DSM 6.x und darunter Admin-Konto deaktiviert und trotzdem Angriffe

Alle DSM Version von DSM 6.x und älter

Energiemacher

Benutzer
Mitglied seit
27. Jul 2013
Beiträge
80
Punkte für Reaktionen
5
Punkte
8
Hallo,

ich habe schon sehr lange das Admin Konto deaktiviert und habe mir einen neuen User mit Adminrechten angelegt.
Soweit so gut.
Die Sicherheitseinstellungen habe ich so angepasst, das nach 2x mal falschem PW innerhalb einer Minute der Account gesperrt wird für 24h.
Damit wollte ich eine massiven Angriff unterbinden.

Seit zwei Tagen versucht aber jemand mein Admin-Konto anzugreifen, denn ich habe nun 2mal die Benachrichtigung erhalten, dass das Admin-Konto gesperrt wurde, wegen falschem PW.

Wie kann es sein, dass jemand das Admin-Konto angreifen kann obwohl es deaktiviert ist?

Wie auf dem Screenshot zu sehen, versucht es da jemand ziemlich häufig. :-(

Wer kann mir helfen?


Danke euch.


Grüße
 

Anhänge

  • Unbenannt5.JPG
    Unbenannt5.JPG
    148,2 KB · Aufrufe: 117

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.332
Punkte für Reaktionen
624
Punkte
174
Ein Anmeldeversuch wird ja nicht verhindert, wenn das Konto deaktiviert ist.
Eine Deaktivierung sagt ja nur, dass keine Anmeldung akzeptiert wird.
Von daher gehe lieber auf die Suche, ob es wirklich nötig ist, den offenen Port mitsamt der Weiterleitung offen zu halten.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Deaktiviert heißt nur, dass die Anmeldung nicht möglich ist. Das heißt nicht, dass man es nicht versuchen kann.

Schau Mal im Forum die letzten Tage, gibt schon eine Handvoll Einträge zu dem Thema.

Keine Standard Ports ala 5001 etc. benutzen.
Überhaupt so wenig wie möglich öffnen, oder wenn möglich nur mit vormaliger VPN Verbindung und überhaupt nicht direkt.

Firewall aktivieren und Geo Block nutzen.
Regeln von oben nach unten im allow Modus (lokal für deine IPs, von extern nur bestimmte Länder und so wenig Dienste wie möglich) und die Option wenn keine greift den Zugriff verweigern.
 

Charly54

Benutzer
Mitglied seit
27. Feb 2014
Beiträge
21
Punkte für Reaktionen
0
Punkte
1
Ich habe seit einigen Tagen das gleiche Problem. Seit dem habe ich auch Probleme lokal ins NAS zu kommen. Vielleicht, weil die Einlogversuche im Minutentakt kommen?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Da es sich um wellknown Ports handelt werden diese von Bots attakiert. Sowaas passiert laufend auch auf Ports, welche die Syno nicht meldet.
Der normale, tägliche Wahnsinn.
Abhilfe:
  • Syno Firewall Geoblocking aktivieren und nur D zulassen
  • Wer nicht auf die Portweiterleitung verzichten will alle äusseren Ports verändern auf zB 42055, intern Port 5001 lassen. Diese Ports werden zwar auch gefunden, aber nur wenn sich jemand intensiver mit der IP beschäftigt. Die normalen Scanbots kommen da nicht hin. Aber vorsicht, nicht einen beliebigen Port nehmen sondern einen aus der Gesamtliste aller Ports auswählen, dem noch keine Funktion zugewiesen wurde. Diese Übersichten findet man im Web.
ODER
  • Den Zugang zur Syno nur via VPN realisieren, wobei NICHT der VPN Server der Syno zu nutzen ist sondern der Router oder zB ein Raspi.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
Wenn der von Server eine Lücke hat ist man nach dem Ausbruch auf dem Fileserver / NAS.
Die Firmware der Router ist normal besser gehärtet und weniger komplex bzw. Weniger Softwarekomponenten beteiligt.

Da kann es zwar auch krachen und bei blöder Konfiguration man von dort weitere Angriffe ins lokale Netz fahren... Es ist nur weniger wahrscheinlich meines Erachtens, da mehr Aufwand.
 
Mitglied seit
16. Aug 2016
Beiträge
57
Punkte für Reaktionen
1
Punkte
8
Klingt wohl einleuchtend. Blöd nur, wenn man eine FritzBox hat. :D
Könnte man das sonst auch in einer VM auf der Syno lösen?
 

eMBae

Benutzer
Mitglied seit
06. Jul 2016
Beiträge
88
Punkte für Reaktionen
29
Punkte
18
Was gefällt dir an der FritzBox nicht?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Blöd nur, wenn man eine FritzBox hat.
Warum? Wenn man nicht zwingend openVPN benötigt, ist die Fritzbox doch super, denn die bringt einen VPN Server mit und die Einrichtung ist von AVM gut dokumentiert. Klar, es wird nicht die superduper Performance sein, nur...für den Einstieg reicht es doch.
Und nein, auch in einer VM hat auf einem Fileserver eigentlich ein VPN Server nix zu suchen. Zur Not tut es aber auch ein Raspi (dann gerne auch mit openVPN oder dem neuen heißen Sch... wireguard.
 
Mitglied seit
16. Aug 2016
Beiträge
57
Punkte für Reaktionen
1
Punkte
8
Naja, wer "benötigt" schon irgendwas. :D Ich hab mich aufgrund der Performance gegen die AVM-Lösung und für OpenVPN entschieden und damit fiel die Fritte raus.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Wer solche Ansprüche hat sollte dann die Fritz ganz raus schmeissen und durch einen VPN Router ersetzen, der nebenbei auch noch eine komplexere Firewall bietet.
 
  • Like
Reaktionen: the other

trsen

Benutzer
Mitglied seit
05. Jun 2019
Beiträge
7
Punkte für Reaktionen
3
Punkte
53
Synology hat dazu am 04.08.2021 folgende News veröffentlicht:
Düsseldorf, Deutschland - 4. August 2021 - Das PSIRT (Product Security Incident Response Team) von Synology hat in letzter Zeit Berichte über eine Zunahme von Brute-Force-Angriffen auf Synology-Geräte gesehen und erhalten. Die Sicherheitsforscher von Synology glauben, dass das Botnet hauptsächlich von einer Malware-Familie namens „StealthWorker" angetrieben wird. Derzeit sieht das Synology PSIRT keine Anzeichen dafür, dass die Malware irgendwelche Software-Schwachstellen ausnutzt.

Diese Angriffe nutzen bereits infizierte Geräte aus, um gängige administrative Anmeldeinformationen in sauberen Systemen zu kompromittieren. Sind sie erfolgreich, greifen sie auf das System zu, um ihre schädliche Nutzlast zu installieren, zu der auch Ransomware gehören kann. Infizierte Geräte können weitere Angriffe auf andere Linux-basierte Geräte, einschließlich Synology NAS, durchführen.

Synology PSIRT arbeitet mit relevanten CERT-Organisationen zusammen, um mehr über bekannte C&C (Command and Control-) Server hinter der Malware herauszufinden und diese abzuschalten. Synology benachrichtigt gleichzeitig potenziell betroffene Kunden.

Synology rät allen Systemadministratoren dringend, ihre Systeme auf schwache administrative Anmeldeinformationen hin zu untersuchen, die automatische Sperrung und den Kontenschutz zu aktivieren und gegebenenfalls eine mehrstufige Authentifizierung einzurichten.

Systemadministratoren, die verdächtige Aktivitäten auf ihren Geräten festgestellt haben, sollten sich umgehend an den Technischen Support von Synology wenden.

Quelle:
https://www.synology.com/de-de/comp...ht andauernde Brute-Force-Angriffe von Botnet
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Wer solche Ansprüche hat sollte dann die Fritz ganz raus schmeissen und durch einen VPN Router ersetzen
Warum das? Es genügt doch, eine fürs VPN dedizierte Hardware dem Netz hinzuzufügen.
Ja, man muss einen Port öffnen dann. Aber eben auch nur einen und der geht genau auf einen VPN Server und sonst nix.
Bei mir werkelt ein RasPi der mir neben OpenVPN auch wireguard zur Verfügung stellt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Synology rät allen Systemadministratoren dringend, ihre Systeme auf schwache administrative Anmeldeinformationen hin zu untersuchen, die automatische Sperrung und den Kontenschutz zu aktivieren und gegebenenfalls eine mehrstufige Authentifizierung einzurichten.
Da fehlt doch jetzt wieder der explizite Hinweis auf das Deaktivieren des "admin". ?
Die jüngsten Angriffe, von denen hier im Forum berichtet wurde, zielten ja weitestgehend auf diesen Benutzer ab.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Es genügt doch, eine fürs VPN dedizierte Hardware dem Netz hinzuzufügen.
............
Was nun einfacher ist, einen Router zu betreiben der das kann und dazu noch so einiges mehr oder ein zusätzliches Gerät zu installieren darüber kann man streiten. Ein PN Router schlägt hält nur mehr als ein Problem tot bzw. bietet einiges mehr an Leistung und Optionen.
Aber klar ist ein Raspi zB auch eine Option.
Ich wollte damiut nur sagen, dass der Verwendung der Syno als VPN Server eher abzuraten ist.
 
  • Like
Reaktionen: Synchrotron

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
D'accord. Aber gesagt hast du etwas anderes. ;-)
Und nicht zu vergessen: die "Fritte" ist in aller Regel eben mehr als nur ein Router. DECT Station, Smart-Home Zentrale Kinder- und Jugendschutz-Filter etc.
Mit einem anderen Router ist es damit also nicht getan, wenn du die o.g. Funktionalitäten weiter nutzen möchtest.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.098
Punkte für Reaktionen
577
Punkte
194
Schon wieder falsch.
Erstens habe ic nichts anderes gesagt sondern nur die Raspi Vriante nicht erwähnt
Zweitens funktioniert die Fritz hinter einem Router als DECT Station super.
Desweiteren knn ein guter Router das was Fritz vollmundig Kinderschutz nennt auch. Nur ist es nicht so benannt. Zugriffszeiten, Ziele, Quota etc lassen sich besser einstellen als es die Fritz mit dem kastrierten Userinterface kann.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Schon wieder falsch.
Du meinst, schlechte Quote heute?
Ich kann jetzt zwar 2x nix "falsches" sehen, aber diskutieren will ich mit dir darüber auch nicht. Ist auch nicht der richtige Ort.
Der geneigte Leser wird schon wissen, welche Hardware in welcher Kombination für ihn Sinn macht und welche nicht.
Router + Fritz ist jedenfalls auch eher mehr als weniger im Vergleich zu Fritz + Pi. Und die Konfiguration meine ich dabei noch nicht einmal.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat