Anmeldeversuche über SSH

[greydutch]

Guten Tag,

ich bekomme momentan alle 4-5 Minuten per Mail eine Meldung dieser Art:

"Die IP-Adresse [192.210.220.6] hat innerhalb von 5 Minuten 3 Mal vergeblich versucht, sich bei SSH auf synology220 anzumelden und wurde um 05/05/2022 20:27 blockiert.
Von synology220"

Das Problem gibt es seitdem ich kürzlich auf meinem NAS den Plex Server installiert habe und anschliessend zwei Freunden den Zugang zu dort gespeicherten Videos ermöglicht habe.

SSH ist bei mir ausgeschaltet.

Mein Username und Passwort habe ich vor einiger Zeit geändert. Das Passwort wurde mit einem Generator erstellt.

Muss ich mir Sorgen machen? Und wie kann ich den Versand dieser E-Mails unterbinden? Ich möchte mein Synology Konto nur ungern als Spam bezeichnen müssen...

Besten Dank!

 

[Mavalok2]

Immer die gleiche IP-Adresse?
Hier versucht jemand auf Dein NAS zuzugreifen, aus Buffalo USA. Ich nehme nicht an, dass dies einer der besagten Freunde sein wird.

Ich empfehle ja grundsätzlich kein NAS offen ins Internet zu stellen ohne zusätzlichen Schutz. Meine erste Empfehlung würde da ja lauten, das NAS nicht mehr offen ins Internet zu stellen. Aber das wirst Du vermutlich nicht höre wollen.

Alternativ als erste Maßnahme - sofern dies keiner Deiner Freude ist - würde ich die Blockzeit auf 1 Tag oder mehr setzen. Dann kommt die Meldung nicht mehr so häufig und der Spion wird massiv ausgebremst.
Dann die üblichen Sicherheitsmaßnahmen: Starke Passwörter, Benutzer "admin" durch anderen Administrator-Benutzer ersetzen und deaktivieren, wenn möglich keine Standard-Ports verwenden, aktuelle Updates von DSM (Firmware) und Apps, mal den Sicherheits-Berater durchlaufen lassen, Virenschutz aktualisieren und über das System laufen lassen. Gibt da glaube ich auch ein Advisory von Synology.

 

[Synchrotron]

Klar doch, super Idee, einfach abschalten, den nervigen Sicherheitskram ...

Die Meldung hört übrigens auch dann einfach auf, wenn der Zugriffsversuch erfolgreich war. Änder doch den User auf "admin" und das Passwort auf "password" - man muss es den Leuten doch nicht künstlich schwer machen zuzugreifen ...

Also dann, Spaß beiseite: Da will jemand rein - und zwar vermutlich ein Script, dass es einfach seelenlos weiter versucht, bis es klappt oder jemand den Stecker zieht. Das kannst du nicht mal zurück ärgern.

Egal ob SSH aktiv ist - vermutlich steht Port 22 auf deinem Router offen, und leitet Anfragen an die DS weiter. Was zu der Vermutung führt, dass du es der DS überlässt, deinen Router zu konfigurieren, ist ja auch einfacher so. Die Pest heißt UPnP und ist irgendwie nicht tot zu kriegen. Da dürfte dann nicht nur Port 22 sinnlos offen stehen.

Also hast du wohl ein paar Hausaufgaben:

• Den Router durchchecken und entweder alles abschalten / löschen, was du nicht brauchst. Oder (was eventuell einfacher und vermutlich sowieso sicherer wäre) den Router auf Werkseinstellungen zurück setzen, und neu einrichten.
• UPnP auf dem Router verbieten, und auf der DS (sowie anderen Geräten) abschalten.
• Mit deinen Kumpels klären, worauf und warum die eigentlich den Zugriff benötigen. Sie könnten sich z.B. auch mit einem VPN mit deinem Netzwerk verbinden, und dann über ihre User das zugeteilt bekommen, auf was sie Zugriff haben sollen. Dann wäre dein Netzwerk nach außen dicht, und nur berechtigte VPN-User kämen hinein.

 

[greydutch]

@Mavalok2
@Synchrotron

vielen Dank für die Rückmeldungen!

Die IP-Adressen sind immer unterschiedlich. Danke für den Hinweis, die Blockzeit auf 1 Tag+ zu setzen. Das hat, denke ich, bereits etwas gebracht.

Den User "admin" hatte ich bereits vor längerer Zeit geändert und das Passwort wurde von einem Generator erstellt. Es scheint mir daher recht sicher zu sein. System ist auf dem neuesten Stand, Es sind lediglich zwei Ports freigeschaltet (für WebDav und seit kurzem eben für Plex, es wurden hierfür allerdings keine Standardports verwendet). Ich verwende generell keine Standardports, schon gar nicht Port 22. Webdav hatte ich schon vor zwei Jahren eingerichtet und die genannten Probleme fingen erst an, nachdem ich den Plex Server installiert hatte.

Natürlich will ich keine sinnvollen Warnmeldungen ignorieren, mir ging es eher darum, wie gefählich diese Anmeldeversuche wirklich sind, oder ob sie letzten Endes immer ins Leere laufen. Nur wenn das der Fall ist, würde ich diese Meldungen zumindest unterdrücken wollen. Klar, wenn ich niemandem Zugang zu meinem NAS gebe ist das sicherer, aber ich fand die Lösung, über Plex Videos zu streamen geradezu generell. Wenn es allerdings wirklich eine unsichere Sache ist, würde ich (schweren Herzens) den Plex Server wohl wieder deinstallieren.

Besten Dank.

 

[Rotbart]

Die Frage ist ja wieso du ein Zugriffversuch auf Port 22 hast wenn der im Router nicht freigegeben ist.Es gibt Webseiten wo du von außerhalb dein Netzwerk auf offene Ports scannen kannst.

 

[Synchrotron]

Wenn die Meldung von der DS kommt, müssen 2 Voraussetzungen erfüllt sein:

Port 22 am Router ist ansprechbar
Und
Ist intern an die DS weiter geleitet

Der Rest ist Lesen im Kaffeesatz. Du darfst jederzeit deine eigene IP scannen, und bekommst so alle offenen Ports im Standardbereich zu sehen. Wohin sie durchgeleitet sind, kann der Portscanner nicht erkennen.

Checken kannst du zum Beispiel hier:

https://www.grc.com/

So sieht es aus, wenn es sauber ist: Ein Port reagiert auf den Ping, ist aber geschlossen, 443 ist offen (verschlüsseltes Internet), alle anderen laufen im Stealth-Modus und antworten nicht auf Pings. Bei dir müsste u.a. Port 22 rot sein. Für die oberen Ports muss man getrennt scannen, dort wären bei mir z.B. die VPN-Ports zu finden.

 

[Mavalok2]

Danke für den Hinweis, die Blockzeit auf 1 Tag+ zu setzen.

Wenn dies immer komplett unterschiedliche IP-Adressen sind bringt dies dann leider nicht all zu viel.

Die Pest heißt UPnP

In der Tat. Das vergesse ich immer zu erwähnen, denn ist für mich schon eher Schadsoftware und gehört grundsätzlich deaktiviert. Dies stammt noch aus Zeiten, als das Internet noch Friede, Freude, Eierkuchen war und nicht wie jetzt ein Kriegsschauplatz.

Sie könnten sich z.B. auch mit einem VPN mit deinem Netzwerk verbinden,

Definitiv die bessere Lösung.

 

[framp]

Ich bevorzuge zum Testen der offenen Ports den Heise Netzwerkcheck

 

[Stationary]

Wenn dies immer komplett unterschiedliche IP-Adressen sind bringt dies dann leider nicht all zu viel.

Wie wäre es mit dem Aktivieren von Geoblocking?

 

[Fusion]

Frage ist auch wieso ein webdav und/oder Plex Port zu einem SSH Anmeldungsfehler führen soll. Irgendwas fehlt mir in dem Bild noch.

Aber wir kennen bis jetzt auch nur ein Bruchteil der beteiligten Einstellungen vom Internetanschluss/Typ, IP Protokoll, Router/Firewall/NAT, DS Firewall und Dienste Einstellungen und zuletzt den Plex Netzwerkeinstellungen.

 

[framp]

@greydutch Wie @Fusion schon schrieb: Irgendwie passt der ssh Port nicht zu webdav oder plex. Ich vermute bei Dir ist der ssh Port am Router offen und wird an Deine Syno weitergeleitet. Ich rate Dir dringend mal nachzusehen welche Ports denn von aussen bei Dir offen sind mit den genannten Tools. Dann schliesst Du die Ports die nicht notwendig sind - insbesondere Port 22. Wenn Du Probleme hast die Ports zu schliessen lass uns wissen und wir versuchen rauszufinden warum das nicht geht

 

[greydutch]

Guten Abend,

besten Dank für die vielen Rückmeldungen, die ich alle aufmerksam gelesen habe! Ich habe eine Fritz!Box 7590 und dort war die Einstellung UPnP tatsächlich aktiv. Das habe ich jetzt geändert. Ich habe auch den Heise Netzwerkcheck gemacht, das Ergebnis war: "Gratulation, der Test hat keine Probleme gefunden". Die Website grc.com habe ich mir angesehen, aber ich weiss nicht, welches von den vielen dort angebotenen Programme ich für den Scan einsetzen sollte.

Jetzt zu den offenen Ports. Freigegeben sind folgende: WebDav, HTTPS Umleitung, Webstation, SFTP (damit tausche ich mit meinem Bruder im Ausland Daten aus, Software ist Filezilla, läuft schon seit Jahren), Drive, Calendar und Plex. Davon habe ich SFTP, WebDav und Plex selber freigegeben. Die Portnummern sind alle fünfstellig (nur Drive hat vier), es gibt definitiv keine Portfreigabe 22.

Ich habe versucht hrauszufinden, wie man SSH am Fritzbox deaktivieren kann, aber ich habe dazu leider nichts Gescheites gefunden. Ich habe im Fritz!Box Menü dazu auch gar keinen Eintrag gefunden.

Vorsichtshalber habe ich den Plex Server temporär deinstalliert, aber die Warnungen kamen genau so zahlrecih wie davor, so dass ich vermute, dass das Problem mit dem Plex Server eher nichts zu tun hat.

Anbei ein Screenshot, wo man sehen kann, wie es bei mir im Email Eingangsverzeichnis in den letzten Stunden aussah.

Ich hoffe, diese Angaben helfen den Experten hier, das Problem weiter einzukreisen. Vielen Dank für die rege Beteiligung!

 

[luddi]

Davon habe ich SFTP, [...] freigegeben.

Ich glaube das könnte der Grund sein warum uns das Protokoll hier in die Irre führt.
Meine Vermutung ist jetzt, dass das Protokoll "SSH" anstelle von "SFTP" anzeigt. Eine SFTP Verbindung ist ja nichts anderes als eine gesicherte Verbindung über die ssh Transportschicht.

 

[framp]

läuft schon seit Jahren

Aber jetzt hat Dich jemand auf dem ssh Port der von sftp genutzt wird entdeckt

damit tausche ich mit meinem Bruder im Ausland Daten aus

Solche Dinge solltest Du beser per VPN erledigen. Die Syno hat einen VPN Server den Du dazu nutzen kannst

 

[luddi]

Die Syno hat einen VPN Server den Du dazu nutzen kannst

Dann wird eines Tages der Port von VPN entdeckt und dann tauchen im Log plötzlich die Anmeldeversuche über VPN auf

Damit verlagert man doch nur das Problem auf einen anderen Dienst.

 

[framp]

Damit verlagert man doch nur das Problem auf einen anderen Dienst.

Im Prinzip hast Du Recht. Aber dann bin ich 99.9% sicher dass mich dann keiner unberechtigt besuchen kann Ich denke auch dass ungueltige VPN Anfragen auf der Syno auf Port 1994 silently ignored werden.

 

[luddi]

Meine Vermutung ist jetzt, dass das Protokoll "SSH" anstelle von "SFTP" anzeigt.

So ich habe das Verhalten nun an meinem Setup ausprobiert und mein Verdacht hat sich bestätigt.

Der SFTP Port ist hierbei nicht 22 sondern einer der User Ports (im Bereich von 1024 bis 49151).

Initiiert man einen fehlerhaften Anmeldeversucht auf dem SFTP Server dann bekommt man exakt diese Meldung im Protokoll angezeigt.
Es wird "SSH" als Protokoll angegeben und nicht SFTP.



Somit hätten wir das nun auch geklärt.
Es hat rein gar nichts mit Plex oder etwas anderem zu tun was kürzlich installiert wurde. Es ist eher ein Zufall, dass die Häufigkeit der Anmeldeversuche über SSH zugenommen hat seit der Installation von Plex.

 

[greydutch]

Erneut herzlichen Dank für die Hilfe!

Ich werde mich demnächst also mit dem Thema VPN und Synology auseinandersetzen (ist absolutes Neuland für mich).

@luddi Danke für den Test. Wenn ich dich richtig verstehe, ist also das SFTP Protokoll die Ursache. Und ich dachte gerade, dass das ein verhältnismäßig sicherer Weg wäre, Daten auszutauschen. Würde es fürs Erste reichen, wenn ich einfach die SFTP Portnummer ändere (sie ist tatsächlich fünfstellig)?

Und noch eine Frage: wie groß ist die Gefahr, dass ein solcher Hackversuch erfolgreich ist? Hilft hier die Tatsache, dass das Passwort meiner Synology wirklich sehr kryptisch ist ?

 

[luddi]

Wenn ich dich richtig verstehe, ist also das SFTP Protokoll die Ursache.

Genau das wollte ich damit sagen.

Und noch eine Frage: wie groß ist die Gefahr, dass ein solcher Hackversuch erfolgreich ist? Hilft hier die Tatsache, dass das Passwort meiner Synology wirklich sehr kryptisch ist ?

Gefahr lauert immer sobald man jemandem die Möglichkeit gibt sich an einem System anzumelden.
Wie gross die Gefahr ist, lässt sich eigentlich nicht beantworten.
Man kann eigentlich nur Maßnahmen definieren um die Anmeldeversuche zu minimieren wie z.B. das blockieren der IP nach einer bestimmten Anzahl in einem definierten Zeitfenster.

Eine Garantie wird dir niemand geben und du wirst auch keine 100 prozentige Sicherheit erzielen können.

Wie so oft mit Sarkasmus erwähnt wird, nur ein ausgeschaltetes System ist ein sicheres aber auch zugleich ein unbrauchbares System.

 

[framp]

Wenn Du ein VPN aufsetzt musst Du Deinen Kontakten einen Schluessel uebergeben mit dem sie sich auf Dein System verbinden koennen. Bei sftp bzw ssh ist die Datenuebetragung veschluesselt - aber ein jeder kann sich anmelden sofern er das Password kennt oder erraet oder durch endlose Versuche ausprobiert. Er braucht keinen VPN Schluessel ...

Wenn Dein ssh Password wie Du schon schriebst generiert und hoffentlich lang genug ist brauchst Du Dir keine Sorgen machen. Aber trotzdem solltest Du bei externen Internetverbindungen immer ein VPN nutzen. Damit bist Du wirklich auf der sicheren Seite