Hilfe - Daten plötzlich alle verschlüsselt

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Ja. Mache ich ja nicht, bzw. habe ich ja auch nicht geschrieben.

Also noch mal die Frage zur Sicherung: ist das dann oben so korrekt eingestellt?
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.798
Punkte für Reaktionen
176
Punkte
129
@DMHas Ganz ehrlich da du so viele Angriffe fast gleichzeitig hast solltest du dir ernsthaft Gedanken machen ob du deine URL und oder externe IP änderst denn beides scheint in einer Bot Liste gelandet zu sein. Was mir ein bisschen fehlt ist die Meldung mit der automatischen Blockierung. Denn irgendwann kommen sie dann mal durch weil sie eine Kombination finden die geht. Da bei mir anscheinend die URL nicht bekannt ist sondern einfach nur ein IP Scan durchgeführt wird habe ich nach der DSL Zwangstrennung meistens erstmal wieder ein paar Stunden Ruhe. Aber auch dann sind es bei weitem nicht so viele Versuche wie bei dir. Vor allem wenn dann von der Selben oder einer ähnlichen IP. Aber auch da ist dann nach einem DSL Reconnect wieder Ruhe.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.227
Punkte für Reaktionen
3.357
Punkte
344
Das stimmt, darüber habe ich mich auch gewundert, dsß er da nicht schon früher einen Riegel vorschiebt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.773
Punkte für Reaktionen
1.115
Punkte
288
Ich denke, es werden einfach Zugangsdaten durch getestet. Seit dem 26.07. zeigt das Protokollcenter folgende Einwahlversuche bei mir:

dieses Verhalten ist leider ziemlich normal. Wird einem Anschluss erkannt dass dort auf dem Port was reagiert, macht der Bot halt wozu es gebaut wurde.
Den Eingangsport halt dann auf etwas anderes stellen und dann ist zuerst mal Ruhe.

Kann sein dass der Bot den verschleierten Port in Zukunft wieder findet, na ja, dann halt wieder einen anderen nehmen
 

Kurt-oe1kyw

Benutzer
Sehr erfahren
Mitglied seit
10. Mai 2015
Beiträge
9.139
Punkte für Reaktionen
1.797
Punkte
314
mein Admin (anderer Name) hat 2FA.

Laut Signatur verwendest du DSM 7.1, um all deine Wünsche zu erfüllen (Benachrichtigung usw usw) könntest du leicht vom derzeitigen 2FA auf das neue SecureSignIn umsteigen. Leider erst ab DSM 7 verfügbar.
Es funktioniert ident wie bei deiner Hausbank APP und es ist bequemer weil man nicht jedesmal 6 Ziffern eintippen muss.

Grober Ablauf:
SecureSignIn ist auf deinem handy als APP und auf der DS aktiv.
Von irgendwoher versucht sich irgendjemand mit irgendeinem Namen auf deiner DS anzumelden. Die Person kann vorerst nur den Usernamen eingeben, sonst nichts, der Anmeldebildschirm bleibt vorerst so stehen von dieser Person und ihrem eingwählenden Gerät und "wartet" jetzt auf dich als Admin.
Bei dir öffnet sich automatisch am handy die APP SecureSignIn von Synology mit einem Hinweisfenster "User X" möchte sich an deiner Diskstation anmelden, du tippst jetzt nur mehr auf "Ablehnen" oder "Genehmigen", danach kommt zur Sicherheit noch zB dein Fingerprint am handy.
Jetzt meldet deine handy APP der Diskstation zurück "Ja ist genehmigt" und erst jetzt erfolgt die tatsächliche Anmeldung vom User auf der Diskstation.
Du siehst also fast in Echtzeit am handy wer sich Anmelden möchte und erst nach deinem "ok", kann der User sich einloggen.
SecureSignIn ist schneller, bequemer und einfacher als 2FA.

secure_signin.png

Der grosse Vorteil ist halt dass du schon beim ersten Einwahlversuch Aufmerksam wirst und nicht erst Stunden später wenn du vielleicht schon Stunden-/Tagelang Logs auf der DS hast mit erfolglosen Einlogversuchen.

Wie schon x-Mal erwähnt, ein externes Backup auf separaten Speichermedien für die wichtigen Daten ist unerlässlich.
 
  • Like
Reaktionen: DMHas

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Kann noch Jemand bitte wegen der Firewall weiter oben sagen, ob das so korrekt ist, dass alle anderen Länder automatisch blockiert werden, wenn ich nur DE und CH erlaube?

Wegen Secure Signin:
Werde ich mir mal anschauen, wobei bequemer, als 2FA kann es kaum sein, denn im Apple Schlüsselbund fügt man zu den LoginDaten den 2FA QR Code hinzu, und die Apple Geräte füllen den 30 Sekunden gültigen Code automatisch mit ein.
 

DMHas

Benutzer
Mitglied seit
24. Okt 2014
Beiträge
127
Punkte für Reaktionen
4
Punkte
24
Wenn ich die Firewall so einstelle:

Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?
Sorry - für die späte Antwort. Richtig - nur noch DE und CH sind erlaubt. (Was nicht explizit erlaubt wird, gilt als verboten.)

@DMHas Ganz ehrlich da du so viele Angriffe fast gleichzeitig hast solltest du dir ernsthaft Gedanken machen ob du deine URL und oder externe IP änderst denn beides scheint in einer Bot Liste gelandet zu sein. Was mir ein bisschen fehlt ist die Meldung mit der automatischen Blockierung. Denn irgendwann kommen sie dann mal durch weil sie eine Kombination finden die geht. Da bei mir anscheinend die URL nicht bekannt ist ...
Da bin ich entspannt. Um das Admin-Passwort zu knacken, bräuchte es wahrscheinlich einen Quantencomputer. (Ich nutze dieses auch nur für den NAS-Admin.)

Wo ich bei Dir bin, dass der NAS-Link (Synology DDNS) oder die externe IP auf einer Liste gelandet ist. Aber das werde ich heute mal ändern und eine weitere (nicht Synology) DDNS einrichten und nutzen. Dann mal schauen ob es besser wird.

Eine Blockierung erfolgt nicht, da es unterschiedliche IP's im Minutenabstand sind.

Edit: Post zusammengeführt.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Thonav

ArvidBlixen

Benutzer
Mitglied seit
29. Jul 2022
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Wie kann ich eigentlich das Admin kennwort Deaktivieren?
Ich habe mehrere Benutzer, teilweise auch mit Admin Rechten.
Diese kann ich alle deaktivieren, aber das eigentliche Admin Konto kann ich nicht deaktivieren
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.488
Punkte für Reaktionen
1.325
Punkte
234
Du meinst bestimmt das Konto und nicht das Kennwort. Ein Admin ohne Kennwort wäre nicht sehr weise und meines Wissens nur mit dem einfachen Reset zu erreichen.

Ich denke, entweder bist du als admin eingeloggt, oder es ist der letzte verbliebene aktive Admin. Kann das sein?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.886
Punkte für Reaktionen
1.509
Punkte
274
Ja, weil Du mit dem eingeloggt bist. Warum mehrere administratoren? Gib den Usern die Rechte die sie brauchen - mehr nicht.
 

ArvidBlixen

Benutzer
Mitglied seit
29. Jul 2022
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Danke, ja war als Admin eingeloggt, deshalb konnte ich das Konto nicht deaktivieren...
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Ort - Deutschland, Schweiz - Zulassen

Dann können diese rein, und alle anderen sind automatisch blockiert, oder?
Ja das ist so schon richtig. Nur nach dem Bild #2 zufolge müsste diese Regel nun nach oben geschoben werden und zwar vor die Regel "Alle Verweigern" denn die Firewall arbeitet die Regeln sequentiell in der Reihenfolge von Oben nach Unten ab.

Wenn die Regel "Alle Verweigern" zugreift, dann kommt es nicht mehr zu der Prüfung "CH, DE Zulassen".
 
  • Like
Reaktionen: DMHas

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Alle Verweigern habe ich ja nicht aktiv, da man ja nur ein paar wenige Länder auswählen kann.
Die macht ja zudem auch keinen Sinn, da ja eh alle, außer DE und CH, geblockt sind, mit der Einstellung, dass nur Diese erlaubt sind.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Alle Verweigern habe ich ja nicht aktiv,
Laut dem Bild deiner Regeln ist dies aber der Fall.
Die vierte Regel von Oben lautet doch [Ports: Alle; Protokoll: Alle; Quell-IP: Alle; Aktion: Verweigern].
Und erst die sechste Regel behandelt die Länder CH und DE....

Mit Regel #4 sind die folgenden Regeln somit auch obsolet.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Ah. Okay. Interessant. Denn es funktionierte alles aus DE und der CH raus ohne Probleme.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Das liegt dann wohl eher daran, dass in diesem Fall bereits eine der ersten Regeln #1 bis #3 den Zugang erlaubt hat. Und dies unabhängig ob die Anfrage aus CH oder DE kam.
So würdest du aber auch allen anderen Ländern den Zugriff erlauben.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.019
Punkte für Reaktionen
88
Punkte
74
Ah, das leuchtet ein.
Aber wie mache ich das nun am besten korrekt?
Ich möchte die Ports, die ich angegeben habe, offen haben, aber nur für aus DE und CH.
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
600
Punkte
174
Zunächst solltest du dir eine Regel erstellen die alle Anfragen aus deinem lokalen Netzwerk erlaubt bevor du dich selbst aussperrst.
Als zweite Regel kannst du dann alle Ports (TCP) definieren die Zugang von Außen und somit auch nur aus CH und DE haben sollen.
Als dritte Regel dann äquivalent zur zweiten Regel nur eben für das Protokoll UDP.
Und als vierte Regel die Block All.

Ich mach mal hier ein Beispiel mittels der Standard Netzwerkadresse einer Fritzbox

1659285230837.png
 
  • Like
Reaktionen: Monacum und geimist


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat