Veel geblokkeerde IP adressen

[pvdspank]

Ik sta voor een raadsel, misschien kunnen jullie me helpen.

Mijn backup NAS staat bij mijn vriend, dat kan ik benaderen via zijn domeinnaam.
mijn vriend heeft zelf ook een Synology NAS die via hetzelfde IP adres of domeinnaam te benaderen is.

Op mijn backup-NAS krijg ik gemiddeld 5-10 keer per week een melding dat er een IP adres geblokkeerd wordt. Inmiddels zijn er ruim 400 IP adressen geblokkeerd.
Mijn vriend heeft dat vrijwel nooit.
Bij mij thuis heb ik geen enkel probleem op dit gebied (afkloppen!)

Zie onder voor details en wat we al hebben geprobeerd.
Ik ben ten einde raad en hoop dat jullie me kunnen helpen:

- Hoe komen die hackers erachter waar mijn backup NAS verstopt zit?
- Op welke poort of via welk protocol komen ze binnen?
- Wat kan ik nog doen om te voorkomen dat ik gehackt wordt?






ACHTERGRONDINFO:

Het betreft een DS207 met DSM 3.1, kan niet hoger.
Ik heb er geen webservices op staan, het is alleen maar mijn backupserver voor de netwerkbackup die ik via mijn DS212+ thuis initieer.

WAT WE AL HEBBEN GEDAAN:
Zorgen voor laatste DSM versie

Alle niet benodigde poorten staan dicht.

Alle niet benodigde services staan uit.

Mijn vriend heeft een nieuw IP adres aangevraagd en gekregen: geen soelaas.

Mijn vriend heeft zijn oude domein vervangen (dus die wijst niet meer naar zijn IP adres) door een nieuw domeinnaam.
Helaas, geen soelaas. Een uur nadat het nieuwe domein actief was had ik alweer mijn eerste hack-attempt, dit is een paar dagen geleden, nu heb ik weer 10 nieuwe geblokkeerde IP adressen.

Ik heb mijn standaard poort om DSM te benaderen gewijzigd naar een anders nooit gebruikte poort die niet met Synology geassocieerd zal worden. Werkt prima, maar helaas, geen soelaas, nog steeds hackpogingen.

Dat poorten veranderen kan ik helaas niet doen voor de poorten 873 en 22 die voor netwerkbackup nodig zijn.

In de system log zie ik alleen welke IP adressen geblokkeerd zijn, niet op welke poort of via welk protocol ze probeerden in te loggen.



Alvast hartelijk dank voor jullie advies.

[pinkdot]

Waarom ga je er vanuit dat dit hackers zijn. Er zwerft van alles op het internet wat ip-adressen scant, spambots, chatbots, searchspiders enz. En blokken lijkt mij dan de juiste actie van je nas. Ik heb het ook, zeker 10 per week. En ik denk dat er forumleden zijn die dit zouden tekenen voor een dergelijk laag aantal.

Niet druk om maken dus (als je het mij vraagt).

[Goner]

Waarom zou een spider via je poort 21, 22 e.d. willen connecten ?
Er zitten wel degelijk hackers bij hoor. Kijk maar je Apache en FTP logs, zie dat er binnen een korte tijd met allerlei accountnamen geprobeerd wordt om toegang te krijgen.

Gelukkig scannen ze alleen de standaard poorten, dus wat heel goed helpt is aan de buitenkant andere poortnummers te gebruiken ; 7021 ipv 21, 7080 ipv 80 en dan forwarden naar de juiste poort op je DS.
Ik zie nauwelijks nog IP blocks hierdoor.
En verder uiteraard 'strong passwords' gebruiken.

[Robert Koopman]

Na verloop van tijd maak je je er niet meer druk om.
Zodra je een NAS aan het internet hangt krijg je ongewenst gerammel aan de poorten.

[binbakker]

Sinds ik het ping protocol (ICMP) op mijn router heb uitgezet heb ik eigenlijk nooit meer last gehad van ongewenste bezoekers.