SSDP-Dienst mit DDoS-Reflection angegriffen

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Hallo Leute,
ich bitte um Hilfe und Einordnung, was ich jetzt am besten mache. Ich habe Post von meinem Internet-Provider bekommen, dass über meinen offenen SSDP-Dienste-Port 1900 ein DDoS-Reflection-Angriff stattgefunden hat, mit genauer Uhrzeit und IP-Adresse. Ich habe die DS erst mal vom Internet abgeklemmt. Jetzt stellt sich für mich allerdings die Frage, was ich am besten tun soll. Muss ich die ganze Diskstation platt machen? Welche Gefahren gibt es für mich? Können Daten gestohlen worden sein? Ist jetzt ein Virus auf der DS? Was gibt es sonst noch so zu beachten?

Über hilfreiche Hinweise würde ich mich sehr freuen!
Viele Grüße,
festigrat
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.654
Punkte für Reaktionen
5.823
Punkte
524
Wieso hast du SSDP nach aussen offen, welche Ports sind noch offen gewesen?
Edit: Ich würde die DS komplett löschen, secure erase und neu aufsetzen, dann Backup einspielen.
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Vielen Dank für die Antwort. Ich weiß nicht, warum das so war. Ich habe irgendwann mal vor Jahren Ports eingerichtet, leider ohne genauere Vorkenntnisse.
Hier die Liste der offenen Ports. Port 1900 habe ich bereits geschlossen.

80 TCP, IPv4

5000-5001 TCP, IPv4

5002 UDP, IPv4

5004 UDP, IPv4

9025-9040 TCP, IPv4

50001-50002 TCP, IPv4

65001 UDP, IPv4


Vielleicht ist auch der ein oder andere offenen Port nicht nötig. Im Prinzip nutze ich die Diskstation nur im Heimnetz. Einzig der Zugriff auf Synology Photos wäre von außen schön. Am einfachsten wohl über QuickConnect.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.161
Punkte für Reaktionen
2.181
Punkte
289
5000er Port, auch schön…Webinterface vom NAS mit unverschlüsseltem Datenverkehr!
Welchen Router hast du?

Tailscale oder Wireguard nutzen. Und am besten alle Ports schließen, die du nicht benötigst.
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Hinter Port 80 und 5000-5001 steht die IP-Adresse eines meiner Computer. Hinter allen anderen steht "Diskstation"
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.161
Punkte für Reaktionen
2.181
Punkte
289
Port 5000 ist normalerweise DSM-Webinterface
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.161
Punkte für Reaktionen
2.181
Punkte
289

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Ok. Gute Idee. Was mache ich am besten mit der Diskstation. Kann hier ein Virus drauf sein? Sollte ich sie am besten komplett neu aufsetzen? Was kann so eine Attacke verursacht haben? Können Daten geklaut sein?
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Ich habe die Anleitung überflogen. Das ist alles sehr gut erklärt. Ich werde mich jetzt mal eingehender damit beschäftigen. Vielen Dank an alle!
 
  • Like
Reaktionen: *kw*

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.654
Punkte für Reaktionen
5.823
Punkte
524
Hattest du die automatishce Routerconfig im DSM benutzt?
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Hattest du die automatishce Routerconfig im DSM benutzt?
Das weiß ich nicht mehr genau. Ich habe die Konfiguration vor ein paar Jahren gemacht. Ich kann mich nur noch daran erinnern, dass ich auch in meiner altenFritzbox Ports freigegeben habe. Bei meiner neueren Fritzbox wurden dann die Einstellungen so übernommen.
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Wichtig ist jetzt erstmal, dass die Kiste vom Netz kommt und die Ports in der FB rigoros dicht gemacht werden, bevor du nicht weißt, was du "möchtest".

PS: und in der FB-Konfig keine selbständigen Portfreigaben für die Geräte zulassen
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Ja. das habe ich gemacht. Alle Ports sind in der FB geschlossen und die DS vom Netz genommen. Ich werde sie wohl platt machen. Da muss ich mal schauen, wie man das am besten macht....
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174

Adama

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
05. Mrz 2013
Beiträge
2.152
Punkte für Reaktionen
741
Punkte
154

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.161
Punkte für Reaktionen
2.181
Punkte
289
Sehe ich ebenfalls als nicht nötig an.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat