DSM 7.1 Konto wird geschützt vs. IP Adresse wurde blockiert

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen

Momentan wird meine DS1618+ mit aktuellster DSM7.1 im Minutentakt attackiert... :mad:

Natürlich habe ich den User ADMIN deaktiviert und auch für meinen Admin-Account die 2FA aktiviert. Telnet/SSH ist deaktiviert und auch sonst habe ich viele empfohlene Massnahmen an- bzw. ausgeschaltet um meine DS zu schützen.

Was mich interessiert...

Zu Beginn der Attacken erhielt ich von DSM jedes Mal folgende Mail:

1. Mail-Typ:
[*********.i234.me] Ihr Konto [admin] auf Diskstation wird geschützt

Es gab 5 fehlgeschlagene Anmeldeversuche von nicht vertrauenswürdigen Geräten bei Ihrem Konto [admin] auf Diskstation innerhalb der letzten 120 Minuten.
Als Vorsichtsmaßnahme können Sie sich jetzt bei Ihrem Konto nur von vertrauenswürdigen Geräten aus anmelden, auf denen Sie sich zuvor erfolgreich angemeldet haben.
Dieser Schutz wird um Sun Oct 16 18:53:19 2022 automatisch aufgehoben. Wenn Sie den Schutz jetzt aufheben möchten, gehen Sie zu Systemsteuerung > Sicherheit > Schutz > Automatische Blockierung. Von Diskstation


Nach einiger Zeit erhielt ich aber eine andere Mail:

2. Mail-Typ:
[**********.i234.me] IP-Adresse [211.23.145.130] wurde von Diskstation via DSM blockiert

Die IP-Adresse [211.23.145.130] hat innerhalb von 120 Minuten 3 Mal vergeblich versucht, sich bei DSM auf Diskstation anzumelden und wurde um 2022-10-20 15:25 blockiert.

Von Diskstation


Bei der ersten Variante versucht sich offenbar jemand mit dem deaktivierten Konto ADMIN auf meiner DS einzuloggen.
Bei der zweiten Variaten ist keine Kontoname aufgeführt, mit welchem ein Login versucht wird. Wie wird dann versucht einzuloggen?

Kann ich etwas unternehmen, dass die Attacken aufhören?
Habt ihr die Mailbenachrichtigungen auch aktiviert oder ausgeschaltet? Die Mails werden doch recht mühsam, da kommt alle paar Minuten eine solche Nachricht.

Hatte meine DS auch schon mal ein, zwei Tage ausgeschaltet, danach hatte ich einige Zeit Ruhe, dann fing es aber wieder an.

Sonstige Tips?

Danke vielmals.

Grüsse
JJ
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
das läuft gerade weltweit, ist halt so ab und zu, hier im Forum schon viele Beiträge dazu

oft genügt es einfach eine 5 stelligen Port zu nehmen statt 5000/5001 nach aussen und schon ist Ruhe
 

Der Paul

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
131
Punkte für Reaktionen
26
Punkte
28
Die IP stammt aus Taiwan. Du kannst als erstes einmal in der Firewall der Syno Geoblocking aktivieren und damit nur Zugriffe aus den Ländern zulassen, in denen Du regelmäßig unterwegs bist. Dann müssen Deine "Interessenten" schon einmal wenigstens ein VPN bemühen, was denen aber vermutlich zu viel Aufwand ist.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
die brauchen doch kein VPN, die Absender Adressen sind doch alle fake, das können die beliebig varieren
 

Ha56

Benutzer
Mitglied seit
02. Nov 2017
Beiträge
3
Punkte für Reaktionen
5
Punkte
3
Hallo,
habe das gleiche Problem und es ist doch recht nervend.
Den obigen Vorschlag den Port 5001 zu ändern habe ich schon versucht. Doch als Laie/Anfänger bisher ohne Erfolg. Habe ihn auch schon ersatzlos abgeschaltet. Dann läuft aber z.B. die App Note Station Client im lokalen Netz nicht mehr.
Ich schon intensiv nach einer Anleitung gesucht, wie ich die Portänderung machen kann. Gibt es so eine Anleitung und wenn wo?
Genutzt wird eine DS 218+ und eine Fritzbox.
Bin für jeden Tip/Hilfe dankbar
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/34_Portfreigaben-in-FRITZ-Box-einrichten/
Der Port, den deine Fritzbox weiterleitet, muss nicht der gleiche sein wie der, den die DS benutzt. Sprich du kannst Port 55400 von extern auf Port 5001 deiner DS leiten.
Und du kannst in der DS unter der Systemsteuerung -> Anmeldeportal (DSM7) oder Anwendungsportal (DSM6) den Anwendungen einen anderen Port als das Admininterface zuweisen, sodass du von extern beispielsweise die Note Station erreichst, nicht aber das DSM-Interface
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Hallo zusammen

Danke für all eure Antworten. Mal schauen, was ich davon umsetzen kann, ohne meinen Komfort allzu stark einzuschränken.

Ich hatte jetzt einige Tage auf einmal Ruhe, seit heute hat es aber wieder angefangen.

Viele Grüsse

JJ
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Hi again,

Ich habe jetzt zusätzlich in meinem Router noch MAC-Filter für alle meine Geräte eingerichtet, damit nur noch meine Geräte Zugriff auf das Netzwerk haben sollten.

Zudem habe ich wie oben vorgeschlagen ein Geoblocking in der Firewall eingerichtet, so dass nur noch IP Adressen aus meinem Land Zugriff haben sollten. Ich hoffe ich habe das auch richtig gemacht.

Allerdings ändern diese Massnahmen scheinbar nichts an den Attacke-Versuchen.

Die oben bereits erwähnten Blockierungs-eMails kommen jetzt fast im 5-Minuten Takt. Das ist schon sehr nervig.
An die Massnahme mit dem 5-stelligen Port traue ich mich nicht so recht ran.

Falls jemand noch weitere Tips hat, bin ich dankbar.

Herzlichen Dank.

Grüsse
JJ
 

NASSucher

Benutzer
Mitglied seit
05. Jul 2015
Beiträge
152
Punkte für Reaktionen
20
Punkte
24
Kann jemand von seinen Firewall Einstellungen Screenshots hier bereitstellen?
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Kann jemand von seinen Firewall Einstellungen Screenshots hier bereitstellen?

Also, meinst du die von der Syno-Firewall oder die von der Router-Firewall?
Hier mal die von der Syno, sollte ja glaube ich nichts gefährliches enthalten...

1667497055565.png
 
  • Like
Reaktionen: NASSucher

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ganz unten in der Firewall muss eine Regel mit "alle Blockieren" stehen.
Und die MAC-Beschränkung gilt nur für Geräte, die sich im Heimnetz anmelden wollen, nicht aber für externe Freigaben
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.709
Punkte für Reaktionen
633
Punkte
134
Das mit der Portänderung ist eigentlich bei den meisten Routern recht einfach.Aber auch mal überlegen, brauche ich offene Ports, wenn ja welche oder geht's auch z.b. mit VPN
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.128
Punkte für Reaktionen
588
Punkte
194
Na diese Firewalleinstellung ist so rudimentär dass man sie fast gar nicht braucht.
Zuerst einmal ist ausnahmslos ALLES erlaubt was aus der SUI kommt. Damit passiert wohl 95% des ankommenden Verkehrs ohne Schutz die Firewall.
Die 2.Regel ist fragwürdig, weil sie den Terminaldienst zusätzlich international freischaltet.
Da bleibt nicht mehr viel übrig was die Fw blocken darf.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
Allerdings ändern diese Massnahmen scheinbar nichts an den Attacke-Versuchen.
das ist halt so, diese Automaten lassen sich nicht so einfach abstellen

ich habe werde Firewall eingeschlatet noch irgednwelche Benachrichtigung

allerdings habe ich eben nach aussen einen 5-stelligenPort und damit hat alles sofort aufgehört und jetzt ist seit langem Ruhe.
Ja, einmal werden die bösen diesen Port entdecken, dann wird es wieder geändert und dann bleibt wieder lange Ruhe
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Na diese Firewalleinstellung ist so rudimentär dass man sie fast gar nicht braucht.
Zuerst einmal ist ausnahmslos ALLES erlaubt was aus der SUI kommt. Damit passiert wohl 95% des ankommenden Verkehrs ohne Schutz die Firewall.
Die 2.Regel ist fragwürdig, weil sie den Terminaldienst zusätzlich international freischaltet.
Da bleibt nicht mehr viel übrig was die Fw blocken darf.

Ich habe eigentlich lediglich die Defaulteinstellung mit dem Eintrag für die Schweiz ergänzt....

Was würdest du denn für Einstellungen empfehlen?

Natürlich ist das individuell, schon klar, aber so als Mindestempfehlung?

Die Terminaldienste sind übrigens eigentlich eh deaktiviert.

Grüsse
JJ
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
für die gegenwärtig wieder so stark laufenden 'anklopfen' nutzt das alles nichts, du kannst einstellen was du willst, das anklopfen geht weiter
was auch immer da an Adressen erscheinen mag ist alle fake


Ich habe schon immer die FW ausgeschaltet
Dafür eben 5-stelligen Port nach aussen erstellt und alles ist Ruhig schon lange
 

ronnie

Benutzer
Mitglied seit
30. Apr 2022
Beiträge
17
Punkte für Reaktionen
5
Punkte
53
Um eine Serie an Einbruchsversuchen kaltzustellen reicht es nach meiner Erfahrung aus, für ein paar Stunden alle Ports nach draußen zu schließen oder alle betreffenden Geräte abzuschalten. Der Angriff sucht sich dann ein neues Ziel und Ruhe ist eingekehrt.
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Um eine Serie an Einbruchsversuchen kaltzustellen reicht es nach meiner Erfahrung aus, für ein paar Stunden alle Ports nach draußen zu schließen oder alle betreffenden Geräte abzuschalten. Der Angriff sucht sich dann ein neues Ziel und Ruhe ist eingekehrt.
Das habe ich auch schon des öfteren gemacht. Das geht dann, wenns gut kommt 1-2 Tage gut, danach fing es bei mir immer wieder an.

Grüsse
JJ
 

Jarjar

Benutzer
Mitglied seit
06. Nov 2012
Beiträge
34
Punkte für Reaktionen
1
Punkte
8
Dafür eben 5-stelligen Port nach aussen erstellt und alles ist Ruhig schon lange
Also eigentlich habe ich bereits einen 5-stelligen Port nach aussen, der nach innen auf die 5001 weitergeleitet wird... scheint in meinem Fall aber nicht wirklich zu nützen... :unsure:

Grüsse
JJ
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.994
Punkte für Reaktionen
1.203
Punkte
288
dann nimm einfach wieder mal einen anderen Port,dann hast du etwas Ruhe für eine Zeit

Bist du sicher du hast alles was mit 5000/5001 auch gesperrt?
 
  • Like
Reaktionen: Jarjar


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat