Hoe weer je de hackers uit China?

[davincent1969]

Beste mensen,

Mijn (oudere) 409slim NAS wordt geteisterd door hackers uit china.
Ik wordt er gek van en heb nu maar besloten te buigen ;-(  Na 15 jaar vrolijk kunnen hobbyen, trek ik de stekker uit mijn website en mailserver zodat deze niet meer door chineze hackers kan worden benaderd. (Nouja, de poorten op mijn router gaan dicht, dus niemand kan er van buitenaf meer bij).

Ik ben niet bang dat ze de beveiliging doorbreken. Maar de belasting op die NAS is tijdens een aanval zo groot, dat ik er nauwelijks nog normaal mee kan werken. Daarnaast wordt ik gek van de mails die daardoor naar mijn andere accounts wordt gestuurd. Om nu dagelijks een stuk of 40-80 emails te moeten verwijderen over chinese IP-addressen die probeerde binnen te dringen, wordt er moe van.
Kan dat ook weer uitzetten, maar daarmee wordt het probleem niet opgelost.
Bovendien wil ik toch weten wanneer iemand aan mijn poorten zit te rammelen.

Ik verwacht niet de eerste zijn met dit probleem. Ik hoop dat iemand mogelijkheden weet om het probleem op te lossen/effectief tegen te gaan. Het liefst zou ik heel china blokkeren via een top level domain instelling in mijn router, maar die zit er niet in, helaas. En ik wil voorkomen dat ze uberhaupt op mijn inlogpagina terecht kunnen komen, anders heeft het geen zin want dan belast ik alsnog de NAS daarmee.

Heb ook mijn provider al gevraagd of ze hier iets tegen kunnen doen, maar dat is Telfort, dus kan wel schudden dat die iets voor je doen als klant, behalve stomme opmerkingen maken over het gedogen van eigen servers draaien. Neem aan dat zij wel een degelijke firewall hebben waarin je dergelijke beperkingen kan aanzetten, alleen bereiken mijn verzoeken niet de juiste mensen.

Nu ben ik erg benieuwd naar mensen die hier met succes iets tegen gedaan hebben. Uiteraard nog nieuwsgieriger wat ze dan gedaan hebben..:-)

Als het duizenden euro's kost, laat dan maar. Tis maar hobby.

Alvast bedankt voor je tijd en meedenken...!

Groeten,
Vincent

[Robert Koopman]

Waarom laat je de NAS een mailtje sturen bij een poging?
Daar zo ik ook gek van worden.
Heb je de ip blokkade aanstaan?
Niet dat dit echt veel helpt omdat ze uiteraard wel ip adressen kunnen spoofen maar het is een extra barrière.
Sterke wachtwoorden gebruiken.

Ik heb ook vele pogingen per dag maar merk er niets van.
NAS wordt er niet langzamer van volgens mij.
Gerammel aan de poorten is niet te voorkomen.
Ja, door de netwerk stekker eruit te halen......

[TonVH]

Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.

[davincent1969]

Heb je de ip blokkade aanstaan?
Niet dat dit echt veel helpt omdat ze uiteraard wel ip adressen kunnen spoofen maar het is een extra barrière.
Sterke wachtwoorden gebruiken.

Ik heb hele volzinnen met spelfouten als wachtwoord.  Admin is hernoemd. 1x fout inloggen en IP is voor altijd geblokt. Whitelists en blacklists gebruik ik ook, maar het aanmelden zelf zou ik zo graag willen voorkomen.
De NAS (uit 2009) is niet krachtig genoeg om de geautomatiseerde hackpogingen te verwerken. (15 tot 30x per seconden op mijn webmail!).

Gerammel aan de poorten is niet te voorkomen.
Ja, door de netwerk stekker eruit te halen......

Snik, in feite heb ik dat gedaan door maar alle poorten op de router dicht te zetten... :-( Maar goed, had liever gewoon op routerniveau iets wat die chinezen tegen houdt uberhaupt aan te melden.

Bedankt voor je reactie.

[davincent1969]

Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.

Ja dat wel, maar, liever niet. Dan krijg ik nog meer aanmeldingen per seconde te verwerken en weet ik niet eens wat er aan de hand is, totdat ik in DSM inlog en weer zie dat er 300 IP addressen uit china geblokkeerd zijn.
En ik verwacht dat het heus wel lukt om een keer er door te komen. Alleen merk ik het liever in de vorm van mailtjes dan dat ik van mijn provider te horen krijg dat mijn server is afgesloten omdat er 3 miljoen spam mailtjes de deur uit gegaan zijn oid... ;-(

Bedankt voor de suggestie :-)

[TonVH]

Inderdaad, geen mailtjes. Slaapt gelijk een stuk rustiger.

Ja dat wel, maar, liever niet. Dan krijg ik nog meer aanmeldingen per seconde te verwerken en weet ik niet eens wat er aan de hand is, totdat ik in DSM inlog en weer zie dat er 300 IP addressen uit china geblokkeerd zijn.
En ik verwacht dat het heus wel lukt om een keer er door te komen. Alleen merk ik het liever in de vorm van mailtjes dan dat ik van mijn provider te horen krijg dat mijn server is afgesloten omdat er 3 miljoen spam mailtjes de deur uit gegaan zijn oid... ;-(

Bedankt voor de suggestie :-)

Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van.  Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.

En nogmaals (zoals Robert ook al zei): iedereen heeft met die poortscans te maken (die overigens lang niet alleen uit China komen, een slimme buurjongen kan jou ook op die manier pesten). poortscans op zich kunnen geen enkel kwaad en een goed wachtwoord i.c.m. blokkade bij meer dan X pogingen binnen Y tijd voorkomt nagenoeg 100% de kans dat iemand je wachtwoord kan raden. Want daar zijn heel wat meer pogingen voor nodig.

Je zult er mee moeten leren leven.


PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.

[gaitj]

PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.

Meestal kun je in het modem het mac-adres wijzigen. Dat levert ook een ander IP-adres op.
Je zou niet standaard poorten kunnen gaan gebruiken voor b.v. webmail. De meeste scans vinden plaats op de bekende kwetsbare poorten zoals 21, 23, 25, 80.

[davincent1969]

Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van.

Misschien merken ze het niet, maar als ik de mailfunctie uit zet, heeft mijn NAS meer resources over (en ga ik er van uit (onterecht?) dat ze dan nog meer pogingen per seconden kunnen uitvoeren).

Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.

Eeh, nee, niet zomaar verzonnen. Ik zie aan de timestamps van de emailtjes dat deze blokkades allemaal in dezelfde minuut plaatsvinden.

En nogmaals (zoals Robert ook al zei): iedereen heeft met die poortscans te maken (die overigens lang niet alleen uit China komen, een slimme buurjongen kan jou ook op die manier pesten). poortscans op zich kunnen geen enkel kwaad en een goed wachtwoord i.c.m. blokkade bij meer dan X pogingen binnen Y tijd voorkomt nagenoeg 100% de kans dat iemand je wachtwoord kan raden. Want daar zijn heel wat meer pogingen voor nodig.

Het zijn geen poortscans, die zie ik ook niet, maar echte aanmeldingen via webmail. Dat ze uit china komen weet ik wel zeker. Kan ze zelfs tot op de regio/stad terug herleiden. Wanneer ik op die IPnummers zelf poortscans uitvoer, staat er nooit een poort open. Dus denk niet dat het zombie-PC;s zijn, dan moet toch ook iets open staan waar de hacker gebruik van maakt...

Je zult er mee moeten leren leven.

PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.

Heb ik ook al gedaan en geeft een paar dagen rust. Maar ik draai ook een website op dat IP en heb een DNS registratie actief, dus zo moeilijk is het niet om me daarna weer te vinden.. :-/

Ben gewoon bang dat mijn NAS door de (over)belasting wel een keer toe geeft, of dat ze een exploid vinden waardoor al mijn beveiligingsmaatregelen voor niets zijn... Als ik ze op een of andere manier kan buiten de webmail kan houden, zou dat voldoende moeten zijn.

Zover ik nu weet kan wat ik wil alleen door een router er voor te plaatsen die wel TLD's kan blokkeren.. Maar geen idee wat voor (dure) firewall ik daarvoor moet nemen, behalve een Cisco misschien.

[davincent1969]

Meestal kun je in het modem het mac-adres wijzigen. Dat levert ook een ander IP-adres op.
Je zou niet standaard poorten kunnen gaan gebruiken voor b.v. webmail. De meeste scans vinden plaats op de bekende kwetsbare poorten zoals 21, 23, 25, 80.

Kan ik proberen, maar betekent toch ook dat de website er achter alleen maar via die poort te bereiken is?
Ben er nog niet achter hoe ik de webmail url op een andere poort dan de website kan laten werken...

Blijf het triest vinden dat je je website niet (zonder moeite) alleen voor IP-addressen uit NL beschikbaar kan maken, zonder dat mensen uit een ander land een inlogpoging kunnen doen (die dan faalt, maar ik wil die hele inlogpoging kunnen voorkomen). Dat zou voor mij heel prettig zijn... :-)

[Robert Koopman]

Dat is juist de opzet van het internet, overal toegankelijk.
Ik zou echt stoppen met het versturen van mailtjes want zo ben je zelf een spammer, naar je zelf toe.
En je hoeft geen actie te ondernemen na zo'n mailtje, je kan er niets tegen doen.

En ander ip adres heeft ook weinig nut. Men scant gewoon hele ranges af.
En niet alleen China hoor. Kan werkelijk overal vandaan komen.

[binbakker]

En VPN? dat scheelt een hoop open poorten.
Verder moet het volgens mij wel mogelijk zijn om website te blocken voor bepaalde landen.
Zomaar wat google hits:
http://www.asiteaboutnothing.net/c_block-countries.html
http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country

Weet niet welke router u nu gebruikt maar als het mogelijk is disable ICMP Echo request.

[davincent1969]

Ik zou echt stoppen met het versturen van mailtjes want zo ben je zelf een spammer, naar je zelf toe.
En je hoeft geen actie te ondernemen na zo'n mailtje, je kan er niets tegen doen.

Ik vrees het ook, zo te lezen aan de reacties. De mailtjes vond ik in het begin wel prettig omdat ik dan off site ook info kreeg over de ongewenste activiteiten op mijn NAS. Het voelt gewoon alsof er inbrekers op mijn voordeur staan te beuken. Als ik dat thuis zou mee maken ga ik wel even naar buiten om ook wat te beuken. Maar digitaal is dat beetje lastig.

En ander ip adres heeft ook weinig nut. Men scant gewoon hele ranges af.
En niet alleen China hoor. Kan werkelijk overal vandaan komen.

Ben ik me wel bewust van, maar bij mij zijn het toch vooral chinezen. Wanneer ik dat land kon blokkeren, voorkom ik gewoon (momenteel) bijna alle hackpogingen.

[davincent1969]

En VPN? dat scheelt een hoop open poorten.

Heb ik ook aan gedacht. Even mee gespeeld, niet echt meer werk van gemaakt omdat de VPN in de NAS niet echt waterdicht bleek, had ik weer ergens gelezen. Ook kreeg ik het niet voor elkaar om de VPN dan voor de mail te moeten gebruiken terwijl de website gewoon bereikbaar was, zonder VPN. Maar bedankt! ik ga er zeker nog een keer naar kijken. In het ergste geval dan maar geen website meer, maar wel mail.

Verder moet het volgens mij wel mogelijk zijn om website te blocken voor bepaalde landen.
Zomaar wat google hits:
http://www.asiteaboutnothing.net/c_block-countries.html
http://stackoverflow.com/questions/8384421/restrict-website-to-access-specific-country

Ik heb deze URLs bekeken, maar gaat me een beetje te ver. Voordat ik dergelijke zaakjes in de SynologyNAS onder de knie zou krijgen, zijn we maanden verder.. Security is niet mijn core buisiness, maar een noodzakelijk kwaad, dus heb niet zoveel tijd om me op dat vlak te bekwamen.

Weet niet welke router u nu gebruikt maar als het mogelijk is disable ICMP Echo request.

De eerste router achter het modem heeft dit al uit staan. Maar het is net als wanneer je op een spamlist staat. Als ze eenmaal weten dat er iets achter zit, blijven ze proberen.. :-(

Misschien moet ik toch maar mijn verlies nemen en wat investeren in een betere router of firewall die wel de deur dicht houd wanneer het IP-adres, geografisch gezien, uit landen komt die ik niet op mijn systeem wil hebben.

Nog beter is wanneer dergelijke landen gewoon de toegang tot het internet kwijt raken totdat ze hun onderdanen beter opgevoed hebben. Dan zouden ze wel heel erg snel werk maken van dergelijk misbruik omdat zo'n land dan gelijk economisch een enorme klap krijgt. Of de DNS core systemen hacken en je eigen IP naar 127.0.0.1 laten wijzen voor de landen die van die DNS servers gebruik maken.. ;-)

Ach ja, je haalt je van alles in je hoofd.. 

[Goner]

Nu ben ik erg benieuwd naar mensen die hier met succes iets tegen gedaan hebben.

Heb op het internationale forum wel eens posts gezien van mensen die met de 'iptables'  firewall (die al gebruikt wordt op de Synology) ip-adres ranges te blokkeren. Met de DSM interface kun je alleen losse adressen invoeren, maar ze hebben scriptjes gemaakt om het direct in Linux te doen.
Misschien eens zoeken daar ...
bijv. http://forum.synology.com/enu/viewtopic.php?f=19&t=67510

[TonVH]

Geen mailtjes wil niet zegen dat er dan dus nog meer pogingen zijn. De andere kant merkt daar niets van.

Misschien merken ze het niet, maar als ik de mailfunctie uit zet, heeft mijn NAS meer resources over (en ga ik er van uit (onterecht?) dat ze dan nog meer pogingen per seconden kunnen uitvoeren).

Natuurlijk niet! De andere kant weet niet dat jouw Nas een mail stuurt. Het aankloppen gebeurt in hoog tempo omdat daarmee de kans bestaat dat er een storing in het OS komt en dat ze op die manier binnen kunnen komen.

Maarrrr, je kunt met grote zekerheid er vanuit gaan dat dit soort praktijken (en zeker niet continu, zoals uit jouw berichten moet blijken) echt niet op een huis-tuin-keuken Nas gericht zullen worden.

Die 15 tot 30-maal per seconde is ietwat uit de lucht gegrepen? Want dat zou betekenen dat je NAS dus evenzoveel mailtjes staat te versturen en dan kan ik heel goed begrijpen dat hij geen tijd meer over houd voor andere zaken.

Eeh, nee, niet zomaar verzonnen. Ik zie aan de timestamps van de emailtjes dat deze blokkades allemaal in dezelfde minuut plaatsvinden.

Sorry, maar dit verhaal is mij echt te wild.Als het echt zo erg is dan moet je wellicht gaan kijken of er iets binnen je eigen netwerk goed mis is of dat er iets (op je website) is wat anderen doet denken dat je over atoomgeheimen beschikt.

Je zult er mee moeten leren leven.

PS: als je er echt zoveel krijgt, gooi dan eens je modem een nachtje volledig uit (de 230V). Dan krijg je na opstarten van vrijwel alle providers een nieuw IP.

Heb ik ook al gedaan en geeft een paar dagen rust. Maar ik draai ook een website op dat IP en heb een DNS registratie actief, dus zo moeilijk is het niet om me daarna weer te vinden.. :-/

En dus moet er iets zien wat hou interessant maakt en anderen niet. En dat zit niet in een hacker maar door iets wat jij laat weten.

Ben gewoon bang dat mijn NAS door de (over)belasting wel een keer toe geeft, of dat ze een exploid vinden waardoor al mijn beveiligingsmaatregelen voor niets zijn... Als ik ze op een of andere manier kan buiten de webmail kan houden, zou dat voldoende moeten zijn.
Zover ik nu weet kan wat ik wil alleen door een router er voor te plaatsen die wel TLD's kan blokkeren.. Maar geen idee wat voor (dure) firewall ik daarvoor moet nemen, behalve een Cisco misschien.

Ik zou toch eerst eens gaan kijken of het probleem niet binnen je eigen netwerk zit of wat jou zo interessant maakt dat iemand koste wat het kost in jouw Nas wil kijken.