Ständige Anmeldeversuche am DSM

Sequoia · 31. Jul 2022

Das Thema müsste Sticky ins Forum! Damit das jeder so einstellt und macht! Wirklich klasse!

luzifer1 · 02. Aug 2022

Tolle Anleitung.
Habe es so weit hinbekommen. Aber es kommen keine Daten in die Blockliste. Das Skript startet und stoppt ohne Fehlermeldung.
Habe ich was vergessen?

Monacum · 02. Aug 2022

Zwischen chmod +x und dem ersten Pfad soll kein Zeilenumbruch sein, zwischen die erste Angabe des Pfades und der zweiten gehört allerdings einer.

luzifer1 · 02. Aug 2022

Ist so Eingetragen

luzifer1 · 02. Aug 2022

Habe den Befehl noch mal neu geschrieben. Ich glaube, jetzt läuft es.
Herzlichen Dank

Sequoia · 03. Aug 2022

Ich wollte das Script auch auf meiner DS115j, die nur hinter NAT via QuickConnect erreichbar ist, laufen lassen, Aber da kommt stets ein Fehler, dass es nicht klappt.

*edit*
Ich habe es noch mal aktiviert, und nun ging es doch. Sorry für den Post.

SASCHA47249 · 11. Okt 2022

Vielen Dank es funktioniert super.

Warum alle 10 minuten updaten?

geimist · 11. Okt 2022

SASCHA47249 schrieb:
Warum alle 10 minuten updaten?

Weil sich die Listen so schnell ändern. Wenn du vor neuen bösen IPs geschützt sein möchtest, muss die DS diese zeitnah kennen.

Die meisten Angriffe kommen ja von gekaperten Geräten. Irgendwann fällt das auf oder sie werden anderweitig blockiert. Je älter so ein Eintrag ist, desto irrelevanter wird er in der Regel.

EDvonSchleck · 11. Okt 2022

@geimist, nutzt du zusätzlich noch fail2ban oder swag etc?
Schöne Arbeit noch einmal!

HefeHannes · 11. Okt 2022

Hatte seit heute Nacht auch rund 200 Blockierte IP-Adressen.
Habe jetzt die Freigabe auf Port 5001 deaktiviert und werde heute Abend das Skript von @geimist, aus diesem Beitrag, einbauen - Vielen dank dafür!

Heimi75 · 11. Okt 2022

Bei mir lief bis heute 1300 Uhr seit vorgestern Abend ebenfalls ein „Angriff“. Fast 7000 Versuche im Sekundenabstand sich mit dem Admin-Konto einzuloggen. Immer mit unterschiedlichen IP-Adressen, sowohl Ipv4 als auch Ipv6-Adressen. Allerdings alles untaugliche Versuche, da alle Versuche auf den admin gingen. Der ist aber schon lange deaktiviert…

EDvonSchleck · 11. Okt 2022

Firewall an oder Blockierlisten eingesetzt?
Woher kamen denn die Angriffe (Land)?

SASCHA47249 · 11. Okt 2022

Bei mir auch seit gestern. Bin dadurch auf das Script bzw dieses forum gestoßen. Bin was synology angeht unerfahren aber das mit dem Script habe ich hinbekommen und der admin ist auch schon länger deaktiviert.

EDvonSchleck · 11. Okt 2022

Script Blocklist von geimist (für Interessenten)

Aus welchen Ländern kommen die Angriffe? Welche Ports hab ihr offen?

SASCHA47249 · 11. Okt 2022

Ich habe das Script auch heute erst draufgemacht aber zu der zeit gingen die Angriffe noch 3 std weiter.

Die blockliste war zu der zeit leer oder ich habe den falschen weg genommen.

Firewall ist an einige ports offen.
Hab auch nicht viel ahnung was der so braucht. Die Fritzbox Firewall im Stealth Mode. SSL Zertifikat ist auch drauf

Ich benutze photo, drive, Kalender und plex mit der synology.
Im Moment ist wieder ruhe eingelehrt.

Screenshot_20221011_160304_com.android.chrome.jpg

EDvonSchleck · 11. Okt 2022

Ich würde erst einmal die Firewall auf der Synology reichtig einrichten und nur die SSL-Ports für die Anwendungen nuten. Alle nicht genutzten Anwedungen natürlich deaktivieren. Danach die Ports am Router anpassen.

Rururu · 11. Okt 2022

geimist schrieb:
Theoretisch ja, in der Praxis in meinem Fall die letzten Jahre nicht. Es sorgt in jedem Fall für wesentlich mehr Ruhe.

Hy Geimist, wenn ich den 5001 auf bsp. 53566 auf der Synology und auf meiner fritzbox einstelle, komme ich mit der DS cam android nicht in meine Cams

philipprem schrieb:
Hey zusammen,
ich habe seit ein paar Tagen ständige Anmeldeversuche am DSM. Es wird versucht auf sich mit dem User "admin" einzuloggen. Ich hab ein DynDns konfiguriert und den HTTPS-Port (5001) nach außen freigegeben.

Der user "admin" ist deaktiviert und mein User hat eine 2-FA. Theoretisch sollte es also alle iO sind aber die ständigen Mails nerven und unsicher bin ich auch. Ich hab die Schwelle schon auf 3 Versuche in 10min reduziert.

Was macht ihr? Geist ihr nur per VPN zu? Doch QuickConnect statt DynDns für das DSM? Sollte ich einfach mal den Port wechseln?

Hallöchen,
bei mir seit gestern ebenfalls das selbe.
Bis vorhin ca alle 20min ein Versuch.

Admin ist deaktiviert, aber warum wird die IP nicht blockiert bzw. ist diese auch nicht sichtbar.

Kannte das mal vor langer zeit und dort wurden die ip' s direkt blockiert.

2 Stufen Verifizierung ist aus.
Muss das definitiv demnächst machen.

Port 5001 ist bei mir offen auf der fritzbox 7590.
Vielleicht kann mir jemand bzgl. hierbei auf helfen.

Und zwar für den Port 5001 nach aussen hin zu ändern, muss ich ja diese in der DSM ändern unter Anmeldeportal auf bsp. 52349
Und diese dann ebenfalls auf meine fritzbox.

Dies hat jedoch nicht funktioniert.
Wollte so den Anmeldeversuche entgegen wirken.
War mein Vorgehen richtig?

(Synology 720+ Firmware 7.11)

EDvonSchleck · 11. Okt 2022

Du kannst die Ports auch im Router ändern und in der Synology belassen. Somit wird bei der Fritzbox der Port 53566 auf die Synology am Port 5001 weitergeleitet.

Tschamic · 11. Okt 2022

Hatte auch seit gestern unendlich viele Angriffe, Script Blocklist nach Anleitung von @geimist draufgespielt und Ruhe wars

geimist · 11. Okt 2022

Rururu schrieb:
Hy Geimist, wenn ich den 5001 auf bsp. 53566 auf der Synology und auf meiner fritzbox einstelle, komme ich mit der DS cam android nicht in meine Cams

Da musst du wahrscheinlich auch den abweichenden Port in DS cam mit angeben:
https://example.com:52349

Ständige Anmeldeversuche am DSM

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Gesperrt

Benutzer

Benutzer

Gesperrt

Benutzer

Gesperrt

Benutzer

Gesperrt

Benutzer

Gesperrt

Benutzer

Benutzer

Kaffeautomat