Hackers aanvallen

[JdM]

Heb sinds vandaag op mijn systeem dat er inlogpogingen zijn op DSM met gebruikersaccountnamen die ook heel specifiek zijn (en niet bekend).
Zo heb ik voor het maken van een backup een account gemaakt die zo heet (deze heet BACKUP) en er wordt letterlijk ook met hoofdletters op geprobeerd in te loggen.
Met dit account log ik verder nooit in, het heeft verder ook geen enkele machtiging, dus ik zou niet weten waar deze accountnaam moet zijn opgepikt. Alleen de NAS waar de account op draait en de NAS die er naartoe moet backuppen kent en gebruikt de naam.

[Briolet]

Dat klinkt zeer verontrustend omdat het er inderdaad op lijkt dat iets je wachtwoord heeft gelekt.


De kans dat dit op de nas gebeurd is, lijkt me klein. Maar misschien slaat de MailPlus cliënt de accountnamen in plain tekst op en heb je malware op het device waar de mail cliënt op draait.

[JdM]

Nou mijn geval is iets anders, want dit loopt niet via Mailplus, maar gewoon via DSM inlog (via QC)
Er zijn ook geen wachtwoorden gelekt, want inloggen lukt niet door degene die het probeert.
Het verontrustende in mijn ogen is vooralsnog vooral te vinden in de vraag hoe men aan de werkelijk gebruikte accountnamen komt. Er zijn meerdere synology gebruikers die een nieuwe accountnaam aanmaakten en dat daar direct ook op werd ingelogd. Dat zou dan (kunnen) betekenen dat er een keylogger draait oid die die nieuwe accountnaam oppikt.
Ik zal eens een nieuwe account aanmaken met een heel specifieke naam en kijken wat er gebeurt.

[Birdy]

Het verontrustende in mijn ogen is vooralsnog vooral te vinden in de vraag hoe men aan de werkelijk gebruikte accountnamen komt.

Het gaat hier over het account BACKUP,
Hackers hebben gewoon een lijst/database met de meest voorkomende Account namen, BACKUP zal daar best wel tussen staan en draaien gewoon een programma wereld wijd om te kijken staan er poorten open om vervolgens aan te kloppen.
Waar het om gaat, is dat men niet achter het Password komen, dus die moet heel sterk zijn, blokken van IP-adressen en Firewall instellingen.
Ik kan je verwijzen naar dit Topic en naar deze KB: Wat kan ik doen om de beveiliging van mijn Synology NAS te verbeteren? 

[Briolet]

Nou mijn geval is iets anders, want dit loopt niet via Mailplus, maar gewoon via DSM inlog (via QC)

Je had het bericht geplaatst achter een topic over mail plus. Dan moet ik toch aannemen dat het daar over gaat. Maar goed, ik zie dat Birdy (of een andere mad) je reactie nu afgesplitst heeft.

[snufduck]

Ik heb sinds gisteravond het zelfde probleem.
Ook inlog pogingen met gebruikers die niet bekend zijn op het systeem.

Wat mijn wel opvalt is dat het alleen maar gebeurd op de quickconnect adres.

[Briolet]

Ik heb sinds gisteravond het zelfde probleem.

Dat is juist NIET hetzelfde probleem, want je schrijft:

Ook inlog pogingen met gebruikers die niet bekend zijn op het systeem.

Dit soort inlogpogingen zijn namelijk standaard te verwachten als je de nas aan het internet hangt en daar zijn hier al honderden topics over.

[Birdy]

Zie Reactie #3

[Briolet]

Je conclusie in reactie #3 klopt niet.  Als het een brute force wachtwoord-aanval uit een woordenboek is, dan is het wel heel toevallig dat ze met de username 'BACKUP' beginnen. Dan had je eerst toch een paar duizend andere pogingen verwacht.

Het is niet gebruikelijk dat usernamen in full-caps aangemaakt worden, dus is dat niet het eerste wat je probeert bij een brute force. Ik kan me niet herinneren dat ik in mijn log een poging zag met een full-caps username.

[Birdy]

Ok maar, mijn verwijzing naar Reactie #3 ging mij meer om de links die ik daar heb gegeven m.b.t. de opmerking:

en daar zijn hier al honderden topics over.