admin account uitgeschakeld (mogelijk na externe aanval)

[Atmikes]

Hallo,

Ik weet nog niet goed wat er exact gebeurd is maar deze nacht rond 01:00 zijn er een aantal mails binnen gekomen dat de verbinding met de ddns service van Synology verbroken was en terug ok, terug vebroken enz..

Op de RS815+ is de admin account nu niet meer bereikbaar "De Account of het wachtwoord is ongeldig, probeer het later opnieuw"

Accounts met minder rechten hebben nog wel toegang tot DSM

op de RS815+ draait surveillance station en PLEX als media server

Iemand een idee over dit uitsluiten van de admin account, een volledige reset doen van de NAS kan ook maar dit is mijn laatste idee want daar kruipt weer wat tijd in. (ik heb van alles een backup)

[Hofstede]

Je kunt een enkele reset doen. Dan worden het admin account en netwerkinstellingen gereset en niet de volledige NAS.

https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS

[Atmikes]

Ok welbedankt, dat is gelukt, ik maak me enkel zorgen hoe "ze" binnen geraakt zijn.

Ik draag veiligheid zeer hoog en ben zeer restricitef op de firewall en applicaties.

In de firewall van de RT-2600 waren een aantal vreemde meldingen waaronder een DDOS aanval maar ook zeer veel meldingen van DDNS service en ik vemoed dat daar de zwakte inzit

[Ben(V)]

Ik zie niet hoe DDNS gebruikt kan worden om iets te hacken en een DDOS aanval al helemaal niet.
Maar dat een DDOS aanval de DDNS connectie problemen bezorgt lijkt evident.

Overigens moet je een DDOS aanval op een prive persoon meestal in de hoek van bekenden zoeken, want echte hacker hebben echt geen interesse het blokkeren van een prive ipnummer met een DDOS aanval.

[Atmikes]

Bij DDNS proberen ze eerst je server te "spiegelen", dan je DDNS te kraken om het ip waar je naartoe gaat te wijzigen.

Je volgt dan de URL om in te loggen maar het is niet jouw server (je denk van wel want ze hebben gewoon je login pagina gekopieerd) en dan geef je je credentials in waarmee ze je doorsturen naar je echt server, ondertussen hebben ze wel je login gejat natuurlijk.

beetje vergezocht voor een "kleine" server misschien, daarvoor heb ik de 2FA ingeschakeld

SSH poort 22 staat toe en de service staat uit, dus het kan bijna alleen aan aanval op de databank geweest zijn waarbij ze een record in de databank beschadigd hebben en zo het admin password proberen te resetten (en vermoedelijk niet verder geraakt)

[Briolet]

Een DDNS record naar het verkeerde IP laten wijzen is net zo moeilijk als een DNS record naar een ander IP te laten wijzen. Heel lastig en niet erg waarschijnlijk.

Maar elke aanpassing van het wachtwoord komt volgens mij gewoon in het log te staan. In elk geval als dit via DSM gebeurd. Zoek in het LogCenter eens op "password". o.i.d.

[Atmikes]

Ik heb uitvoerig gekeken in de logs en buiten onderbrekingen in de DDNS zie ik niets. Ik kon wel niet meer inloggen met admin account.

Accounts met minder rechten konden pas na een restart terug inloggen.

Ook de RT2600 heb ik opnieuw moeten starten voor ik kon inloggen maar daar lukte het na een reboot wel.

Heel vreemd allemaal en betrouw het voor niets meer momenteel

[Ben(V)]

Wat je probeert te beschrijven is de zogenaamde "man in the middel attack".
Dat werkt alleen als je zelf vanaf het internet inlogt en met name als je dat via http doet in plaats van via https.
En je hebt het over het midden van de nacht en ik neem niet aan dat je toen vanaf het internet hebt ingelogd.

Als iemand zo'n man in the middel aanval voor elkaar krijgt dan merk je daar niets van en krijg je zeker geen meldingen van DDNS connecties die verbroken zijn.
Dat zijn gewoon meldingen doordat je een DDOS aanval ondervind en je Nas niet meer bereikbaar is.

Een hack is ook zeer onwaarschijnlijk, want een hacker zou nooit je password wijzigen want dan weet hij dat z'n toegang daarna heel snel weer weg is.

Het meest waarschijnlijke is dat je zelf iets verkeerd gedaan hebt.
Overigens is het altijd slim een tweede account aan te maken met admin rechten zodat je altijd een alternatief hebt.

[Briolet]

Werkt de "wachtwoord vergeten" optie eigenlijk voor administratoren?

Voor gewone gebruikers kun je dit uit of aan zetten. Voor administratoren is die optie er niet. Dat staat blijkbaar altijd aan of uit. (Ik hoop uit)

Edit: toch even getest. Ik krijg wel een melding dat er een inlogcode verstuurd is, maar de mail wordt nooit verstuurd naar een administrator account. Gelukkig, van een administrator moet je verwachten dat hij dit onthoudt.

[Atmikes]

Het resetten van een wachtwoord via email of ander systeem is vaak het gedeelte waar een zwakte inzit, lijkt me niet onlogisch dat dit enkel kan via een “knopje” op de machine zelf.

Lastig als die machine een paar duizend km verder staat :-)


Man in the middle technieken zijn me zeer bekend ( werk vaak met de BURP proxy) daar ga je een systeem opzetten om certicaten te vervalsen met als doel geencrypteerd verkeer te kunne lezen. (Dmv een fake kopie van de sleutelparen)

DDNS is makkelijk te wijzigen, dit is veel minder berschermd dan DNS want slechts door 1 firma en vaak slechts op 1 server aanwezig en dat verkeer is niet geecrypteerd dus credentials worden nog vaak in plain text verstuurd. Op DNS verkeer begint men nu pas over TLS te werken maar we zijn er lang nog niet, kijk hierbij ook is naar DNS door cloudflare  op 1.1.1.1.

[DSGebruiker]

Straf verhaal.
Hier sowieso is de user "admin" ook iets anders qua naam. De standaard "admin" gebruiker is hier disabled.
Ook de "Guest" is disabled als user waarmee je zou kunnen inloggen.

Nu op deze NAS doe ik relatief weinig spannende dingen mbt services die naar de buitenwereld beschikbaar zouden moeten zijn etc.

[Briolet]

DDNS is makkelijk te wijzigen, dit is veel minder berschermd dan DNS want slechts door 1 firma en vaak slechts op 1 server aanwezig en dat verkeer is niet geecrypteerd dus credentials worden nog vaak in plain text verstuurd.

Een DDNS server is gewoon een DNS server, alleen kun je via een ddns protocol het IP veranderen. Bij een dns naam moet je vaak via http(s) inloggen voor verandering.

Als zo'n provider geen encryptie gebruikt ligt dit niet aan ddns zelf. Synology gebruikt gewoon encryptie voor de ddns aanpassing. Het host commando geeft:

Code: [Selecteer]

$ host ddns.synology.com
ddns.synology.com is an alias for ddns-global.quickconnect.to.
ddns-global.quickconnect.to has address 52.89.67.66
ddns-global.quickconnect.to has address 52.37.138.172
Als ik dan een ddns account controle doe en daarbij het verkeer op IP 52.89.67.66 log, zie ik:



Dat is TLS-v1.2 verkeer. Goed gecodeerde overdracht van credentials en met een certificaat op naam van "ddns.synology.com".

[Atmikes]

super, zeer aangenaam verrast 

[Briolet]

Het enige minpunt van de Synology domeinnaam is dat ze nog geen DNSSEC ondersteunen. Mijn eigen domeinnaam ondersteunt het tegenwoordig wel, maar ik koppel die via een CNAME aan de ddns naam, waardoor ik effectief nog geen dnssec bescherming heb.

Een handige testsite hiervoor is: "https://internet.nl"

[Atmikes]

Dat is een zeer leuke interface om een analyse te doen. Bedankt voor de info