Attacken auf Synology NAS???

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.167
Punkte für Reaktionen
922
Punkte
148
Hier ein paar Infos aus einem anderen Forum mit Tips zum Einrichten...Und opnsense ist der pfsense ähnlich genug, um das hinzubiegen, denke ich.
Viel Erfolg...
Hallo the other,

das hatte ich schon einmal mit meinem Bruder probiert. Mein OpnSense war "stark genug", um von extern ÜBER EINEN TUNNEL von meinem NAS ein Film zu streamen. Die Fritzbox jedoch nicht. Sobald die VPN zwischen Fritzbox und der OpnSense aktiv war, war das Streamen ein Graus. ;)
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.167
Punkte für Reaktionen
922
Punkte
148
Ich habe von euch viele Tipps erhalten und werden versuchen diese umzusetzen, um zusätzlich zu 2FA, Deaktivierung des Admin-Account, dem Kontoschutz mich noch weiter abzusichern.

Habt vielen Dank.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.563
Punkte für Reaktionen
1.389
Punkte
234

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129
@maxblank die IP sollte nur ein Beispiel sein um zu verdeutlichen dass sich eben nur der letzte Block ändert. Natürlich veröffentliche ich hier nicht die richtigen IPs.

@weyon Also wenn ich innerhalb von 3 Sekunden 30 Login Versuche habe, dann kann man durchaus von einem Angriff reden.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Das ist kein Angriff, das ist nur ein schlecht aufgesetzter Bot. Clevere Angreifer rotieren über tausende von Zielen, so dass sie in Summe ähnlich viele Versuche starten, aber auf dem einzelnen Zielrechner weniger auffallend sind.
 
  • Like
Reaktionen: stulpinger

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.533
Punkte für Reaktionen
1.361
Punkte
194
Das thema hatten wir ja vor kurzen schon mal hier.

Aber gerade wenn du eine opnsense hast , da kannst doch auch Geoblocking machen.

Was mir eher sorgen macht,.
Du hast geschrieben die Angriffe kamen tum teil von 192.168.1.xxx ?
Das kann ja nur aus einem internen Netz kommen ,da würde ich persönlich mehr unruhe haben
 

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
697
Punkte für Reaktionen
91
Punkte
48
@weyon Also wenn ich innerhalb von 3 Sekunden 30 Login Versuche habe, dann kann man durchaus von einem Angriff reden.

Nein, ein Angriff wäre es wenn er gezielt auf dich ausgerichtet wäre. Wie Synchotron gesagt hat, diese automatisierten Bots probieren bei fast allen Geräten die Online sind (Drucker, Kameras, Webserver, SSH, usw.) viele viele Kennwörter durch. Das ist nichts ungewöhnliches. Mit etwas Glück passt eins und man ist drin. Die werden auch durchaus kreativ bei den Benutzernamen, nicht nur Admin wird probiert. Als ich mal testweise ein VDSM mit dem SSH Port Online hatte, kamen die ersten „Angriffe“ bereits nach ca. 1h.
Du kannst ja alle Länder außer Deutschland blockieren, dann sollte schonmal 95% weg sein.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129
@weyon Ich habe immer mal wieder Login versuche, auch mal häufigere am Tag. Wenn ich aber innerhalb von 4 Sekunden von der selben IP Range zig Login Versuche habe dann bezeichne ich das doch als Angriff. Dann halt doch mal die Ips vielleicht verstehst du es dann.

141.98.10.106
141.98.10.112
141.98.11.146
141.98.11.46
141.98.10.69
141.98.10.48
141.98.11.93
141.98.11.83
141.98.11.53
141.98.10.26
141.98.10.109
141.98.10.72

Das war der erste Schwall
141.98.10.131
141.98.11.55
141.98.11.29
141.98.11.65
141.98.11.52
141.98.11.22
141.98.11.14
141.98.11.111
141.98.11.84
141.98.10.132
141.98.11.54
141.98.11.86
Und das war eine Stunde Später.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.871
Punkte
488
Ich hatte vor längerer Zeit sowas auch mal, die Versuche kamen immer von 2.57.121.x. Hab ich dann geblockt in der Fritzbox. Seitdem war nichts mehr.

1686740264084.png
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.167
Punkte für Reaktionen
922
Punkte
148
So, ich habe jetzt die Standardports geändert. Alle Anwendung gehen, nachdem ich die Ports auch in DSVideo/DSCam/DSAudio/DSFile geändert hatte, nach wie vor. Ich bedanke mich für eure Hilfe. ;)(y)
 

Andy+

Benutzer
Sehr erfahren
Mitglied seit
25. Jan 2016
Beiträge
5.362
Punkte für Reaktionen
483
Punkte
189
Ich habe auch manchmal solche Attacken verzeichnen können, die dann gesperrt wurden, es ist unglaublich und dreist. China, Russland, Mexico, Indien, USA, Indonesion, Singapur usw. Portwechsel ist das beste Mittel, denn IP-Wechsel ist nicht von Dauer hilfreich.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Wenn man etwas näher analysieren will, wer/was einen von wo und auf welchen Ports angreift, macht der Honeypot Server der Telekom (T-Pot) einen Heidenspaß. Ist als VM zu installieren (via ISO booten). Dort sieht man grafisch sehr schön alle Details. Ist im Endeffekt eine Sammlung aus mehreren Dutzend Honeypots. Frisst aber gerne mal bis zu 10GB RAM. Wenn man den nicht selbst hosten will, kann man hier die gesammelten Daten aller aktiven T-Pot Server ansehen: sicherheitstacho.eu
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat