DSM 6.x und darunter Angriffe auf Diskstation

[ctrlaltdelete]

Ist die Suchfunktion defekt?

 

[kgb]

Wenn der Port jetzt zu ist kommt mann mit wireshark ja auch nicht mehr weiter oder?

 

[Synchrotron]

Wenn du dir Malware eingefangen haben solltest, kommt der Datenverkehr von innen. Der benötigt keine speziell geöffneten Ports mehr. Typischerweise wird ein C&C-Server angerufen, und von dort weitere Malware nachgeladen.

Einfach mal beobachten, schadet ja nicht.

 

[Rainer86]

Wenn Schadsoftware nach Hause telefoniert, dann kann man das schon erkennen - Mitschneiden ist übrigens auch auf der FritzBox aktivierbar...

Es lohnt sich mal im Netz zu gucken, wer welche IP anruft ! z.B. Smart-TV

 

[Synchrotron]

Bei mir macht das mein Pi-Hole. Ist ein Nebenprodukt, das macht vor allem Werbeunterdrückung.

Was ein Pi-Hole oder ähnliche Tools nicht erfassen, sind Direktaufrufe von Server-IPs (also ohne DNS-Auflösung). Da muss man tatsächlich den laufenden Traffic abgreifen.

 

[Monacum]

Mitschneiden ist übrigens auch auf der FritzBox aktivierbar...

Das ist richtig, allerdings kann der Laie mit den Rohdaten an sich erst mal nichts anfangen.

 

[kgb]

Gibt's eine Software oder Vieren Scanner wo mann über DIE Ds laufen lassen kann?

 

[Kachelkaiser]

anbei noch welche verbindungen sollte mann kompl. löschen ?

Nur zum Verständnis: für mich sieht der Screenshot in #29 so aus, als hättest du die automatische Routerkonfiguration aktivert. Das sollte man tunlichst lassen und die Ports von Hand im Router freischalten.

Ich hoffe, ich irre mich

 

[Thonav]

Definitiv! Und nein Du irrst Dich nicht - der gute @kgb hat die automatische Routerkonfiguration eingeschaltet. Das sollte man absolut vermeiden.

 

[kgb]

Danke für die Tips wie stelle ich dir automatisch Router Config wider sicher zurück auf Werkseinstellung ?

 

[metalworker]

Deaktivieren komplett .und dann genau prüfen was du im Router dann freigibst

 

[Kachelkaiser]

So wie ich das überblicke, kannst du nur jeden Eintrag einzeln wieder aus der Tabelle löschen

 

[metalworker]

Na ich meinte vorallem im Router abschalten

 

[Synchrotron]

Kommt drauf an was das für ein Router ist. Die Position heißt meistens Automatische Portfreigabe, UPnP oder ähnlich und befindet sich im Bereich der Netzwerkfreigaben.

 

[kgb]

Ist eine FB7590

 

[Benie]

 

[Rainer86]

Das ist richtig, allerdings kann der Laie mit den Rohdaten an sich erst mal nichts anfangen.

Das bezog sich auf meinen Beitrag #39
Oder soll man hier alles zitieren? Das wird ja eigentlich unübersichtlich, wenn das gewollt ist... hier nochmal:

Mit Wireshark den Netzwerkverkehr loggen und auswerten ...

 

[metalworker]

aber um den Datenverkehr auswerten zu können muss man auch Verstehen was da passiert.
Und das ist durchaus schon anspruchsvoll

 

[Gulliver]

Und wo sind die Vorschläge zum "richtig" machen ? Da kommt dann nix ...

Um das 'richtig' geht es im Forum doch häufig...

Nogo: Original-Admin belassen und Port 5000/5001 am Router freigeben
Weniger Angriffe, aber riskant: Portumleitung verwenden
Praktikable Lösung für die meisten, aber nicht aus Bordmitteln und daher etwas aufwändig: VPN oder Reverse Proxy nutzen, alle anderen Ports zumachen
Noch sicherer ist es, die DS gar nicht aus dem Netz erreichbar zu machen.

 

[NSFH]

Reverse Proxy geht mit Bordmitteln (VPN auch aber empfehle ich nicht) und ist neben VPN die einzige Möglichkeit ein wenig Sicherheit zu bekommen.