Atak?

boru
Amator
Posty: 17
Rejestracja: pn gru 02, 2019 10:14 pm

Atak?

Post autor: boru »

Od kilku dni dostaję co chwilę komunikaty w stylu:
"Adres IP [183.98.167.214] napotkał nieudane próby (10) zalogowania się w usłudze DSM działającej na bxxxxxb w ciągu 3000 minut i został zablokowany o 06.08.2021 20:24."
Odłączyłem quickconnect ale dalej jest to samo. Wydawało mi się, że jak to wyłącze to nie ma dostępu z zewnątrz. Nie mam włączonych usług ftp i ssh. Jak pinguje adres to nie ma odpowiedzi.
Jestem trochę laikiem w tych kwestiach dlatego proszę o pomoc.
Czy mimo tego, że nie mam qucikconnecta i tych usług to dalej jest możliwy dostęp z zewnątrz?
Czy może w jakiś sposób któreś z wewnętrznych urządzeń łączy się po WiFi i jest pośrednikiem w tych atakach?
Proszę o radę co zrobić.
Przemuss
Godfather
Posty: 1305
Rejestracja: wt gru 15, 2015 12:19 pm
Lokalizacja: Żyrardów

Re: Atak?

Post autor: Przemuss »

To tak jakbyś miał na routerze przekierowany port 5000 na Synka.

Wysłane z mojego MAR-LX1A przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+

"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
wlodekh
Wtajemniczony
Posty: 191
Rejestracja: śr sty 27, 2016 12:37 pm

Re: Atak?

Post autor: wlodekh »

Zgadza się, masz przekierowany port 5000, wystarczy wpisać Twoj_IP:5000 i otwiera się strona logowania do DSM. Jak używasz tylko QC to nie otwieraj żadnych portów w routerze, a jak już otwierasz, to chociaż zmień domyślny 5000 na jakiś inny, skonfiguruj odpowiednio firewall, np. dostęp tylko z Polski, a najlepiej używaj VPN. Jak sobie sprawdzisz adresy IP tych atakujących to może się okazać, że nie ma ani jednego z Polski. Bezpieczeństwo to podstawa!
Aha, wyłącz konta admin i guest, nie zapominając wcześniej założyć sobie innego z uprawnieniami administratora.

PS.
Twój DSM wygląda mi na 6, nie na 7.

Edycja: wydaje mi się, że masz również włączony dostęp zdalny do routera, jeśli tak to wyłącz koniecznie.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
Awatar użytkownika
mikhnal
Darth Vader
Posty: 2728
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Atak?

Post autor: mikhnal »

@boru: Czy Synka masz wrzuconego do DMZ na routerze? Wpisanie w przeglądarkę Twojego IP od razu przerzuca do logowania do Synka.
DS3018xs
DSM 7.2.1-69057 Update 4
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
boru
Amator
Posty: 17
Rejestracja: pn gru 02, 2019 10:14 pm

Re: Atak?

Post autor: boru »

@wlodekh
hmm..
Mam internet radiowy. Router jest zarządzany przez providera - czy ja tam mogę cokolwiek zrobić? jak mogę wyłączyć dostęp zdalny do routera?
jak kiedyś konfigurowałem Syno to poprosiłem providera o przekierowanie portow. W odpowiedzi napisał: "Jeżeli adres serwera NAS w sieci wew. jest 192.168.0.102, to na niego przekierowałem porty: 80, 443, 8888, 5000, 5001." Czyli mam go poprosić aby wyłączył te wszystkie porty?

Pisząc "zmień domyślny 5000" macie na myśli w tym miejscu:? Obrazek[Br][/Br]


Co masz na myśli pisząc "używaj VPN". Chodzi Ci o jakieś ustawienie w Syno ?

ps. mam Syno 7.0-41890
Ostatnio zmieniony sob sie 07, 2021 4:11 pm przez boru, łącznie zmieniany 2 razy.
boru
Amator
Posty: 17
Rejestracja: pn gru 02, 2019 10:14 pm

Re: Atak?

Post autor: boru »

mikhnal pisze: sob sie 07, 2021 12:02 pm @boru: Czy Synka masz wrzuconego do DMZ na routerze? Wpisanie w przeglądarkę Twojego IP od razu przerzuca do logowania do Synka.
nie mam zielonego pojęcia.. jak mogę to sprawdzic ?
Awatar użytkownika
mikhnal
Darth Vader
Posty: 2728
Rejestracja: pt gru 11, 2015 8:55 am
Lokalizacja: Warszawa

Re: Atak?

Post autor: mikhnal »

Nie wiem, czy masz DMZ, ani jaki masz router, ale jakoś przecież przekierowujesz port 5000 dla DSM Synka i to tędy próbują Ci się włamać.

Za Wikipedią:
Demilitarized zone (DMZ), strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nienależący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet).

Jaki dostajesz adres klikając na adres:
http://checkip.synology.com/
DS3018xs
DSM 7.2.1-69057 Update 4
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
wlodekh
Wtajemniczony
Posty: 191
Rejestracja: śr sty 27, 2016 12:37 pm

Re: Atak?

Post autor: wlodekh »

Poproś providera o zablokowanie tych portów albo sam to zrób w zaporze Synology.
Tak, domyślny port tam się zmienia.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
Jarol
Amator
Posty: 56
Rejestracja: czw kwie 06, 2017 6:36 pm
Lokalizacja: Opole

Re: Atak?

Post autor: Jarol »

boru pisze: sob sie 07, 2021 4:01 pm Co masz na myśli pisząc "używaj VPN". Chodzi Ci o jakieś ustawienie w Syno ?
Chodzi o to, żebyś postawił na NAS serwer VPN i wyłączył QC, a z wszystkiegow sieci wewnetrznej, czego potrzebujesz, korzystał dzięki połączeniu VPN. Nawet jeśli nie masz jak zmienić domyślnych portów, to sam fakt korzystania z certyfikatu zwiększa bezpieczeństwo.
Awatar użytkownika
FloydKulis
Amator
Posty: 55
Rejestracja: ndz paź 06, 2019 10:18 pm

Re: Atak?

Post autor: FloydKulis »

Najszybciej będzie wyłączyć połączenia spoza PL. NA forum jest jak to zrobić. W moim przypadku załatwia to 99,9% przypadków (mam Skynet na Routerze stąd taki duży procent).
Ostatnio zmieniony pn sie 23, 2021 8:42 am przez FloydKulis, łącznie zmieniany 2 razy.
ODPOWIEDZ