan de firewall-uitsluiting. En als ik er dan de moed voor zou hebben zou ik alle IP-blokkades uit dat land in de bloklist dan verwijderen. Daar heb je moed voor nodig, want dat verwijderen kan alleen maar een voor een... ach, en wat is voor een goede NAS nou het werk op duizend IP's te controleren? Dat stelt niets voor.

Mijn bloklist is dus intussen ruim 1000 IP's groot... maar de acties hebben wel tot gevolg, dat het aantal pogingen tot een enkele per dag is afgenomen. En daarvoor ben ik niet zo bang. We hebben allemaal sterke wachtwoorden, het adminaccount is uitgeschakeld, dus de kans dat hij met één poging per dag erdoor komt (als het al dezelfde is) is nagenoeg nul.
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Hack aanval op account niveau
« Reactie #4 Gepost op: 29 juli 2019, 13:06:53 »
Mijn bloklist is dus intussen ruim 1000 IP's groot...

Is dat veel? Ik zit over de 10 000.  :)

Omdat aanvallers anoniem willen zijn, gebruiken ze ook vaak het tor netwerk. Ik download periodiek de actuele IP nummers van de tor exit nodes en importeer die in mijn bloklist. Dat zijn er dan direct 7000 die je buiten de deur houdt. Die lijst met tor exit nodes vind je o.a. hier als tekst formaat.

De huidige grote aanval komt echter niet via tor, maar via een botnet van besmette PC's.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Hack aanval op account niveau
« Reactie #5 Gepost op: 29 juli 2019, 13:31:18 »
Dat van TOR: leerzaam... maar ik zie nu niet in waarom ik die 7000 zou toevoegen, als ik met de 1000 van mij al nagenoeg "schoon" ben.

En ook het via sleutel in een bestand van 10.000 adressen zoek stelt inderdaad niets voor.
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Hack aanval op account niveau
« Reactie #6 Gepost op: 29 juli 2019, 14:31:55 »
Je kan de firewall wat strakker zetten. Zelf heb ik daar China, India, Russische fedratie, Oekaïne, Turkije, Thailand en Brazilië al helemaal buitengesloten.

Dat is eigenlijk net precies "verkeerd om" gebruik maken van je firewall opties.  Niet handig en inefficiënt.

Het is makkelijker juist alleen toegang te verlenen voor de regio / land waar je bent (Nederland), een land waar familie woont,
--tenminste als je die toegang wilt geven,-- en eventueel tijdelijk nog een land waar je op vakantie bent.
En de rest uit te sluiten.  Ofwel de rest van de wereld wordt dan geblokkeerd.

Is de "buitenland" regio van familie erg groot,
kun je mogelijk beter de "losse" IP-adressen van hun internetaansluiting selectief toegang geven.

Mijn bloklist is dus intussen ruim 1000 IP's groot... maar de acties hebben wel tot gevolg, dat het aantal pogingen tot een enkele per dag is afgenomen.

Met regio blocking voor alleen toegang voor Nederland (en sporadisch even een ander land erbij), is mijn blocklist  0
Of sporadisch toevallig een enkele keer dat een bekende van mezelf (die toegang mag hebben),
net teveel pogingen heeft gedaan om in te kunnen loggen.  Ik controleer dan even welk IP-adres,
(bijv. de onderwijsinstelling waar mijn dochter op school zit is een keer geblokkeerd),
of het IP-adres van de bekende zelf, en bel dan ter controle even op, als ze zelf al niet hebben gebeld.
Die IP-adressen deblokkeer ik dan weer.  Daarna blijft het rustig.  Al jaren zo.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Hack aanval op account niveau
« Reactie #7 Gepost op: 29 juli 2019, 14:57:40 »
…Of sporadisch toevallig een enkele keer dat een bekende van mezelf (die toegang mag hebben),
net teveel pogingen heeft gedaan om in te kunnen loggen.  Ik controleer dan even welk IP-adres,

Daarom vind ik de blokkade via accountbeveiliging handiger. (Iets lager op de pagina waar je blokkeren ip IP niveau instelt).

Als je die iets strakker instelt dan de gewone blokkade, zal hij hier op blokkeren. Deze blokkade wordt na 1 uur automatisch weer vrijgegeven. Dan heb je er zelf minder werk aan als gebruikers vaak tikfouten maken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline ufosyno

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 71
  • Berichten: 488
Re: Hack aanval op account niveau
« Reactie #8 Gepost op: 29 juli 2019, 15:01:08 »
Babylonia, ijk begrijp je reactie volledig, maar als je een toch licht internationaal georiënteerde website hebt lopen, dan wil je toch ook dat de buitenlanders erbij kunnen? Ik sluit dus zo weinig mogelijk uit... dat was dus een keuze, ook nog 's gemaakt nadat ik zo goed mogelijk had bestudeerd in de statistieken waarvandaan de bezoeken daarop komen.

Blijkt maar weer eens te meer, dat het in de ICT wereld eigenlijk nooit draait om dé oplossing, maar om een oplossing.
  • Mijn Synology: ds720+
  • HDD's: 2 x WD40EFRX-68N32N0
  • Extra's: 6 gb RAM
Ik noem mijzelf een ervaren amateur, anderen noemen mij leuk gek, weer anderen.... ach, laat maar

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Hack aanval op account niveau
« Reactie #9 Gepost op: 29 juli 2019, 15:28:03 »
Babylonia, ijk begrijp je reactie volledig, maar als je een toch licht internationaal georiënteerde website hebt lopen,...

Dan doe je als enige die regio blocking voor poort 80 / 443 niet.
Wel voor de andere services die je mogelijk van buiten wilt benaderen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Hack aanval op account niveau
« Reactie #10 Gepost op: 29 juli 2019, 15:35:43 »
Het probleem van zwak wachtwoord los je alleen op door het sterk te maken.

Als je vaak logs leest/email krijgt eventueel poort wijzigen maar vergeet niet dat het wachtwoord dan nog steeds zwak is...niet veiliger dus.
Hetzelfde geldt natuurlijk ook voor applicaties die publiek toegankelijk zijn, die worden niet veiliger door de poort te wijzigen waarop ze luisteren... up-to-date houden dus.

En zoals @ufosyno reeds aangeeft is dat een one solution for all niet bestaat.
Laten we ook niet vergeten dat verreweg de meeste besmettingen door gebruikers zelf naar binnen worden getrokken.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Hack aanval op account niveau
« Reactie #11 Gepost op: 29 juli 2019, 15:42:24 »
Daarom vind ik de blokkade via accountbeveiliging handiger. (Iets lager op de pagina waar je blokkeren ip IP niveau instelt).

Als je die iets strakker instelt dan de gewone blokkade, zal hij hier op blokkeren. Deze blokkade wordt na 1 uur automatisch weer vrijgegeven. Dan heb je er zelf minder werk aan als gebruikers vaak tikfouten maken.

Voor dat handjevol in enkele jaren is dat eigenlijk niet eens de moeite waard.

In een andere situatie waar ik het beheer over een NAS heb "zou het handig kunnen zijn",
maar heb daarbij dan minder controle of niet op andere wijze verkeerd gebruik wordt gemaakt van een account?
In de slordigheid zouden gegevens daarbij ook in verkeerde handen kunnen vallen.
Dus wil juist expliciet op de hoogte zijn van de betreffende persoon zelf of het klopt.

Maar bedankt voor deze suggestie.   ;)
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Hack aanval op account niveau
« Reactie #12 Gepost op: 29 juli 2019, 16:56:25 »
In een andere situatie waar ik het beheer over een NAS heb "zou het handig kunnen zijn",
maar heb daarbij dan minder controle of niet op andere wijze verkeerd gebruik wordt gemaakt van een account?

Volgens mij zijn beide methoden van goed. Als je accountbeveiliging aanzet dan maakt hij onderscheid tussen apparaten die al eens succesvol ingelogd zijn (vertrouwde cliënten) en apparaten die voor het eerst inloggen (onbetrouwbare cliënten).

Ik heb zelf gekeken en zie dat ik vertrouwde cliënten toesta om 4x fout in te loggen en dan al weer na 5 minuten deblokkeer. Onbetrouwbare cliënten blokkeer ik na 2 foute pogingen en dan een vol uur. En met slechts 2 pogingen per uur werkt een bruteforce aanval niet echt.

Merk wel op dat hij cliënten aan de browser karakteristieken herkent. Dus na een browser update of andere grote verandering aa de brouwer, ziet hij het weer als een nieuw cliënt.

Wel jammer dat dit niet in het standaard log komt. Ik gebruik al jaren de syslog server op de nas. Ik laat de meldingen op de hoofdnas ook naar zijn eigen syslog server schrijven. Daar komen al deze geblokkeerde inlogs wel in terecht met de geprobeerde accountnaam.

En de accountbeveiliging is alleen voor inloggen met browsers en ds apps. Voor ftp, ssh, mailserver etc gebruikt hij alleen de gewone blokkeer optie.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Hack aanval op account niveau
« Reactie #13 Gepost op: 29 juli 2019, 20:09:16 »
Als je accountbeveiliging aanzet dan maakt hij onderscheid tussen apparaten die al eens succesvol ingelogd zijn (vertrouwde cliënten) en apparaten die voor het eerst inloggen (onbetrouwbare cliënten).

Ik heb bij de organisatie m.b.t. die NAS wel eens briefjes gevonden met wachtwoorden.
Ook worden "opengeklapt" laptops op een bureau wel eens even alleen gelaten,
en zou een ander er gebruik van kunnen maken die niet bevoegd is.
Vandaar dat bij een blocking van een account ik zelf wil controleren bij de persoon in kwestie wat er aan de hand is.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Hack aanval op account niveau
« Reactie #14 Gepost op: 29 juli 2019, 20:42:49 »
Ja briefjes en open PC's gebeurt veel.
Werk veel bij verbouwingen en als ik zou willen... ook in server ruimten!
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp


 

Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 4012
Laatste bericht 22 februari 2007, 21:04:10
door Frank
'hack' statistieken

Gestart door hansiedownBoard Mail Server

Reacties: 30
Gelezen: 6904
Laatste bericht 01 februari 2016, 20:35:52
door hansiedown
HELP !!! problemen om in mijn Synology als gebruiker in te loggen door hack pog

Gestart door henkksdBoard Synology DSM algemeen

Reacties: 13
Gelezen: 3433
Laatste bericht 23 juni 2017, 18:48:53
door Knakkel
Bitcoin miner hack verwijderen

Gestart door FreakyBoard Synology DSM 5.1 en eerder

Reacties: 4
Gelezen: 2169
Laatste bericht 28 februari 2014, 09:43:22
door JeroenVanOmme
Gestolen NSA hack-tools, MS timmert niet alles dicht!

Gestart door m4v3r1ckBoard The lounge

Reacties: 7
Gelezen: 1900
Laatste bericht 17 april 2017, 00:27:28
door aliazzz