Attacken | IP-Adresse [xxx.xxx.xxx.xxx] wurde von SSH auf Synology blockiert

[Andy+]

Seit Beginn der Kriegshandlungen zwischen Ukraine und Russland kann ich über die Blockierung von IP´s auf meiner Produktiv-DS ungewöhnlich hohe Aktivitäten bzw. Attacken verzeichnen. Wie geht es euch damit?

 

[mayo007]

bei mir ist nix

 

[stulpinger]

Hab die DS-Firewall auf Zugriff nur von Österreich eingestellt, heute war ein Versuch aus Österreich, wurde aber blockiert, sonst seit Ewigkeiten Ruhe

 

[Ulfhednir]

Also seit KW 06 ist mehr Druck auf dem Kessel vom USG.

 

[himitsu]

Ja, es war aktuell etwas mehr, als sonst,
aber seit meine die Firewall wieder OK ist, ist nun auch wieder Ruhe.

OK, es könnte sein, dass es an dem aktuell etwas stärkeren Cyberkrieg liegt,
aber ich hätte das eher auf die neuere Sicherheitslücke geschoben, dass es nun mehr versucht wird.

https://www.synology-forum.de/threads/sicherheitsluecke-in-dsm-6-und-7.119993/page-3#post-992680
#44 #46 ..

 

[Ulfhednir]

Also die Targets richten sich bei mir nicht an die DS. Die ohnehin als DS nach außen nicht erkennbar ist, da vorgeschaltet der SWAG-Reverse Proxy liegt.
Die Threat-Versuche haben sich seit KW 6 bei mir verdoppelt. Über Geo-IP werden bereits kritische Länder (China, Russland und Co.) geblockt.
Hier klopfen aber leider viele aus USA und Deutschland an. Die kann ich schlecht per Geo-IP blocken.

 

[ctrlaltdelete]

Trotz fester öffentlich IP seit Jahren Ruhe und jetzt auch nix Neues.

 

[heavy]

Ich habe auf den Mailserver vermehrte Angriffe leider greift da die Firewall auch nicht wirklich. Ich muss dann die DSL Leitung neu verbinden um dann wieder eine Weile Ruhe zu haben.

 

[peterhoffmann]

Port 22 ist halt heiß begehrt.

Wenn schon SSH nach außen zugänglich sein muss: Warum ändert ihr den Port nicht bzw. biegt ihn im Router um?

Port 42781 und Zehntausend andere im hohen Zahlenbereich warten nur darauf auch mal zum Einsatz zu kommen. ;-)

 

[Ulfhednir]

Gestern Abend gab es wieder vermehrt Angriffsversuche. Ursprünglich aufgefallen, dass man versuchte meinen FTP-Zugang zu knacken.
Den habe ich täglich für eine Stunde offen, damit einige Webseiten-Backups durchlaufen können. Die DS gab hierzu dann aufgrund des Autoblocks eine Mail. Normalerweise stört mich das Grundrauschen ja nicht. In diesem Fall ging es aber mit anderen Attacken (log4j Attempt) - insgesamt ~50 Versuche etc. weiter.

Die IP habe ich dann geblockt und den Reverse Proxy vom Netz genommen - dann war natürlich Ruhe.
Bei der Studie meiner Logs bin ich dann auf folgendes gestoßen:

192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:30:51 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:15 +0100] "GET / HTTP/1.1" 301 169 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:16 +0100] "GET / HTTP/1.1" 200 1344 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:18 +0100] "GET /login.jsp HTTP/1.1" 301 169 "-" "cyberscan.io"
192.168.64.1 - - [13/Mar/2022:19:31:18 +0100] "GET /index_en.htm HTTP/1.1" 301 169 "-" "cyberscan.io"
Der Log enthält über 15000 Records.

Der Angreifer hat hier also auf Dienste Pen-Test-Tools von cyberscan.io zurückgegriffen, welche auf scheinbar Google-Servern betrieben werden. (WHOIS).

Es sollte sich jeder, der Dienste nach Außen öffnet, zu einer passablen Firewalllösung Gedanken machen. Die Firewall der DS hilft hier nur bedingt - zumal die Anfrage aus einem Rechenzentrum aus Deutschland kam. Ihr könnt euch aber obligatorisch die Quell-IP: 35.246.143.66 sperren.

 

[Andy+]

Bei mir ist nun seit Tagen wieder Ruhe. Ich hatte "Login-Versuche" ohnehin immer auf 3 stehen und "Innerhalb von" auf 20 Minuten erhöht. Dadurch gab es noch mal etwas gehäufter Blockiermeldungen, dann wars vorbei. Gesammelt habe ich dadurch rund 170 Elemente, alleine seit Anfang März. Ich habe noch rund 30 weitere Blockiereinträge, die sich im Gegensatz dazu in den letzten 4 Jahren angesammelt haben.

Da würde ich glatt sagen, CyperKrieg im Osten lässt grüssen.

 

[geimist]

Auch ich sehe bei mir keine vermehrte Aktivität. Seitdem ich die Blockliste per Skript mit blocklist.de abgleiche, ist es eh sehr ruhig.
Derzeit sind rund 33000 IPs bei mir blockiert.

 

[Ulfhednir]

Bei mir sind 3 Logins innerhalb von 3 Minuten konfiguriert. Zusätzlich habe ich über meine USG diverse Geo-Blocks erstellt. Aus Russland, China etc. kommt also schon gar nichts rein. Allerdings bringt die Auto-Sperre Konfiguration nichts, wenn das Ziel für die Exploits gar keine Authentifizierung notwendig ist bzw. das Ziel nicht auf andere Webapplikationen zielt. cyberscan.io scant z.B. nach Sicherheitslücken von bugzilla, diversen Wikis und Co.