Hackerschutz für Zarafa gesucht

[rozu]

Hallo

Ich befürchte, weil ich hier im Zarafa-Forum mal einen Printscreen mit meiner IP-Adrese gepostet habe (und diese Printscreens nicht mehr entfernen kann), versuchen nun immer wieder welche meine Benutzernamen und Passwörter zu hacken. Das Zarafa-Log zeigt immer wieder so ähnliches:

Sun Feb 3 16:50:24 2013: [15861] Failed to login from 58.251.14.198 with invalid username "backup" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:26 2013: Previous message logged 2 times
Sun Feb 3 16:50:26 2013: [15861] Failed to login from 58.251.14.198 with invalid username "bin" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:27 2013: [15861] Failed to login from 58.251.14.198 with invalid username "brett" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:27 2013: [15861] Disconnecting client.
Sun Feb 3 16:50:27 2013: [15861] Client 58.251.14.198 thread exiting
Sun Feb 3 16:50:28 2013: [12062] Starting worker process for POP3 request
Sun Feb 3 16:50:29 2013: [15871] Failed to login from 58.251.14.198 with invalid username "chris" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:30 2013: [15871] Failed to login from 58.251.14.198 with invalid username "clamav" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:30 2013: [15871] Failed to login from 58.251.14.198 with invalid username "core" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:31 2013: [15871] Failed to login from 58.251.14.198 with invalid username "cyrus" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:32 2013: [15871] Failed to login from 58.251.14.198 with invalid username "cyrusimap" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:32 2013: [15871] Disconnecting client.
Sun Feb 3 16:50:32 2013: [15871] Client 58.251.14.198 thread exiting
Sun Feb 3 16:50:33 2013: [12062] Starting worker process for POP3 request
Sun Feb 3 16:50:34 2013: [15879] Failed to login from 58.251.14.198 with invalid username "daemon" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:34 2013: [15879] Failed to login from 58.251.14.198 with invalid username "dan" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:35 2013: [15879] Failed to login from 58.251.14.198 with invalid username "daniel" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:36 2013: [15879] Failed to login from 58.251.14.198 with invalid username "danny" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:38 2013: [15879] Failed to login from 58.251.14.198 with invalid username "data" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:38 2013: [15879] Disconnecting client.
Sun Feb 3 16:50:38 2013: [15879] Client 58.251.14.198 thread exiting
Sun Feb 3 16:50:38 2013: [12062] Starting worker process for POP3 request
Sun Feb 3 16:50:39 2013: [15888] Failed to login from 58.251.14.198 with invalid username "dave" or wrong password. Error: 0x80040111
Sun Feb 3 16:50:40 2013: [15888] Failed to login from 58.251.14.198 with invalid username "david" or wrong password. Error: 0x80040111

Leider lassen sich solche Client-IP's nicht manuell in die Blockierungsliste der Synology eintragen. Gibt es vielleicht eine Möglichkeit, nach drei Fehl-Versuchen den Zarafa-Zugang zu blockieren (und dann nur noch im Admin-GUI wieder zu entsperren? Klar, die Chance ist klein, dass jemand manuell sowohl Benutzername und PW erraten kann. Aber ärgerlich sind diese Log-Einträge trotzdem.

Vielen Dank für alles Ideen und Rückmeldungen!
Beste Grüsse, Robert

 

[h1bast]

Das ist eine IP aus Shenzhen in China, ich denke eher nicht, dass die dort das deutsche Synology Forum lesen .
Solche Angriffsversuche kommen immer wieder vor, wenn mal einen Mailserver oder andere Dienste im Internet zur Verfügung stellt.
Ich habe mir mit der Installation von Fail2Ban geholfen, dadurch wird so was nach drei Fehlversuchen einfach geblockt. Das braucht etwas Handarbeit, aber vielleicht ist das ja für dich eine Lösungsmöglichkeit.

h1

 

[Matthieu]

Screenshots (falls ich "Printscreen" jetzt richtig interpretiere) sind nicht ohne Anmeldung im Forum zugänglich und werden von Hackern IMHO auch nicht massenweise aus Bildern ausgelesen. Da gibt es viel einfachere Ziele. Solche "Angriffe" sind normal und werden bei allen Synology-Diensten (also nicht Zarafa) mittlerweile geblockt indem nach x falschen Passworteingabe die IP gesperrt wird. Ob es soetwas aber auch für Zarafa gibt, kann ich dir nicht sagen. "Hacker" probieren einfach alle IP-Adressen die es gibt aus und warten bis jemand reagiert. Wenn jemand reagiert, wird er mit solchen Anfragen überschüttet bis mal eine stimmt (oder der Hacker keine Lust mehr hat).

MfG Matthieu

 

[Puppetmaster]

Solche "Angriffe" sind normal und werden bei allen Synology-Diensten (also nicht Zarafa) mittlerweile geblockt indem nach x falschen Passworteingabe die IP gesperrt wird.

Was verstehst du denn unter "Synology-Diensten" ?
Ich dachte nämlich auch einmal, die MailStation würde auch dazugehören. Da wird aber nichts geblockt, da kannst du Anmeldekombinationen ausprobieren wie du magst.
Für mich eigentlich ein Ding der Unmöglichkeit. Bei der PhotoStation ist das Blocken der IP möglich/aktiv, viel kritischer ist aber doch ein Postfach.
Da sollte Synology wirklich nochmal nachbessern. Zumal ich da auch erstmal kein Log zu sehe, wer wann was gemacht hat. - Wollte da auch noch ein Security-Ticket zu öffnen..

 

[Matthieu]

Damit meine ich Dienste, welche Synology selbst entwickelt hat. Während die PhotoStation ja bekanntlich nur auf DiskStations anzutreffen ist, wird mit der MailStation eine Open-Source-Lösung verwendet (Roundcube) die wahrscheinlich von Synology dahingehend nicht angepasst wird (ob sie das sollten ist eine andere Diskussion).

MfG Matthieu

 

[jahlives]

wir hatten diese Diskussion schonmal bezüglich Blocken von Logins via Webmail. Das Problem zumindest beim Webmail (Mailstation) ist, dass die Source IP für den Server immer die 127.0.0.1 ist, egal wer sich anmeldet. Direkt am POP3 bzw IMAP könnte Synology etwas machen und die Logs auswerten damit Autoblock damit arbeiten kann.
Sonst kann ich mich h1bast nur anschliessen: fail2ban installieren, konfigurieren und es ist Ruhe im Karton (oder auf Synology warten, was aber meiner Erfahrung nach deutlich länger geht als fai2ban aufzusetzen )

 

[Puppetmaster]

wir hatten diese Diskussion schonmal bezüglich Blocken von Logins via Webmail.

Ja, ich erinnere mich sehr gut!
Aber ich stehe auch auf dem Standpnkt, dass es Synologys Arbeit sein sollte, wenn sie das Paket in Ihrem Paketzentrum anbieten und ihren Namen drunterschreiben. Es kann ja letztlich nicht Aufgabe des ggf. unbedarften Anwenders sein, hier tief unter DSM-Haube zu fummeln und nebenbei noch Synologys eignen Logdienst zu ersetzen.
Mit anderen Worten: ich hatte einfach erwartet, dass die IP Blockierung auch dort greift. Dass sie es nicht tut, und warum nicht, dass erfährt man ja auch erst, wenn man sich intensiver mit der Materie befasst.

 

[goetz]

Hallo,

Mit anderen Worten: ich hatte einfach erwartet, dass die IP Blockierung auch dort greift. Dass sie es nicht tut, und warum nicht, dass erfährt man ja auch erst, wenn man sich intensiver mit der Materie befasst.

die eigene Erwartungshaltung sollte man aber immer mal wieder mit den zur Verfügung stehenden Mitteln überprüfen.
Zitat DSM Hilfe - Automatische Blockierung:
"Fehlgeschlagene Anmeldeversuche über SSH, Telnet, rsync, Netzwerksicherung, Synchronisierung gemeinsamer Ordner, FTP, WebDAV, mobile Synology-Apps, File Station oder DSM summieren sich."

Gruß Götz

 

[jahlives]

ich sags mal ganz ketzerisch: ein unbedarfter User sollte keinen öffentlich erreichbaren Mailserver aufsetzen/betreiben und lieber auf den Dienst eines Providers zurückgreifen. Gerade wenn es um die Absicherung von Diensten geht ist es wirklich Aufgabe des admins das zu machen und man sollte sich eher nicht darauf verlassen, dass dies ein Hersteller macht. Dabei spielt es imho keine Rolle ob NAS oder "echter" Server

 

[Puppetmaster]

die eigene Erwartungshaltung sollte man aber immer mal wieder mit den zur Verfügung stehenden Mitteln überprüfen.

Habe ich ja dann auch relativ schnell nachdem ich die MailStation installiert hatte.
Und nur, weil es in der DSM Hilfe nicht auftaucht heißt das ja nicht, dass es nicht vorhanden ist. Schließlich ist z.B. die PhotoStation in deinem Zitat auch nicht aufgeführt, obwohl sie geblockt wird.
Meine Erwartungshaltung war: wenn Dienste mit eher geringem persönlichen Informationsgehalt wie eine Auswahl von Fotos (mag der eine oder andere auch anders sehen) mit einem IP-Schutz versehen werden, dann sollte meine gesamte persönliche elektronische Korrespondenz es doch wohl erst recht!

 

[Puppetmaster]

ich sags mal ganz ketzerisch: ein unbedarfter User sollte keinen öffentlich erreichbaren Mailserver aufsetzen/betreiben und lieber auf den Dienst eines Providers zurückgreifen.

Ja, da stimme ich dir (inzwischen) auch zu. Aber Synology suggeriert da etwas anderes! Nämlich, dass sie ein "Paket" für mich haben, dass all das leistet. Ich habe da keine Warnhinweise entdecken können...

 

[h1bast]

ich sags mal ganz ketzerisch: ein unbedarfter User sollte keinen öffentlich erreichbaren Mailserver aufsetzen/betreiben und lieber auf den Dienst eines Providers zurückgreifen. Gerade wenn es um die Absicherung von Diensten geht ist es wirklich Aufgabe des admins das zu machen und man sollte sich eher nicht darauf verlassen, dass dies ein Hersteller macht. Dabei spielt es imho keine Rolle ob NAS oder "echter" Server

Dem kann ich dir uneingeschränkt zustimmen!
Man sollte das noch erweitern, denn wenn ich hier lese mit welchen nicht vorhandenen Grundkenntnissen, viele User hier (völlig sorglos) auch noch den administrativen Zugang ihrer DS ins Internet stellen, kann einem Angst und Bange werden.

h1

 

[Banesh]

Hallo,

ich versucher gerade fail2ban zum laufen zu bringen.
Leider klappt es nicht so wie gewollt.
Hier habe ich bereits meinen Versuch dargestellt: Beitrag.
Kann vielleicht jemand von euch Tipps geben wodran es bei mir scheitert?