DSM 6.x und darunter Admin-Konto deaktiviert und trotzdem Angriffe

[Energiemacher]

Hallo,

ich habe schon sehr lange das Admin Konto deaktiviert und habe mir einen neuen User mit Adminrechten angelegt.
Soweit so gut.
Die Sicherheitseinstellungen habe ich so angepasst, das nach 2x mal falschem PW innerhalb einer Minute der Account gesperrt wird für 24h.
Damit wollte ich eine massiven Angriff unterbinden.

Seit zwei Tagen versucht aber jemand mein Admin-Konto anzugreifen, denn ich habe nun 2mal die Benachrichtigung erhalten, dass das Admin-Konto gesperrt wurde, wegen falschem PW.

Wie kann es sein, dass jemand das Admin-Konto angreifen kann obwohl es deaktiviert ist?

Wie auf dem Screenshot zu sehen, versucht es da jemand ziemlich häufig. :-(

Wer kann mir helfen?


Danke euch.


Grüße

 

[AndiHeitzer]

Ein Anmeldeversuch wird ja nicht verhindert, wenn das Konto deaktiviert ist.
Eine Deaktivierung sagt ja nur, dass keine Anmeldung akzeptiert wird.
Von daher gehe lieber auf die Suche, ob es wirklich nötig ist, den offenen Port mitsamt der Weiterleitung offen zu halten.

 

[Fusion]

Deaktiviert heißt nur, dass die Anmeldung nicht möglich ist. Das heißt nicht, dass man es nicht versuchen kann.

Schau Mal im Forum die letzten Tage, gibt schon eine Handvoll Einträge zu dem Thema.

Keine Standard Ports ala 5001 etc. benutzen.
Überhaupt so wenig wie möglich öffnen, oder wenn möglich nur mit vormaliger VPN Verbindung und überhaupt nicht direkt.

Firewall aktivieren und Geo Block nutzen.
Regeln von oben nach unten im allow Modus (lokal für deine IPs, von extern nur bestimmte Länder und so wenig Dienste wie möglich) und die Option wenn keine greift den Zugriff verweigern.

 

[Charly54]

Ich habe seit einigen Tagen das gleiche Problem. Seit dem habe ich auch Probleme lokal ins NAS zu kommen. Vielleicht, weil die Einlogversuche im Minutentakt kommen?

 

[NSFH]

Da es sich um wellknown Ports handelt werden diese von Bots attakiert. Sowaas passiert laufend auch auf Ports, welche die Syno nicht meldet.
Der normale, tägliche Wahnsinn.
Abhilfe:

• Syno Firewall Geoblocking aktivieren und nur D zulassen
• Wer nicht auf die Portweiterleitung verzichten will alle äusseren Ports verändern auf zB 42055, intern Port 5001 lassen. Diese Ports werden zwar auch gefunden, aber nur wenn sich jemand intensiver mit der IP beschäftigt. Die normalen Scanbots kommen da nicht hin. Aber vorsicht, nicht einen beliebigen Port nehmen sondern einen aus der Gesamtliste aller Ports auswählen, dem noch keine Funktion zugewiesen wurde. Diese Übersichten findet man im Web.

ODER

• Den Zugang zur Syno nur via VPN realisieren, wobei NICHT der VPN Server der Syno zu nutzen ist sondern der Router oder zB ein Raspi.

 

[EveryDayISeeMyDream]

• Den Zugang zur Syno nur via VPN realisieren, wobei NICHT der VPN Server der Syno zu nutzen ist sondern der Router oder zB ein Raspi.

Weil?

 

[Fusion]

Wenn der von Server eine Lücke hat ist man nach dem Ausbruch auf dem Fileserver / NAS.
Die Firmware der Router ist normal besser gehärtet und weniger komplex bzw. Weniger Softwarekomponenten beteiligt.

Da kann es zwar auch krachen und bei blöder Konfiguration man von dort weitere Angriffe ins lokale Netz fahren... Es ist nur weniger wahrscheinlich meines Erachtens, da mehr Aufwand.

 

[EveryDayISeeMyDream]

Klingt wohl einleuchtend. Blöd nur, wenn man eine FritzBox hat.
Könnte man das sonst auch in einer VM auf der Syno lösen?

 

[eMBae]

Was gefällt dir an der FritzBox nicht?

 

[EveryDayISeeMyDream]

Es geht nicht um Gefallen, aber die Fritzboxen können kein OpenVPN (soweit ich weiß).

 

[the other]

Moinsen,

Blöd nur, wenn man eine FritzBox hat.

Warum? Wenn man nicht zwingend openVPN benötigt, ist die Fritzbox doch super, denn die bringt einen VPN Server mit und die Einrichtung ist von AVM gut dokumentiert. Klar, es wird nicht die superduper Performance sein, nur...für den Einstieg reicht es doch.
Und nein, auch in einer VM hat auf einem Fileserver eigentlich ein VPN Server nix zu suchen. Zur Not tut es aber auch ein Raspi (dann gerne auch mit openVPN oder dem neuen heißen Sch... wireguard.

 

[EveryDayISeeMyDream]

Naja, wer "benötigt" schon irgendwas. Ich hab mich aufgrund der Performance gegen die AVM-Lösung und für OpenVPN entschieden und damit fiel die Fritte raus.

 

[NSFH]

Wer solche Ansprüche hat sollte dann die Fritz ganz raus schmeissen und durch einen VPN Router ersetzen, der nebenbei auch noch eine komplexere Firewall bietet.

 

[trsen]

Synology hat dazu am 04.08.2021 folgende News veröffentlicht:
Düsseldorf, Deutschland - 4. August 2021 - Das PSIRT (Product Security Incident Response Team) von Synology hat in letzter Zeit Berichte über eine Zunahme von Brute-Force-Angriffen auf Synology-Geräte gesehen und erhalten. Die Sicherheitsforscher von Synology glauben, dass das Botnet hauptsächlich von einer Malware-Familie namens „StealthWorker" angetrieben wird. Derzeit sieht das Synology PSIRT keine Anzeichen dafür, dass die Malware irgendwelche Software-Schwachstellen ausnutzt.

Diese Angriffe nutzen bereits infizierte Geräte aus, um gängige administrative Anmeldeinformationen in sauberen Systemen zu kompromittieren. Sind sie erfolgreich, greifen sie auf das System zu, um ihre schädliche Nutzlast zu installieren, zu der auch Ransomware gehören kann. Infizierte Geräte können weitere Angriffe auf andere Linux-basierte Geräte, einschließlich Synology NAS, durchführen.

Synology PSIRT arbeitet mit relevanten CERT-Organisationen zusammen, um mehr über bekannte C&C (Command and Control-) Server hinter der Malware herauszufinden und diese abzuschalten. Synology benachrichtigt gleichzeitig potenziell betroffene Kunden.

Synology rät allen Systemadministratoren dringend, ihre Systeme auf schwache administrative Anmeldeinformationen hin zu untersuchen, die automatische Sperrung und den Kontenschutz zu aktivieren und gegebenenfalls eine mehrstufige Authentifizierung einzurichten.

Systemadministratoren, die verdächtige Aktivitäten auf ihren Geräten festgestellt haben, sollten sich umgehend an den Technischen Support von Synology wenden.

Quelle:
https://www.synology.com/de-de/comp...ht andauernde Brute-Force-Angriffe von Botnet

 

[Puppetmaster]

Wer solche Ansprüche hat sollte dann die Fritz ganz raus schmeissen und durch einen VPN Router ersetzen

Warum das? Es genügt doch, eine fürs VPN dedizierte Hardware dem Netz hinzuzufügen.
Ja, man muss einen Port öffnen dann. Aber eben auch nur einen und der geht genau auf einen VPN Server und sonst nix.
Bei mir werkelt ein RasPi der mir neben OpenVPN auch wireguard zur Verfügung stellt.

 

[Puppetmaster]

Synology rät allen Systemadministratoren dringend, ihre Systeme auf schwache administrative Anmeldeinformationen hin zu untersuchen, die automatische Sperrung und den Kontenschutz zu aktivieren und gegebenenfalls eine mehrstufige Authentifizierung einzurichten.

Da fehlt doch jetzt wieder der explizite Hinweis auf das Deaktivieren des "admin". ?
Die jüngsten Angriffe, von denen hier im Forum berichtet wurde, zielten ja weitestgehend auf diesen Benutzer ab.

 

[NSFH]

Es genügt doch, eine fürs VPN dedizierte Hardware dem Netz hinzuzufügen.
............

Was nun einfacher ist, einen Router zu betreiben der das kann und dazu noch so einiges mehr oder ein zusätzliches Gerät zu installieren darüber kann man streiten. Ein PN Router schlägt hält nur mehr als ein Problem tot bzw. bietet einiges mehr an Leistung und Optionen.
Aber klar ist ein Raspi zB auch eine Option.
Ich wollte damiut nur sagen, dass der Verwendung der Syno als VPN Server eher abzuraten ist.

 

[Puppetmaster]

D'accord. Aber gesagt hast du etwas anderes. ;-)
Und nicht zu vergessen: die "Fritte" ist in aller Regel eben mehr als nur ein Router. DECT Station, Smart-Home Zentrale Kinder- und Jugendschutz-Filter etc.
Mit einem anderen Router ist es damit also nicht getan, wenn du die o.g. Funktionalitäten weiter nutzen möchtest.

 

[NSFH]

Schon wieder falsch.
Erstens habe ic nichts anderes gesagt sondern nur die Raspi Vriante nicht erwähnt
Zweitens funktioniert die Fritz hinter einem Router als DECT Station super.
Desweiteren knn ein guter Router das was Fritz vollmundig Kinderschutz nennt auch. Nur ist es nicht so benannt. Zugriffszeiten, Ziele, Quota etc lassen sich besser einstellen als es die Fritz mit dem kastrierten Userinterface kann.

 

[Puppetmaster]

Schon wieder falsch.

Du meinst, schlechte Quote heute?
Ich kann jetzt zwar 2x nix "falsches" sehen, aber diskutieren will ich mit dir darüber auch nicht. Ist auch nicht der richtige Ort.
Der geneigte Leser wird schon wissen, welche Hardware in welcher Kombination für ihn Sinn macht und welche nicht.
Router + Fritz ist jedenfalls auch eher mehr als weniger im Vergleich zu Fritz + Pi. Und die Konfiguration meine ich dabei noch nicht einmal.