j-Serie DS 213j - heute mehrs als 300 Versuche von unbek. Usern auf meine DS zu zugreifen

[venceremo]

Hallo zusammen,


Ich habe folgendes doch sehr bedenkliches Problem:
Mir ist gerade eben aufgefallen, dass allein heute mehr als 300 unbekannte Benutzer von außen versucht haben auf meine DS zuzugreifen. Zwar scheint das immer gescheitert zu sein, aber richtig kann das ja nun wirklich nicht sein.
Die Meldung heißt: User [...] from [...] failed to log in via [SSH] due to authorization failure.

Ich kenne mich leider mit Diskstations nur sporadisch aus und nutze nur die gängigsten Funktionen der Synology. An Ports habe ich aber wirklich nur das geöffnet, was ich tatsächlich brauche. Die einzige Vermutung die ich habe ist, dass der Name meiner dynamischen DNS so 'populär' ist, dass viele Nutzer den 'erraten' können. Könnte es eine Lösung sein, einen etwas exotischeren DynDNS Namen zu verwenden?

Was kann ich tun um die Sicherheit meiner Synology zu verbessern?


Vielen Dank schon mal!
venceremo

 

[Puppetmaster]

Hallo!

Willkommen im Internet!
Wer da seine Pforten (Ports) öffnet, bekommt zwangsläufig Besuch.

Höhere Sicherheit durch möglichst wenig offene Ports und sichere (kryptisch, lang) und häufiger wechselnde Passwörter.

Da du so extrem viel Besuch hast, wirst du wohl einen populären Port wie 22 (SSH) oder dergleichen geöffnet haben. Darauf würde ich dann verzichten, bzw. die IP-Blockierung in der Systemsteuerung aktivieren.

 

[venceremo]

Hi!

Danke schon mal für deine Antwort!
Dieses Internetz ist aber auch ein Teufelszeuch... ^^
Klar, klar, was du schreibst, aber ist es normal, dass man wirklich so viele ungewollte Zugangsversuche von außen hat? In den letzten Tagen waren es zwar deutlich weniger als heute, aber trotzdem auch meisten so ca. 70.
Tjoa und was gibts für Alternativen zum Öffnen von solchen populären Ports?


Grüße,
venceremo

 

[Puppetmaster]

Tjoa und was gibts für Alternativen zum Öffnen von solchen populären Ports?

Kommt darauf an, was du damit anstellst. Man könnte ggf. den Port verlagern, wenn die Anwendung das zuläßt. Aber dazu müßte man jetzt wissen, was du genau machst und auf welchem Port (Dienst) die Angriffe denn erfolgen.

 

[venceremo]

Und wie funktioniert die IP-Blockierung in der Systemsteuerung genau? Was muss ich dazu wissen?

 

[Puppetmaster]

Erklärt sich eigentlich von selbst: du gibst an, wie oft sich eine IP mit falschen Daten bei deiner DS versuchen darf, danach ist der Zugriff blockiert.
Wie lange eine IP dann blockiert ist, kannst du ebenfalls einstellen.

Aber: man kann sich auch hübsch selbst damit aussperren!

 

[venceremo]

Damit das mit dem Aussperren nicht passiert wollte ich lieber auf ne kurze Erlärung warten. War dann aber doch zu neugierig und habs selber gemacht. Wie du sagst, man kann wohl nicht viel falsch machen.
Bei Durchschauen war mir aufgefallen, dass es wirklich über die ganze letzte Zeit anscheinend eine einzige IP war die mit allen denkbaren Benutzernamen drauf zu kommen. Die ist jetzt gesperrt. Mal schaun was nu so passiert und ob da noch was kommt.

Eine Frage hab ich aber noch: Können solche massiv andauernden Zugriffsversuche sich auf die Leistung und Auslastung der Synology auswirken oder ist das nicht nennenswert?

Danke für deine Hilfe!

 

[Frogman]

Ich kenne mich leider mit Diskstations nur sporadisch aus und nutze nur die gängigsten Funktionen der Synology. An Ports habe ich aber wirklich nur das geöffnet, was ich tatsächlich brauche. Die einzige Vermutung die ich habe ist, dass der Name meiner dynamischen DNS so 'populär' ist, dass viele Nutzer den 'erraten' können. Könnte es eine Lösung sein, einen etwas exotischeren DynDNS Namen zu verwenden?

Die Jungs finden Deine DS wahrscheinlich nicht, weil Dein Anschluss so 'nen klasse Domainnamen hat, sondern mit Portscans (da werden per Brute-Force IP-Nummern mit typischen Ports abgeklappert - und da hat dann Deine DS ein Echo gegeben). Eine Änderung der DDNS-Domain hilft demnach nix. Was mich allerdings auch wundert: wenn Du Dich als Nutzer gängiger Funktionen mit sporadischen Kenntnissen siehst - warum um Himmels willen aktivierst Du SSH und stellst diesen exponierten Port auch noch online?

 

[jan_gagel]

Eine Frage hab ich aber noch: Können solche massiv andauernden Zugriffsversuche sich auf die Leistung und Auslastung der Synology auswirken oder ist das nicht nennenswert?

Ich würde lieber die Frage stellen, "sind meine Daten dort noch sicher?" oder "wurde meine DiskStation schon kompromittiert?"

Zwecks der Leistung, ich denke mal, die kann man vernachlässigen. Vielleicht hält die DS oder dein Internet-Zugang einer DDNS-Attacke nicht lange Stand, aber so wenige Anmeldeversuche..

Ich hab auch die automatische Blockierung laufen, obwohl ich derzeit keine Dienste nach außen anbiete, die einer Authorisierung erfordern (Ausnahme wäre die PhotoStation). VPN läuft nicht über die DS. Aber bei jedem Dienst, der vom Internet aus erreichbar ist, gibt es "Angriffe" drauf. Portscans und Anmeldeversuche mit Wörterbüchern dürfte an der Tagesordnung im Internet sein.

Gut, daß gängige Heim-Router diese "Angriffe" und Portscans nicht mit protokollieren. Denn würde man alles zusammenfassen, würde an einem Tag so ein Protokoll von allen Internet-Zugängen in Deutschland wohl mehrere GB voll machen. Andere "Angreifer" kommen wohl auch von div. Tauschbörsen. Könnte sein, daß man an einem Tag mal zufällig eine IP bekommt, wo vorher ein Client von einer Tauschbörse lief und deshalb wird diese IP jetzt ebenso abgefragt.

Außerdem kann ich mich der Frage von Frogman nur anschließen:

warum um Himmels willen aktivierst Du SSH und stellst diesen exponierten Port auch noch online?

 

[venceremo]

Berechtigte Frage!

Ganz ehrlich gesagt, habe ich meine DS größtenteils mit Hilfe von Tutorials eingerichtet. Klar hab ich da nicht eins-zu-eins alles umgesetzt was erklärt wurde, sondern nur das was ich so brauche und was mir sicher erscheint.
Ich nutze die audio- + photo- + video-Station, die Filestation, VPN und FTP. Alle dafür nötigen Ports hab ich offen. Ich habe aber leider nicht dauerhaft auf dem Schirm welcher Port für was da war. Ich glaube gewissenhaft vorgegangen zu sein beim Öffnen von Ports. Das heißt ich würde jetzt im Nachhinein sagen, dass ich den Port 22 mal mit irgendnem guten Grund aufgemacht zu haben. Klar, das ist blöd, aber so wenig wie ich die Syno ausreize hat das gereicht. Nur jetzt eben nicht.
Deswegen die Frage, wofür genau ist der Port 22 und SSH zuständig? Falls nicht gebraucht würde ich den schießen.

Ich bin einfach noch total in der Lernphase was die Syno angeht... Ich werd mich bessern was Portfreigaben etc angeht...^^

 

[venceremo]

1.

Ich würde lieber die Frage stellen, "sind meine Daten dort noch sicher?" oder "wurde meine DiskStation schon kompromittiert?"

Klar, da hast du absolut Recht! Aber was heißt in dem Fall 'kompromitiert'?
Woher kann das kommen? und Wie werd ichs wieder los?


2. Reicht es denn jetzt IPs im DSM zu sperren oder sollte das im Router passieren?

 

[Frogman]

Aber SSH ist standardmäßig deaktiviert - das musst Du dann bewußt einschalten... Und zum Thema Portweiterleitungen: ich würde immer empfehlen, nur die unbedingt notwendigen Ports freizumachen und nichts auf Verdacht "weil's vielleicht mal nützlich ist". Und falls Du bspw. eine Fritzbox als Router Dein eigen nennst - die bietet (über https) auch einen externen Zugriff per Benutzeranmeldung, d.h. Du kannst durchaus Portweiterleitungen einrichten, aber deaktiviert lassen, um sie im Bedarfsfall von draußen zu aktivieren. Die meiste Zeit braucht man die Ports ja dann doch nicht.... Edit: kompromitiert heißt nur, dass jemand eingedrungen ist.

 

[jan_gagel]

Also hinter dem Port 22 und dem dazugehörigen Dienst (ssh-Server) verbirgt sich die Kommandozeile von Linux. Solltest du damit nix anfangen können, würde ich zum Einen den Dienst beenden (Systemsteuerung Terminaldienste) und zum Anderen auch die Portweiterleitung zumindest deaktivieren. Vielleicht hat der Syno-Support mal bei dir vorbei geschaut? Oder ein Kollege / Freund hat dir mal geholfen?

Gerade für Anfänger ist die Konsole / die Kommandozeile nicht gerade zu empfehlen. Denn anders als bei Windows darf der Linux- / Unix-Gott (root) alles und kann nicht ausgesperrt werden. Setzt man beispielsweise das Kommando, sämtlichen Verzeichnisinhalt rekursiv zu löschen, befindet sich dabei womöglich noch auf der obersten Ebene, dann gute Nacht. Das System löscht alles, was es in die Finger bekommt, einschließlich eventueller gemounteter Datenträger (Netzwerk oder USB). Auch wird dem User root nicht ständig irgend eine Frage gestellt, das System geht davon aus, daß der root weiß, was er tut.

Eben weil der root so tiefgreifende Rechte besitzt, gibt ein Unix- / Linux-Admin das root-Kennwort nicht so schnell aus der Hand, wie ein Windows-Admin möglicherweise.

Und eben auch wegen dieser weitrechenden Rechte und dem möglichen Schaden, der entstehen kann, rate ich immer Anfänger davon ab, sich auf der Kommandozeile zu bewegen. Zumindest nicht auf produktiven Systemen. Vielleicht eher mal bei einem Knoppix und möglichst bei abgezogener System-Platte.

 

[jan_gagel]

Huch, da war ich wohl wieder mal zu langsam.

Zum Thema kompromitiert. Bedeutet, wie Frogman schon geschrieben hat, daß jemand eingedrungen ist. Möglicherweise hat der Eindringling aber auch schon was angestellt? Also einen Virus / ein rootkit da gelassen? Dann wird es sehr schwierig, rauszufinden ob was verändert wurde. Ich will jetzt aber den Gaul nicht scheu machen. Könnte halt als worst-case-szenario durchaus sein.

 

[venceremo]

Und falls Du bspw. eine Fritzbox als Router Dein eigen nennst - die bietet (über https) auch einen externen Zugriff per Benutzeranmeldung, d.h. Du kannst durchaus Portweiterleitungen einrichten, aber deaktiviert lassen, um sie im Bedarfsfall von draußen zu aktivieren.

Frogman, du hasts glaub ich genau getroffen. Den Zugriff von außen auf die Fritzbox hatte ich mal eingerichtet. Aber das ist dann wirklich eine (/ die einzige) der aktiven Funktionen, die ich nicht so dringend bräuchte, als dass ich die Sicherheit der Syno gefährden würde. Dann mach ich den Port mal dicht und hoffe es bringt was...! Danke für den Tipp!!!^^


Danke euch beiden! eure Infos klären für mich einiges!

 

[venceremo]

Huch, da war ich wohl wieder mal zu langsam.

Zum Thema kompromitiert. Bedeutet, wie Frogman schon geschrieben hat, daß jemand eingedrungen ist. Möglicherweise hat der Eindringling aber auch schon was angestellt? Also einen Virus / ein rootkit da gelassen? Dann wird es sehr schwierig, rauszufinden ob was verändert wurde. Ich will jetzt aber den Gaul nicht scheu machen. Könnte halt als worst-case-szenario durchaus sein.

Wie könnte man das denn überhaupt erkennen? Synology und meine Firewall und Virusscanner haben nichts gemeldet...
Ganz naiv sag ich mal, die Versuche von außen zuzugreifen sind alle gescheitert und ich noch nichts ungewöhnliches / ungewolltes an der Syno festgestellt. Von daher würde ich - wie gesagt, ganz naiv - vermuten, dass das System nicht kompromitiert ist.

 

[jan_gagel]

das zu erkennen ist ziemlich schwer. Deshalb war der Entwickler-Bereich von Apple ziemlich lange offline.