Ständige Anmeldeversuche am DSM

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
... Da ich aber die DSM-Ports auf andere Ports gelegt habe, habe ich keine "Angriffsversuche" mehr von außen.
Das klingt nach "Security by obscurity". Es mag wohl sein, dass es bei den aktuellen Angriffen hilft, weil die bots stumpf ihr Programm auf den Standardports runternudeln.

Als generelles Konzept taugt es nur sehr bedingt - gerne als Ergänzung zu anderen Maßnahmen, keinesfalls um diese zu ersetzen.
 

MattCB

Benutzer
Mitglied seit
31. Jan 2012
Beiträge
382
Punkte für Reaktionen
71
Punkte
28
Die IP-Blockierung ist natürlich trotzdem aktiv. Aber da wurde schon ewig nix mehr geblockt. Ausser ich selbst, als ich mal nicht bemerkt habe, dass Capslock aktiv ist. :rolleyes:
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.541
Punkte für Reaktionen
1.373
Punkte
234
Ob ich eine Geoverifizierung mal einbaue, muss ich mir erst mal angucken.
Ich hab das mal versucht umzusetzen.
Eigentlich wollte ich die entsprechende DSM-Implementierung anzapfen, was mir aber nicht gelang (ich hab das entsprechende Binary nicht finden können). Voraussetzung ist jetzt, dass Python3 installiert ist (bei DSM 7 automatisch). Es wird parallel zum Skript ein Ordner mit einer Pythonumgebung erstellt, sofern man die GeoIP-Verifizierung aktiviert.

Ihr müsst damit rechnen, dass die Ausführungszeit merklich ansteigt. Am elegantesten wäre es, die Quellliste entsprechend vorzufiltern. Das ist mir aber mit einem vernünftigen Aufwand nicht gelungen. Jetzt muss jede einzelne IP abgeglichen werden.

Schalten könnt ihr über die folgenden Variablen:
  • useGeoIP
    Die ist standardmäßig auf off gestellt.
    Als weiteren Wert gibt es blockonly (nur definierte Länder werden aus der Blocklist verwendet) oder blockother (alle IPs außer aus den definierten Ländern werden verwendet).
  • countries
    Das ist ein Array. Alle Länderkürzel (im ISO-Format) werden da mit Leerzeichen getrennt in die Klammer geschrieben.
    z.B. countries=(DE CN) für Deutschland und China
  • GeoIP_DB
    Hier ist die GeoIP Datenbank des DSM 7 eingetragen (ob es auf DSM 6 der gleiche Pfad ist, weiß ich nicht).
    Wer möchte, kann sich aber auch bei maxmind.com eine eigene DB herunterladen und den Pfad zur .mmdb Datei anpassen.
 

Gaba90

Benutzer
Mitglied seit
26. Mai 2019
Beiträge
47
Punkte für Reaktionen
4
Punkte
8
Mega, danke fürs implementieren ! sobald mein Festplattenumzug vollzogen ist, versuche ich das gleich mal :)
 
Zuletzt bearbeitet von einem Moderator:

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Hallo zusammen,
hänge mich hier mal ran. Habe die letzten Tage auch viele Loginversuche auf dem deaktivierten Admin Konto. Ich verwende keine Standardports. Meine DS ist ne 918+ mit aktueller DSM Version (7.1.1 42962).
Kontoschutz ist aktiviert (3 Login Versuche in 1 Stunde), automatische Blockierung ist aktiviert (3 Login Versuche in 1 Stunde).
sobald der Kontoschutz (nach 10 h Sperre) wieder aufgehoben wird erfolgt sofort der nächste Angriff und der Kontoschutz wird wieder aktiviert (das passiert in der Regel innerhalb einer Minute momentan). Da das Konto deaktiviert ist und der Angreifer erstmal ausgebremst wird soweit erstmal alles gut.
Allerdings landen bei mir keine IPs auf der Blockierungsliste? Ist das bei euch genauso? Oder „beißen“ sich meine Einstellungen zum Kontoschutz/automatischer Blockierung?
Danke für eure Antworten
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.026
Punkte für Reaktionen
90
Punkte
74
Seit ich das Script mit den blockieren der IPS habe, verzeichnete ich keinen einzigen Anmeldeversuch mehr.
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Gerade nochmal geprüft…in der Anmeldeanalyse tauchen die Loginversuche auf das deaktivierte Admin-Konto auch nicht auf?
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Seit ich das Script mit den blockieren der IPS habe, verzeichnete ich keinen einzigen Anmeldeversuch mehr.
Danke für die schnelle Antwort.
mich würde interessieren warum die IPs nicht automatisch blockiert werden? Das mit dem Script habe ich auch schon gelesen. Würde ich erstmal nicht machen wollen solange nicht die Bordmittel von DSM ausgeschöpft sind.
 

tommytom79

Benutzer
Mitglied seit
09. Sep 2013
Beiträge
605
Punkte für Reaktionen
13
Punkte
38
Ich verzeichne auch seit 06.04. sehr viele fehlgeschlagene Login Versuche, hauptsächlich mit dem deaktivierten Admin User.
Ich habe dazu auch einen Thread aufgemacht.
Meine Lösung dafür wäre vorerst einmal, dass ich bei der Firewall der DS Geoblocking für alle Länder, bis auf das, wo ich wohne, aktiviert habe.
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.026
Punkte für Reaktionen
90
Punkte
74
Ich verstehe nicht ganz, was gegen das Script sprechen sollte?
Ich schließe die Tür nach einem Einbruchsversuch ja auch nicht nur ein mal ab, und sage: mal schauen, sollte schon gehen, erst wenn es wieder passiert, schließe ich sie zwei mal ab.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.473
Punkte für Reaktionen
3.510
Punkte
344
dito, wie meine Vorredner in Sachen Script.

das Script stammt aus sauberen bekannten Händen und ist nachvollziehbar.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Mit Bordmitteln helfen zu 98% erstmal folgende Massnahmen:
Aktivierung der Länderkennung und nur noch D zulassen.
Das hilft nur nicht, wenn die Angreifer aus D oder via Proxy/VPN nach D kommen.
Als zweites in der zB Fritz die Portweiterleitung auf den Port der Syno in einen hohen 5-stelligen Bereich legen.
Ich sage mal als Beispiel 35172 für DSM Zugriff.
Mit https://meineIP:35172 komme ich dann bei der Fritz an und diese leitet auf zB https://192.168.1.10:5001 weiter.

Jede Wette, jetzt ist Ruhe im Karton vor den Scanbots die ununterbrochen Loginversuche machen.
 
  • Like
Reaktionen: uglyguy

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Ich verstehe nicht ganz, was gegen das Script sprechen sollte?
Ich schließe die Tür nach einem Einbruchsversuch ja auch nicht nur ein mal ab, und sage: mal schauen, sollte schon gehen, erst wenn es wieder passiert, schließe ich sie zwei mal ab.
Naja mit einem Script ist das so ne Sache. Man könnte auch sagen, um bei dem Einbruchsbeispiel zu bleiben, die Haustür zwar zweimal zugeschlossen aber dafür das Fenster sperrangelweit aufgemacht. Ich kenne mich mit Scripten leider nicht so gut aus das ich das prüfen und als „ungefährlich“ bewerten kann…
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Mit Bordmitteln helfen zu 98% erstmal folgende Massnahmen:
Aktivierung der Länderkennung und nur noch D zulassen.
Das hilft nur nicht, wenn die Angreifer aus D oder via Proxy/VPN nach D kommen.
Als zweites in der zB Fritz die Portweiterleitung auf den Port der Syno in einen hohen 5-stelligen Bereich legen.
Ich sage mal als Beispiel 35172 für DSM Zugriff.
Mit https://meineIP:35172 komme ich dann bei der Fritz an und diese leitet auf zB https://192.168.1.10:5001 weiter.

Jede Wette, jetzt ist Ruhe im Karton vor den Scanbots die ununterbrochen Loginversuche machen.
Das mit der Länderkennung würde ich nochmal genauer betrachten. Habe heute früh einen schnellen Versuch gemacht und den Kontoschutz aufgehoben…war sofort wieder gesperrt…
Entweder habe ich was falsch gemacht oder zuviele Länder noch zugelassen. Da ich beruflich viel unterwegs bin und auf das System zugreifen können muss habe ich auch USA, Mexico und ein paar westeuropäische Länder noch zugelassen…
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Erstmal vielen Dank an alle für die schnellen Antworten. Um nochmal auf die eigentliche Frage zurück zu kommen, warum die (blockierten) IPs nicht auf der Blockierungsliste landen ist nicht bekannt?
danke
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.809
Punkte
524
Ja, das script läuft hier auch.
@EDvonSchleck was machst du regelmäßig, fast täglich?
 

Sequoia

Benutzer
Mitglied seit
14. Dez 2017
Beiträge
1.026
Punkte für Reaktionen
90
Punkte
74
Das wollte ich auch gerade fragen. Bei mir läuft es auf allen Synology, und aktualisiert im 10 Minuten Takt.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Was meinst du damit? Wenn IPs blockiert werden, kommen sie nach der Anzahl der Versuche auch in der Liste. Ansonsten starte, deine DS einmal neu. Nutze die aktuellste Software oder zeige deine Einstellungen mit Screens.

@ctrlaltdelete, ich empfehle es fast täglich. Das müsstest du aber schon mitbekommen haben :cool:
 
  • Haha
Reaktionen: ctrlaltdelete


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat