Ständige Anmeldeversuche am DSM

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Du hast also ein Problem mit dem existierten User, die sich falsch anmelden?
Das wäre so, als ob du im privaten Netzwerk deine Firewall benutzt.
Die Gefahr kommt doch von außen und nicht von einem falschen Passwort eines Users deiner DS.
Nee - wie mehrmals beschrieben findet der Versuch mit dem (natürlich deaktivierten) Standard Admin Konto statt!!!
Das ist auch bekanntermaßen das Einfallstor #1 für solche Attacken
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
@uglyguy Es ist bei mir unerheblich, ob ich mich intern „falsch“ anmelde oder extern, die IP landet nur dann auf der Blockliste, wenn ich es mit einem nicht vorhandenen Benutzernamen versuche; bei vorhandenen Benutzern wird halt das Konto gesperrt.
 
  • Like
Reaktionen: uglyguy

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Und ist doch deaktiviert oder sollte es sein. Der Login kommt doch von extern. Damit es nicht zu dem Loginversuch kommt, werden die IPs bereits im Vorfeld geblockt. Also vor dem ersten "anklopfen"!
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Und ist doch deaktiviert oder sollte es sein. Der Login kommt doch von extern. Damit es nicht zu dem Loginversuch kommt, werden die IPs bereits im Vorfeld geblockt. Also vor dem ersten "anklopfen"!
Das ist leider falsch. Obwohl das Konto deaktiviert ist wird es für DMS vorhanden. Dementsprechend greift hier kein IP Blocking sondern nur der Kontoschutz.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
Und ist doch deaktiviert oder sollte es sein. Der Login kommt doch von extern. Damit es nicht zu dem Loginversuch kommt, werden die IPs bereits im Vorfeld geblockt. Also vor dem ersten "anklopfen"!
Wenn eine IP sich über einen vorhandenen Benutzernamen versucht, anzumelden, wird nach den entsprechenden Versuchen das Konto gesperrt, aber die IP (weder IPv4 noch IPv6) nicht der Liste hinzugefügt. Bei einem nicht vorhandenen Benutzernamen kann das Konto logischerweise nicht gesperrt werden, da wird die IP dann der Liste hinzugefügt.

Das ist das Verhalten bei mir und die Frage von uglyulgy gewesen. Es geht nicht um geimists Skript, sondern das Systemverhalten von DSM. Stell es bitte mal bei dir nach.
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
Dann stell es bitte bei dir nach, was du anders siehst, hilft hier keinem weiter. 🤷‍♂️ Nochmal, mir geht es um das Systemverhalten von DSM, ob ich IPS geladen habe oder nicht, ist erstmal egal, die Mobil-IP, von der ich es eben versucht habe, ist nicht Teil des Skriptes gewesen und deshalb auch nicht von vorne herein geblockt.
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Ja das mag ja sein. Dein Script würde aber an dem von mir beschriebenen Problem nichts ändern.
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
@Monacum : Ich verstehe das man ein nicht vorhandenes Konto natürlich nicht mit dem Kontoschutz sperren/schützen kann. Aber um eine brute force Attacke auf das bei jedem Synology Gerät vorhandene Admin Konto (welches man ja nur deaktivieren aber nicht löschen kann) effektiv zu stoppen wäre es schon cool wenn die IP, die den Kontoschutz auslöst, auch geblockt wird, oder?
weil mit dem jetzigen Zustand wird die Attacke ja nur verlangsamt. Maximale Zeit für den Kontoschutz sind bei mir 999 Minuten.
Und noch ne Frage zum Schluss - da das Admin Konto deaktiviert ist nervt halt die Meldung über den immer wieder neu aktivierten Kontoschutz, wirklich passieren kann aber nix, richtig?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.216
Punkte für Reaktionen
1.035
Punkte
224
Und, wird bei dir eine IP gesperrt, wenn du dich an einem vorhandenen Konto zu oft angemeldet hast? Und bitte nicht wieder ein Screenshot, aus der Anleitung bin ich auch nicht schlauer geworden, die sagt nur, dass eine IP nach Anmeldeversuchen gesperrt wird, nicht, ob der Benutzername existieren muss dafür.
 
  • Like
Reaktionen: uglyguy

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Ich verstehe euer Problem nicht. Ich habe eben zum Testen noch einmal die IP eines Gerätes gesperrt. Es ist damit kein Login mehr möglich. Noch nicht einmal ein Loginversuch wird von der DS noch aufgezeigt. Es wird sofort geblockt. Was will man mehr? Für welche Dienste dieser Block greift, steht in der Beschreibung #171. Wie bereits geschrieben ist es Ruhe mit den Logins. Auch unterschiedliche Dienste habe ich getestet. Somit ist es für mich geklärt, ob das Script und damit verbunden IP-Blockieren Sinn macht oder nicht. Ihr könnt es gerne anders machen oder lassen.
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Hallo @EDvonSchleck , danke für deine Mühen und für die Erkenntis das von einer in dem Script hinterlegten IP keine Anmeldung möglich ist.
Das war aber gar nicht die ursprüngliche Frage. Die Frage war ob eine IP die einen Kontoschutz triggert auf der Blockierungsliste landet oder nicht - oder ob ich einen Fehler bei den Einstellungen gemacht habe.
ich denke diese Frage hat @Monacum ausreichend beantwortet
 

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Mit Bordmitteln helfen zu 98% erstmal folgende Massnahmen:
Aktivierung der Länderkennung und nur noch D zulassen.
Das hilft nur nicht, wenn die Angreifer aus D oder via Proxy/VPN nach D kommen.
Als zweites in der zB Fritz die Portweiterleitung auf den Port der Syno in einen hohen 5-stelligen Bereich legen.
Ich sage mal als Beispiel 35172 für DSM Zugriff.
Mit https://meineIP:35172 komme ich dann bei der Fritz an und diese leitet auf zB https://192.168.1.10:5001 weiter.

Jede Wette, jetzt ist Ruhe im Karton vor den Scanbots die ununterbrochen Loginversuche machen.
Servus @NSFH : Sauguter Tipp mit dem geänderten externen Port in der Fritz Box. Ich habe den, wie von dir vorgeschlagen, auf eine willkürlich hohe Nummer gesetzt und damit scheinen die Attacken bereits an der FB zu scheitern 👌!
Achso, den externen Port 12345 an der FB hat der Angreifer sofort herausbekommen 😂. Hab jetzt was willkürliches genommen und es scheint Ruhe zu sein.
ich habe mir auch die IPs mal näher angeschaut die versuchen sich einzuloggen. Das geht Querbeet, HongKong, Andorra, Italien, Schweiz, Vietnam…
 

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Auch wenn ich dich enttäuschen muss, aber ich halte einen geänderten Port nicht für das Maß der Dinge und kein Sicherheitsfeature. Sicher sollte man nicht den 5000/5001 Port nutzen, aber einen anderen herauszubekommen ist kein Hexenwerk. Ich würde es eher über Subdomains und den bekannten Port 443 laufen lassen, wie viele andere User hier auch. Dazu eine ordentlich eingestellte Firewall und das Script und du wirst so gut wie niemals mehr etwas von Logins sehen. Dadurch erreichst du einen Schutz, bevor der erste Kontakt überhaupt entsteht, also präventiv.
 
  • Like
Reaktionen: NASSucher

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Nein nein du enttäuscht mich auf keinen Fall. Mir ist schon bewusst das das Port variieren in der FB so ne Quick&Dirty Lösung ist (die bisher allerdings gut funktioniert).
Firewall habe ich jetzt auch optimiert so wie es in diesem Thread bereits beschrieben wurde. Mir ist absolut bewusst das diese DS exponiert ist (für meine Arbeit sogar sein muß). Bei den anderen DS'en die nicht extern erreichbar sein müssen habe ich jetzt, auch der Beschreibung folgend, über die Firewall jeglichen Zugriff von außen weggebügelt.
In der FB habe ich gerade auch nen VPN angelegt und werde die nächsten Tage mal damit experimentieren ob das für mich und meine Zwecke taugt. Wenn ja würde ich die 918er auch wieder hinter die FW packen.
@EDvonSchleck - ist jetzt wirklich nicht böse oder negativ von mir das ich das Script, mit dem du und andere hier so gute Erfahrung gemacht hast, so links liegen lasse. Habe da noch etwas Berührungsängste wie du sicherlich bemerkt hast.
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.567
Punkte für Reaktionen
1.392
Punkte
234
Bei den anderen DS'en die nicht extern erreichbar sein müssen habe ich jetzt, auch der Beschreibung folgend, über die Firewall jeglichen Zugriff von außen weggebügelt.
Am besten gleich die Portweiterleitungen in der FritzBox löschen, damit Anmeldeversuche gar nicht erst ins Heimnetz gehen.
 
  • Like
Reaktionen: Benie

uglyguy

Benutzer
Mitglied seit
27. Okt 2015
Beiträge
99
Punkte für Reaktionen
6
Punkte
8
Oha - guter Hinweis. Die hab ich tatsächlich noch nicht gelöscht! Besten Dank!
 
Zuletzt bearbeitet von einem Moderator:

EDvonSchleck

Gesperrt
Mitglied seit
06. Mrz 2018
Beiträge
4.703
Punkte für Reaktionen
1.120
Punkte
214
Du kannst die IPs auch manuell installieren. Das geht ohne Probleme und du hast auf einen Schlag zwischen 20000 und 23000 gesperrte IPs, je nach Quelle.

https://lists.blocklist.de/lists/all.txt
https://grellmann.net/ip-blacklist/

Das Script macht es nur automatisch und es ist nichts zu befürchten uns Stefan macht eine super Arbeit und geht auch auf Bedürfnissen von Usern ein. (y)
 
  • Like
Reaktionen: uglyguy


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat