Synology-Forum.nl

Algemeen => The lounge => Topic gestart door: Anonymous op 28 mei 2009, 19:49:04

Titel: gehackt??
Bericht door: Anonymous op 28 mei 2009, 19:49:04

Sinds een aantal dagen knippert het lichte van de lan verbinding op mn synology ds107+ continu. En ook het lampje op mn modem van internet activiteit knippert aan een stuk door.

Kan het zijn dat mn synology gehackt is of iets dergelijks. Als ik de logs bekijk zie ik geen ongeautoriseerde toegang. Wel veel pogingen om verbindingen te maken maar inloggen lukt volgens mij niet.

In de logs van mn modem kom ik opzich ook geen rare dingen tegen.

Ik heb de volgende services draaien:
- filestation
- audiostation
- downloadstation
- webstation
- photostation

Ik heb firmware .0844 draaien

Zijn er ook andere mensen die dit hebben??

Titel: Re: gehackt??
Bericht door: Matr1x op 28 mei 2009, 22:01:45

Ik weet natuurlijk niet welke poorten je open hebt staan, maar voor webstation heb je bijvoorbeeld geen account nodig. Iedereen kan daarbij, dus ook de web bots en sniffers. Dat kan best de activiteiten verklaren. Ook met downloadstation kan het best zijn dat torrent programma's iets kunnen vinden bij je en als dit populair is (recente mp3?) dan is men continu annoniem aan het downloaden. Zelfde geldt misschien wel voor audiostation...

Zelf heb ik alleen de poort voor web- en photostation open staan en valt de activiteit erg mee. Mijn harddisk gaan in ieder geval netjes in slaapstand en wordt eigenlijk pas wakker als ik hem aanspreek. Geen activiteiten van buitenaf dus. Mischien wel omdat het niks te halen valt. Mijn fotoalbums kom je alleen in met een account namelijk, en mijn website is alles behalve boeiend.  :mrgreen:

Titel: Re: gehackt??
Bericht door: Anonymous op 29 mei 2009, 13:31:25

Ik heb poort 80, 443, 5000 en 5001 openstaan. Voor inderdaad webstation en de management van de synology. Ik heb  geen downloads aanstaan in mn download station had ik uiteraard al gecheckt. Audiostation is niet zomaar toegankelijk, hiervoor moet je zover ik weet inloggen op de synology.

Photostation is ook niet vrij toegankelijk zonder wachtwoord, en ook uit de logs hier blijkt niet dat er ongeautoriseerde toegang is.

Aan webbots en sniffers etc. had ik ook al gedacht, maar dat leekt me van niet omdat de lichtje (van mn synology en mn modem) continu knipperen. Als ik de logs van mn modem bekijk zie ook dat ze regelmatig proberen in te breken maar de logs geven dus aan dat alles geblockt wordt.

Ik zal vanavond wel even webstation uitzetten. Als de activiteiten dan stoppen dan betekend het dat mn website gehackt is en niet de synology. Mochten de activiteiten aan houden dan zal ik me hier weer melden  :)

Zijn er eigenlijk gevallen bekend van een gehackte synology??

Titel: Re: gehackt??
Bericht door: Matr1x op 29 mei 2009, 21:50:27

Het kan natuurlijk ook zijn dat je DS gewoon bezig is met andere dingen? Misschien wel indexeren van je foto's? Bij veel foto's is de DS bij sommige mensen wel een paar dagen bezig. Of misschien staat het maken van een lokale backup aan? Probeer eens met telnet te achterhalen wel processen er zo actief zijn (met PS). Wel link dat je poort 5000 en 5001 open hebt staan. Er kunnen best programma's draaien die wachwoorden voor het admin account uitproberen. En hoe zit het met de FTP server? Staat die echt uit?

Nogmaals, ik heb niet zoveel activiteiten gelukkig, maar ik heb alleen de poorten voor web en photo station open staan. Als ik ooit remote op de DS moet, log in eerst in op mijn router en zet ik de poorten remote even open. En als ik klaar ben, zet ik ze weer dicht. Het admin wachtwoord van mijn router zal wel niet zo snel gehacked worden, want die is erg lang.

Titel: Re: gehackt??
Bericht door: AvSan op 31 mei 2009, 12:14:56

Het was niet mn photosation, want dan knippert toch niet het lichtje van lan activiteit (maar het lichtje van de hd) en het lichtje op mn modem zou dan ook niet moeten knipperen.

Ik ben nog even in mn modem gaan snuffelen en zag dat ik poorten 55536 t/m 56559 voor passieve ftp nog open had staan. De ftp service op mn synology had ik al wel uitstaan. Ik was denk ik vergeten om deze poorten uit mn modem te halen (poorten 20 en 21 had ik al wel gedicht).

Na deze gedicht te hebben zijn de meeste activiteiten weg, wat resteert zijn waarschijnlijk of bezoekers of sniffers. Maar het lijkt dus wel dat de synology te hacken is op een van die poorten.

Hmmm... persoonlijk leek het mij riskanter om mn modem van buiten benaderbaar te maken dan om poorten 5000 en 5001 open te zetten. Ik gebruik nog wel eens mn audiostation en dat gaat via de dsm en om dan elke keer de poorten in mn moden aan te passen vind ik zo'n werk.

In elk geval tnx voor het meedenken...