DSM 6.x und darunter Geo Blocking Bypass ? (Hack Versuch von meiner DS)
- Ersteller paradox_hackz
- Erstellt am
Alle DSM Version von DSM 6.x und älter
Hallo paradox_hackz,
Bücher und Hardware zum Thema gibt es bei Amazon: Geo Blocking Bypass ? (Hack Versuch von meiner DS)
Bücher und Hardware zum Thema gibt es bei Amazon: Geo Blocking Bypass ? (Hack Versuch von meiner DS)
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.673
- Punkte für Reaktionen
- 1.574
- Punkte
- 314
@the other
Du hast mir den Scheiß damals ja selber beigebracht bzw. mich mit dem Thema angefixt ????
Du hast mir den Scheiß damals ja selber beigebracht bzw. mich mit dem Thema angefixt ????
Hallo,
unabhängig von den Firewall-Regeln - auch bei mir gibts seit dem 27.07. permanent Einlog-Versuche in das Admin-Konto (das ist auch bei mir deaktiviert), unterbrochen nur vom Kontoschutz (bis ich nun auch geoblocking aktiviert habe, zumindest temporär)
Die Versuche kommen auch bei mir von IP's aus vielen Ländern, vor allem aus dem russischen und asiatischen Raum, aber auch USA, einigen EU-Staaten und anderen.
Entweder steckt da ein echter VPN-Fetischist dahinter, oder - wahrscheinlicher - ein botnetz mit bot's in diesen Ländern.
Als user-agent ist immer apple webkit angeführt - ein Apple-botnetz? (kleiner Seitenhieb: das sind doch die apple-ist-so-sicher-wir-brauchen-keinen-Virenscanner Leute
Der UA kann aber natürlich auch gefakted sein.)
Da anscheinend mehrere User hier betroffen sind, liegt außerdem der Verdacht nahe dass hier irgendwelche Listen von Synology NAS verwendet werden; Evtl. das Synology-Konto, ein DynDNS-Provider oder auch LetsEncrypt ?
In diversen IT-News habe ich bisher noch nichts dazu gefunden, nur diesen thread hier.
Wenn jemand das Admin-Konto aktiv hat, und evtl. auch noch mit einem schwachen Passwort, dann kann das fatal enden.
Evtl. könnten die Moderatoren dazu im Forum eine Warnmeldung veröffentlichen?
lg,
Martin
unabhängig von den Firewall-Regeln - auch bei mir gibts seit dem 27.07. permanent Einlog-Versuche in das Admin-Konto (das ist auch bei mir deaktiviert), unterbrochen nur vom Kontoschutz (bis ich nun auch geoblocking aktiviert habe, zumindest temporär)
Die Versuche kommen auch bei mir von IP's aus vielen Ländern, vor allem aus dem russischen und asiatischen Raum, aber auch USA, einigen EU-Staaten und anderen.
Entweder steckt da ein echter VPN-Fetischist dahinter, oder - wahrscheinlicher - ein botnetz mit bot's in diesen Ländern.
Als user-agent ist immer apple webkit angeführt - ein Apple-botnetz? (kleiner Seitenhieb: das sind doch die apple-ist-so-sicher-wir-brauchen-keinen-Virenscanner Leute
Der UA kann aber natürlich auch gefakted sein.)Da anscheinend mehrere User hier betroffen sind, liegt außerdem der Verdacht nahe dass hier irgendwelche Listen von Synology NAS verwendet werden; Evtl. das Synology-Konto, ein DynDNS-Provider oder auch LetsEncrypt ?
In diversen IT-News habe ich bisher noch nichts dazu gefunden, nur diesen thread hier.
Wenn jemand das Admin-Konto aktiv hat, und evtl. auch noch mit einem schwachen Passwort, dann kann das fatal enden.
Evtl. könnten die Moderatoren dazu im Forum eine Warnmeldung veröffentlichen?
lg,
Martin
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.673
- Punkte für Reaktionen
- 1.574
- Punkte
- 314
Nichts für ungut, aber das predigen wir (und selbst Synology) bereits seit Jahren, wobei die Meinungen über das „admin“ - Konto hier auch auseinander gehen. Für viel wichtiger halte ich es in diesem Zusammenhang jedoch, mal alle Ports zu zumachen und wenn überhaupt, nur noch per VPN auf die DS zuzugreifen. Aber auch das predigen wir hier seit Jahren.
Anderseits… für genau solche Fälle ist eine Firewall ja schließlich da. Gäbe es solche Angriffe nicht, bräuchte man wohl auch keine Firewall. Ob die Synology Firewall hier jedoch der Weisheit letzter Schluss ist, lass ich mal dahin gestellt.
Dennoch hilft die beste Firewall nichts gegen die Dummheit der Leute (wobei ich hier niemand persönlich angreifen möchte) indem sie eben doch noch mit admin und schwachen Passwörtern unterwegs sind. Manch einer muss halt erst hart aufschlagen, bevor er merkt, das er was falsch gemacht hat.
Zuletzt bearbeitet:
Eine solche Firewall schadet grundsätzlich auch im Heimnetz nicht. Falls mal doch irgendwie irgendeine Maschine im Heimnetz kompromittiert wird, helfen die SW-Firewalls auf den einzelnen Devices dann immerhin noch, weiteren Schaden zu verhindern.
Mein Raspi wird nur noch für VPN und als eigener DNS-Resolver (Pihole und Unbound) genutzt (Kodi ist neu auf nen NUC umgezogen), da schotten entsprechende IPTables-Rules alles ab, was nicht aus dem Netz verfügbar sein sollte.
Auf dem NUC experimentiere ich noch mit den Regeln (ausser Kodi und JDownloader läuft da auch nichts weiteres mehr drauf), vorr. muss ich da wohl auf DLNA verzichten, weil sich da einige Ports dauernd ändern.
Von mir aus dürfte jedes einzelne Gerät im Netz seine eigene Firewall haben.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen,
wir haben also:
- diverse offene Ports für diverse Pakete, ggf. zusätzliche Docker Anwendungen, die ausnahmslos von extern erreichbar sind
-Standard Admin Accounts ("admin"), die abgeklopft werden
- ggf. schwache Passworte ohne zusätzliche Absicherungen (2fa)
wenn ich das bisherige einigermaßen zusammenfasse...
Und (mal wieder, lang nicht gehabt) als Auto-Vergleich:
- wir fahren also mit 250 durch die Gegend
- tippen dabei fleißig whatsapp Nachrichten ins Handy
- hatten vier Bier und ein paar Kurze
...und krachen direkt in den nächsten Brückenpfeiler.
Und keiner hat uns gewarnt, dass das eventuell ein klein wenig ins Auge gehen kann.
Mal im Ernst: seit Jahren wird u.a. hier im Forum wiederholt bis zum Kot...äh, Abwinken, darauf hingewiesen, dass...
...ein NAS ein Fileserver ist, der Rest der bunten Klickibunti Dinge zwar gehen, aber nicht Kernkompetenz ist
...jedes Gerät / jeder Dienst sichere und singuläre Credentials benötigt (User/Password) und diese nach Möglichkeit extra zusätzlich zu sichern sind.
...externe Zugriffsmöglichkeiten sowieso extra gesichert werden müssen
...reine Portweiterleitungen zwar bequem, sonst aber der totale Mist sind
...Docker zwar gerne als Hui, Sandbox, dargestellt wird, das aber wenig bringt, wenn zT wahllos Kram installiert wird und das Problem vor dem Bildschirm sich weigert, den gesunden Menschenverstand einzuschalten
Was also soll jetzt noch gesagt werden?
Wenn PWL und schwache Credentials, dann ins Bett ohne Fernsehen und Abendbrot plus keine Kekse?
Sorry, aber wer sich ein NAS hinstellt, das soweit zum Laufen bringt und sogar diverse Dienste extern erreichbar macht, der sollte schon wissen, welche Risiken sich auftun und zumindest warten oder sich VORHER etwas einlesen.
Bitte um Vergebung für den Rant...jm2c
wir haben also:
- diverse offene Ports für diverse Pakete, ggf. zusätzliche Docker Anwendungen, die ausnahmslos von extern erreichbar sind
-Standard Admin Accounts ("admin"), die abgeklopft werden
- ggf. schwache Passworte ohne zusätzliche Absicherungen (2fa)
wenn ich das bisherige einigermaßen zusammenfasse...
Und (mal wieder, lang nicht gehabt) als Auto-Vergleich:
- wir fahren also mit 250 durch die Gegend
- tippen dabei fleißig whatsapp Nachrichten ins Handy
- hatten vier Bier und ein paar Kurze
...und krachen direkt in den nächsten Brückenpfeiler.
Und keiner hat uns gewarnt, dass das eventuell ein klein wenig ins Auge gehen kann.
Mal im Ernst: seit Jahren wird u.a. hier im Forum wiederholt bis zum Kot...äh, Abwinken, darauf hingewiesen, dass...
...ein NAS ein Fileserver ist, der Rest der bunten Klickibunti Dinge zwar gehen, aber nicht Kernkompetenz ist
...jedes Gerät / jeder Dienst sichere und singuläre Credentials benötigt (User/Password) und diese nach Möglichkeit extra zusätzlich zu sichern sind.
...externe Zugriffsmöglichkeiten sowieso extra gesichert werden müssen
...reine Portweiterleitungen zwar bequem, sonst aber der totale Mist sind
...Docker zwar gerne als Hui, Sandbox, dargestellt wird, das aber wenig bringt, wenn zT wahllos Kram installiert wird und das Problem vor dem Bildschirm sich weigert, den gesunden Menschenverstand einzuschalten
Was also soll jetzt noch gesagt werden?
Wenn PWL und schwache Credentials, dann ins Bett ohne Fernsehen und Abendbrot plus keine Kekse?
Sorry, aber wer sich ein NAS hinstellt, das soweit zum Laufen bringt und sogar diverse Dienste extern erreichbar macht, der sollte schon wissen, welche Risiken sich auftun und zumindest warten oder sich VORHER etwas einlesen.
Bitte um Vergebung für den Rant...jm2c
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.673
- Punkte für Reaktionen
- 1.574
- Punkte
- 314
Da bin ich zwar absolut bei dir, wobei ich eine zentralisierte Firewall für alle Geräte in meinem Netzwerk für wesentlich sinnvoller erachte. Viel hilft halt nicht immer viel, aber gut.
Einen Raspi mit PiVPN und Pihole habe ich hier auch, letzteres jedoch noch nicht auf unbound umgestellt. Mit iptables auf dem Pi hatte ich mich auch bereits beschäftigt und habe mein System entsprechend abgesichert. Auf der DS den VPN-Server laufen zu lassen und über Docker ein Pihole einzurichten halte ich für nicht zielführend, da für mich, wie @the other bereits trefflich formulierte, meine DS als Fileserver fungiert. Punkt. Da ist kein Platz für solche Spielchen. Sowas gehört für mich auf getrennte Hardware. Aber wir schweifen ab.
Zu dem was @the other gesagt hat noch eine kleine Anmerkung. Man muss seine Feinde halt kennen um zu wissen, wie man mit ihnen umzugehen hat, sie evtl. bekämpfen kann, zumindest ihnen aber auszuweichen weiß.
Zuletzt bearbeitet:
Die nutzt dir gegen Angriffe von aussen, und deshalb sollte sie auch auf jeden Fall zum Einsatz kommen (und sogar die Billiglösung einer Fritte ist da schon einmal ein brauchbarer Anfang). Sie nutzt dir nur dann nichts, wenn der Feind sozusagen bereits im eigenen Bett liegt, sei es in Form der Mobilgeräte der eigenen Kinder, sei es der Zero-Day-Exploit eines der Windowsrechner, der erfolgreich ausgenutzt wurde, sei es der Stick des Kollegen (der eigene oder eines der Kinder, egal), und so weiter....
Deshalb würde ich mich nie allein auf die eine Firewall verlassen, die den Internetzugang absichert, denn der ist nun einmal nur der eine offensichtliche Angriffsvektor.
Ist mit der Kurzanleitung, die Pihole anno 2019 auf dem Blog veröffentlicht hat, eine Sache von wenigen Minuten das einzurichten, wirklich einfach und sehr zu empfehlen, weil du damit deinen eigenen lokalen verschlüsselten Resolver hast. Damit konnte ich letztlich sogar der Soundbar ihre Allüren abgewöhnen.
Ubuntu und Co. (mein Raspi läuft seit dem Kodi-Umzug nicht mehr unter OSMC, sondern unter Ubuntu 20.04.2 LTS) bieten mit UFW inzwischen ein sehr komfotables Frontend, um sehr einfach sichere IPTables-Rules definieren zu können. Wenn man daran denkt als allererstes eine Regel für SSH zu setzen, ist das Risiko sich damit versehentlich selbst auszusperren nahe 0 angelangt. Sehr zu empfehlen.
- Mitglied seit
- 17. Okt 2015
- Beiträge
- 2.104
- Punkte für Reaktionen
- 545
- Punkte
- 154
Moinsen @Tommes,
Klugscheißer-Return-Modus an:
warum extra unbound auf dem Pihole einrichten, wenn deine pfsense das doch wunderbar nebenbei mitmachen kann? Ist da wesentlich schöner zu konfigurieren...
Sagst einfach per DHCP und Firewall Regeln, dass ALLES in deinem/deinen Netz/en den Pihole für DNS ansteuert, alle anderen Anfragen auf den 53er werden geblockt. So bekommt Pihole ALLE Anfragen zum Filtern.
Pihole dagegen wird auf den unbound Resolver der pfsense geschickt, damit werden alle Anfragen direkt an die obersten authorative Server gelegt.
Rennt gut, isst kein Brot, und die pfsense läuft ja eh.
Klugscheißer-Return-Modus an
:warum extra unbound auf dem Pihole einrichten, wenn deine pfsense das doch wunderbar nebenbei mitmachen kann? Ist da wesentlich schöner zu konfigurieren...
Sagst einfach per DHCP und Firewall Regeln, dass ALLES in deinem/deinen Netz/en den Pihole für DNS ansteuert, alle anderen Anfragen auf den 53er werden geblockt. So bekommt Pihole ALLE Anfragen zum Filtern.
Pihole dagegen wird auf den unbound Resolver der pfsense geschickt, damit werden alle Anfragen direkt an die obersten authorative Server gelegt.
Rennt gut, isst kein Brot, und die pfsense läuft ja eh.
- Mitglied seit
- 26. Okt 2009
- Beiträge
- 9.673
- Punkte für Reaktionen
- 1.574
- Punkte
- 314
Ähm… nun ja, das ist jetzt wirklich OffTopic *räusper* und gehört eigentlich nicht hier hin. Ich sag mal so… meine pfSense macht grade Urlaub… mittlerweile bereits einen ziemlich ausgedehnten Urlaub. Aber dank meines ausgeklügelten Setups kann ich diese jeder Zeit wieder in mein Netzwerk einbinden. Ich habe sie also noch nicht weggegeben.
@Ramihyn
Ich habe mich zuletzt ein gutes Jahr ausgiebig mit dem Thema Firewalling, Routing, Segmentierung und dem ganzen anderen Quatsch auseinandergesetzt und wir müssen das jetzt nicht vertiefen. Ich denke wir wissen, worum es geht auch wenn die Meinungen diesbezüglich sehr abstrakt diskutiert werden können. Unbound einzurichten ist nicht so das Problem, ich sehe nur nicht zwingend die Notwendigkeit, das für mich nutzbar zu machen. Ein mehr an Sicherheit geht halt auch immer ein Stück weit auf Kosten der Usability. Das war auch mit ein Grund, warum ich meiner pfSense letzen Endes wieder den Strom genommen habe. Aber auch hier möchte ich mich nicht weiter zu den Gründen äußern, da das hier nicht hin gehört und eh wieder nur zu unnötigen Diskussionen führt, die ich in letzter Zeit schon all zu oft geführt habe.
Ach so… iptabels auf dem Pi. Ich habe das mit einem kleinen Firewall Script und iptables-persistent gelöst (oldschool eben). In dem Rule-Setting ist soweit alles drin, was ich meine gebrauchen zu können u.a. ICMP, DNS, HTTP(s), OpenVPN und auch SSH nur im LAN u.s.w.
Tommes
Zuletzt bearbeitet:
Ich habe bei mir auch mal nachgesehen und ab dem 27.07. haben auch bei mir die Versuche angefangen auf das "Admin" Konto per DSM
zuzugreifen.
Es hat immer mit einer anderen Länder-IP stattgefunden im 3-10 Minuten Takt.
Habe jetzt erst einmal nur IP´s aus Deutschland zugelassen und die 2 Faktor Authentifizierung auf Admin-Kontos aktiviert.
Das normale "Admin"-Konto habe ich schon länger deaktiviert gehabt
Jetzt finden sie zwar auch noch statt, aber viel viel seltener ..
halt nur, wenn die Zufalls-IP eine deutsche ist.
zuzugreifen.
Es hat immer mit einer anderen Länder-IP stattgefunden im 3-10 Minuten Takt.
Habe jetzt erst einmal nur IP´s aus Deutschland zugelassen und die 2 Faktor Authentifizierung auf Admin-Kontos aktiviert.
Das normale "Admin"-Konto habe ich schon länger deaktiviert gehabt
Jetzt finden sie zwar auch noch statt, aber viel viel seltener ..
halt nur, wenn die Zufalls-IP eine deutsche ist.
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
