Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: mener op 21 november 2017, 12:05:38
-
Ik zie dat afgelopen nacht rond half 4 iemand heeft ingelogd met het admin account op mijn Synology. Deze persoon was afkomstig van ip adres 125.227.147.112 (komt uit bij 1 of andere Chinese website www.hinet.net). Kan dit te maken hebben met een support request die ik uit heb staan bij Synology? Of moet ik me zorgen gaan maken?
Als het Synology support is snap ik alleen niet zo goed waarom ze zijn ingelogd in DSM, volgens hun email zouden ze inloggen met SSH...
-
Ik zou mijn omgeveing maar eens een stuk beter beveiligen. De meeste aanvallen en malversaties komen uit China
Synology zal dit naar mijn mening niet geweest zijn
-
Synology komt uit Taiwan en geven je van te voren met welke ip adressen ze binnenkomen.
-
Of Synology uit Taiwan of China komt ligt aan wie je bent. China ziet Taiwan nog steeds als een stuk China. Maar naar Europees begrip is dat een zelfstandig land en komt dat IP adres niet uit China, maar uit Taiwan. En hinet.net is wat Synology gebruikt.
Misschien komen ze op DSM binnen omdat SSH niet goed open staat voor hen?
-
Ik ging ervan uit dat de karakters op die website Chinees waren maar ik zie nu dat hinet.net wel uit Taiwan afkomstig is.
Ze hebben me overigens niet laten weten van welk ip-adres ze zouden komen.
Daarnaast vind ik het vreemd dat ze in 1 keer zijn ingelogd, zonder ook maar 1 foutieve login.
Oh sorry @Briolet, ik zie net pas je antwoord.... Bedankt dat stelt me weer gerust :)
-
Daarnaast vind ik het vreemd dat ze in 1 keer zijn ingelogd, zonder ook maar 1 foutieve login.
Zou het zo kunnen zijn dat je je admin account nog default aan hebt staan ?
Stap 1 in je beveiliging: maak een nieuw account aan voor jezelf met administrator rechten en
blokkeer (of verwijder) het default 'admin' acoount.
'Admin' is het eerste waar potentiele hackers naar op zoek gaan.
Peter
-
Het admin account heb ik altijd openstaan, wel beveiligd met een wachtwoord van meer dan 30 karakters. En ik zie daar normaal gesproken nooit activiteit op, ik houd de logs dagelijks bij. En gisteren moest ik mijn admin account + (tijdelijk vervangende) wachtwoord aan Support doorgeven.
-
Je moet, als je een afspraak hebt met Synology Support, de aanwijzingen die je gehad moet hebben per mail, goed opvolgen, dan kan er gewoon niets misgaan.
Ik heb dit al een paar keer meegemaakt en werkte zoals het hoorde.
-
Dat heb ik uiteraard ook gedaan! :)
-
Synology gebruikt voor de support een van de onderstaande drie ip adressen:
118.163.127.250
125.227.147.112
125.227.250.76
Deze zet ik in de firewall regels open bij support
-
Goed plan en bedankt
-
Synology zal dit naar mijn mening niet geweest zijn
Dus wel!
-
Die adressen kreeg ik ook door in de instructie-mail, een maand geleden dus, waarom @mener die niet gekregen heeft ?
Geen idee dan.
-
Dit is wat er in het mailtje stond:
To look deeper into this issue, please follow the instructions below and provide the information requested, so that we can check your system from here.
Remote Access Instructions
==============================================================================
For DSM 5.0:
1. Please provide the Support Identification Key in Support Center to us and enable remote access.
2. Enable SSH service in Control Panel > Terminal & SNMP
3. Tell us your temporary password for the admin account on your Synology NAS.
Note 1: Other user accounts with admin privilege won't work.
Note 2: The temporary password should not be too simple and must contain numbers and letters.
Please also enable Auto Block in Control Panel > Security to enhance system security.
We will not disclose/access any of your private data. Please offer us the remote access for troubleshooting purposes. Thank you.
Ik vroeg me ook al af waarom dit over DSM 5.0 ging, ik gebruik toch echt de laatste DSM 6.1
-
ik gebruik toch echt de laatste DSM 6.1
En dat heb je ook opgegeven ?
Als ik een Ticket inleg, dan gebruik ik altijd mijn Synology Account, dan gaat het altijd goed, alleen even het juiste OS (DSM) versie kiezen.
-
Ja hoor, stond ook gewoon genoemd in de summary van mijn probleem toen ik het eerste antwoord van ze kreeg.
-
Die DSM 5.0 instructie komt gewoon uit een oud formblad. Blijkbaar hebben ze één voor DSM 5 en 6 samen. Ik heb het even nagekeken.
Ik heb uit jan 2016 een mailtje met identieke instructies gekregen. Maar in het aangehechte formblad met mijn melding stond DSM 6.0
Ik mis in de instructie de mededeling dat je poort 22 ook moet forwarden in de router. Is natuurlijk vanzelfsprekend, maar toch.
In 2014 stond er nog in de instructie:
2. Please enable the TELNET and SSH function in Web Management of your Synology NAS. ([Network Service] > [Terminal] )
3. WAN IP Address of your Synology NAS:
[Please go to http://www.yougetsignal.com/tools/open-ports/ and check if the port is open or not]
Bij punt 3 verzoeken ze om expliciet te testen of poort 22 bereikbaar is. (Dat je moet forwarden wordt ook als vanzelfsprekend beschouwd)
(Off topic: IK heb overigens geen idee wat dat voor port checking site is. Om de een of andere reden heeft Pi-Hole deze site op hun blocklist staan)
-
Op zich is het vanzelfsprekend dat ook poort 22 geopend moet worden voor SSH toegang. Maar met Quickconnect kunnen ze ook omzeilen dat je bepaalde poorten moet openzetten. Vandaar ook dat ik poort 22 niet heb open staan en dat ik ze gisteren in een antwoord gevraagd heb of dat noodzakelijk is, heb daarop nog geen antwoord.
Vandaar dus dat ze waren ingelogd op DSM ipv via SSH. Ik zal die poort nu dan toch maar open zetten. Ik verwacht dat ik vanaf dan de logs extreem goed in de gaten moet houden, alhoewel een firewall profiel is nu best een goed idee.
-
Afgelopen nacht is mijn probleem (https://www.synology-forum.nl/synology-dsm-6-1/dsm-6-1-4-15217-niet-in-download-center!!/msg236080/#msg236080) door Synology opgelost. En inderdaad kwamen ze wederom van dit ip-adres. Dikke thumbs up :thumbup: voor Synology support dat ze zelfs op mijn Nas, die toch al redelijk oud is, dit probleem hebben opgelost (al was het door hen zelf veroorzaakt)!