Atak?
-
- Amator
- Posty: 17
- Rejestracja: pn gru 02, 2019 10:14 pm
Atak?
Od kilku dni dostaję co chwilę komunikaty w stylu:
"Adres IP [183.98.167.214] napotkał nieudane próby (10) zalogowania się w usłudze DSM działającej na bxxxxxb w ciągu 3000 minut i został zablokowany o 06.08.2021 20:24."
Odłączyłem quickconnect ale dalej jest to samo. Wydawało mi się, że jak to wyłącze to nie ma dostępu z zewnątrz. Nie mam włączonych usług ftp i ssh. Jak pinguje adres to nie ma odpowiedzi.
Jestem trochę laikiem w tych kwestiach dlatego proszę o pomoc.
Czy mimo tego, że nie mam qucikconnecta i tych usług to dalej jest możliwy dostęp z zewnątrz?
Czy może w jakiś sposób któreś z wewnętrznych urządzeń łączy się po WiFi i jest pośrednikiem w tych atakach?
Proszę o radę co zrobić.
"Adres IP [183.98.167.214] napotkał nieudane próby (10) zalogowania się w usłudze DSM działającej na bxxxxxb w ciągu 3000 minut i został zablokowany o 06.08.2021 20:24."
Odłączyłem quickconnect ale dalej jest to samo. Wydawało mi się, że jak to wyłącze to nie ma dostępu z zewnątrz. Nie mam włączonych usług ftp i ssh. Jak pinguje adres to nie ma odpowiedzi.
Jestem trochę laikiem w tych kwestiach dlatego proszę o pomoc.
Czy mimo tego, że nie mam qucikconnecta i tych usług to dalej jest możliwy dostęp z zewnątrz?
Czy może w jakiś sposób któreś z wewnętrznych urządzeń łączy się po WiFi i jest pośrednikiem w tych atakach?
Proszę o radę co zrobić.
-
- Godfather
- Posty: 1319
- Rejestracja: wt gru 15, 2015 12:19 pm
- Lokalizacja: Żyrardów
Re: Atak?
To tak jakbyś miał na routerze przekierowany port 5000 na Synka.
Wysłane z mojego MAR-LX1A przy użyciu Tapatalka
Wysłane z mojego MAR-LX1A przy użyciu Tapatalka
Administratorzy dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili.
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
Serwery NAS:
Synology DS211j, DS1511+, RS2212RP+ DS1513+
"Zasłanianie się dysleksją, to jak chwalenie się małym fiu...."- by Pati
gg 2101676
-
- Wtajemniczony
- Posty: 192
- Rejestracja: śr sty 27, 2016 12:37 pm
Re: Atak?
Zgadza się, masz przekierowany port 5000, wystarczy wpisać Twoj_IP:5000 i otwiera się strona logowania do DSM. Jak używasz tylko QC to nie otwieraj żadnych portów w routerze, a jak już otwierasz, to chociaż zmień domyślny 5000 na jakiś inny, skonfiguruj odpowiednio firewall, np. dostęp tylko z Polski, a najlepiej używaj VPN. Jak sobie sprawdzisz adresy IP tych atakujących to może się okazać, że nie ma ani jednego z Polski. Bezpieczeństwo to podstawa!
Aha, wyłącz konta admin i guest, nie zapominając wcześniej założyć sobie innego z uprawnieniami administratora.
PS.
Twój DSM wygląda mi na 6, nie na 7.
Edycja: wydaje mi się, że masz również włączony dostęp zdalny do routera, jeśli tak to wyłącz koniecznie.
Aha, wyłącz konta admin i guest, nie zapominając wcześniej założyć sobie innego z uprawnieniami administratora.
PS.
Twój DSM wygląda mi na 6, nie na 7.
Edycja: wydaje mi się, że masz również włączony dostęp zdalny do routera, jeśli tak to wyłącz koniecznie.
DS720+ | RAM Crucial 8GB DDR-2666 SODIMM | 2 x WD Red 6TB | Btrfs
- mikhnal
- Darth Vader
- Posty: 2751
- Rejestracja: pt gru 11, 2015 8:55 am
- Lokalizacja: Warszawa
Re: Atak?
@boru: Czy Synka masz wrzuconego do DMZ na routerze? Wpisanie w przeglądarkę Twojego IP od razu przerzuca do logowania do Synka.
DS3018xs
DSM 7.2.1-69057 Update 5
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
DSM 7.2.1-69057 Update 5
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
-
- Amator
- Posty: 17
- Rejestracja: pn gru 02, 2019 10:14 pm
Re: Atak?
@wlodekh
hmm..
Mam internet radiowy. Router jest zarządzany przez providera - czy ja tam mogę cokolwiek zrobić? jak mogę wyłączyć dostęp zdalny do routera?
jak kiedyś konfigurowałem Syno to poprosiłem providera o przekierowanie portow. W odpowiedzi napisał: "Jeżeli adres serwera NAS w sieci wew. jest 192.168.0.102, to na niego przekierowałem porty: 80, 443, 8888, 5000, 5001." Czyli mam go poprosić aby wyłączył te wszystkie porty?
Pisząc "zmień domyślny 5000" macie na myśli w tym miejscu:? [Br][/Br]
Co masz na myśli pisząc "używaj VPN". Chodzi Ci o jakieś ustawienie w Syno ?
ps. mam Syno 7.0-41890
hmm..
Mam internet radiowy. Router jest zarządzany przez providera - czy ja tam mogę cokolwiek zrobić? jak mogę wyłączyć dostęp zdalny do routera?
jak kiedyś konfigurowałem Syno to poprosiłem providera o przekierowanie portow. W odpowiedzi napisał: "Jeżeli adres serwera NAS w sieci wew. jest 192.168.0.102, to na niego przekierowałem porty: 80, 443, 8888, 5000, 5001." Czyli mam go poprosić aby wyłączył te wszystkie porty?
Pisząc "zmień domyślny 5000" macie na myśli w tym miejscu:? [Br][/Br]
Co masz na myśli pisząc "używaj VPN". Chodzi Ci o jakieś ustawienie w Syno ?
ps. mam Syno 7.0-41890
Ostatnio zmieniony sob sie 07, 2021 4:11 pm przez boru, łącznie zmieniany 2 razy.
-
- Amator
- Posty: 17
- Rejestracja: pn gru 02, 2019 10:14 pm
- mikhnal
- Darth Vader
- Posty: 2751
- Rejestracja: pt gru 11, 2015 8:55 am
- Lokalizacja: Warszawa
Re: Atak?
Nie wiem, czy masz DMZ, ani jaki masz router, ale jakoś przecież przekierowujesz port 5000 dla DSM Synka i to tędy próbują Ci się włamać.
Za Wikipedią:
Demilitarized zone (DMZ), strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nienależący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet).
Jaki dostajesz adres klikając na adres:
http://checkip.synology.com/
Za Wikipedią:
Demilitarized zone (DMZ), strefa zdemilitaryzowana bądź ograniczonego zaufania – jest to wydzielany na zaporze sieciowej (ang. firewall) obszar sieci komputerowej nienależący ani do sieci wewnętrznej (tj. tej chronionej przez zaporę), ani do sieci zewnętrznej (tej przed zaporą; na ogół jest to Internet).
Jaki dostajesz adres klikając na adres:
http://checkip.synology.com/
DS3018xs
DSM 7.2.1-69057 Update 5
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
DSM 7.2.1-69057 Update 5
32GB RAM 2x KSM24SED8/16ME DDR4 2400 CL17 ECC mod
6x 10TB WD Red WD100EFAX RAID5 btrfs
2x SNV3500-400G read/write SSD cache @ E10M20-T1 + 10GbE LAN
2x Noctua NF-A9 fan mod
RT6600ax + WRX560
SRM 1.3.1-9346 Update 9
-
- Amator
- Posty: 56
- Rejestracja: czw kwie 06, 2017 6:36 pm
- Lokalizacja: Opole
Re: Atak?
Chodzi o to, żebyś postawił na NAS serwer VPN i wyłączył QC, a z wszystkiegow sieci wewnetrznej, czego potrzebujesz, korzystał dzięki połączeniu VPN. Nawet jeśli nie masz jak zmienić domyślnych portów, to sam fakt korzystania z certyfikatu zwiększa bezpieczeństwo.
- FloydKulis
- Amator
- Posty: 55
- Rejestracja: ndz paź 06, 2019 10:18 pm
Re: Atak?
Najszybciej będzie wyłączyć połączenia spoza PL. NA forum jest jak to zrobić. W moim przypadku załatwia to 99,9% przypadków (mam Skynet na Routerze stąd taki duży procent).
Ostatnio zmieniony pn sie 23, 2021 8:42 am przez FloydKulis, łącznie zmieniany 2 razy.