Synology wird angegriffen!

[sonoio]

Hallo, zugegeben, etwas "reißerischer" Titel, aber mir ist folgendes aufgefallen. Ich habe zwei DS in demselben Netz hängen, die eine meldet sich über no-ip.org und selfhost.me an, die andere bekommt eine myDS.me-Adresse von Synology. Seit diese zweite DS im Netz hängt, wird sie - aber auch nur sie - ständig von obskuren IP-Adressen aus China und den Niederlanden gescannt und nach drei Versuchen werden die IPs dann auch erfolgreich geblockt. Es scheint also, als würden Hacker ganz gezielt die Synology-DynDNS-Adressen abklappern, um dort eine offene DS zu finden oder das PW zu erraten. Ist das noch wem aufgefallen? Geht Euch das auch so?

Gruß, SONOiO

 

[jahlives]

jetzt habe ich ein gutes Argument gegen den dyndns von Syno Würde mich nicht wundern wenn diese "Hacker" einfach den DNS Server der Syno dynDNS Domain abgrasen und die ermittelten IPs an ihre Scripte verfüttern. Bester Schutz? Kein Syno dyndns. Weil durch die Nutzung dieses Dienstes gibst du einem Angreifer mindestens die Info in die Hand was für ein Serversystem bei dir läuft

 

[joku]

Ist das noch wem aufgefallen? Geht Euch das auch so?

Hallo sonoio,
Ich kann das nicht bestätigen. Du brauchst außer Login, Passwort noch die Seriennummer.
Und diese wird live abgefragt.
Scannen mag sein, ja wo nicht

Gruß Jo

 

[amarthius]

Nutze den DynDNS von Synology und bemerke keine Angriffe

 

[joku]

Nutze den DynDNS von Synology und bemerke keine Angriffe

Genau so ist es

 

[MattCB]

Bei mir hat auch die automatische Blockierung letztens eine IP in China gesperrt. Da wollte jemand auf meinen FTP-Server auf der DS zugreifen. Da ich aber eingestellt habe, dass er bei 3 Fehlversuchen in 5 Minuten blockiert wird, dürfte das schwer werden. Ich nutze aber ein ganz normales DynDNS-Konto (Daten im Router drin).

 

[Trolli]

FTP Server auf dem normalen Port werden immer schon von Zeit zu Zeit angegriffen. Aber dazu hat man ja auch den autoblock...

 

[Kidaru]

Bei mir hat auch die automatische Blockierung letztens eine IP in China gesperrt. Da wollte jemand auf meinen FTP-Server auf der DS zugreifen. Da ich aber eingestellt habe, dass er bei 3 Fehlversuchen in 5 Minuten blockiert wird, dürfte das schwer werden. Ich nutze aber ein ganz normales DynDNS-Konto (Daten im Router drin).

Meine DS hängt direkt im Netz und innerhalb 24h kommen so zwischen 1-10 Blockierungen rein, unter der Woche mit Tendenz zu 1 und am Wochenende mit Tendenz zur 10. Das Ganze sehe ich derzeit als normal an.
Lustig war es nur am 07.01.12 dort prasselten gleich 25 Blockierungen (20 innerhalb von 6h) durch, war aber bis dato die einzige Situation die ich als gezielt ansehe.



Viel Spass mit www.utrace.de und den IP's wer denn wissen will wo die so angesiedelt sind ^^


Grüße

 

[crick]

Es wird vermutlich auch stark mit dem Namen bei der Synology-Domain zu tun haben. Ich weiss nicht, wie Domain und Subdomain aufgebaut sind, aber wenn jemand hans.synodns.com oder so hat, ist ein Angriff bestimmt wahrscheinlicher als bei x7h2.syndodns.com.

 

[schimi77]

habe meine DS nun schon einige monate. bis jetzt hatte ich nur die ports 443, 1194, 1723 und 5001 offen. Hatte damit nur alle paar wochen eine blockierung von ips.

seit samstag habe ich noch port 400 und 5000 geoeffnet und auf einen schlag komme ich auf ca. 2-5 blockierungen pro tag. port 5000 wird doch sicher nur von der DS genutzt, hat es hier jemand direkt auf die DS abgesehen?

 

[crick]

Wenn jemand gezielt Synology-Domains scanned, wird er es sicherlich u.a. auf Port 5000 abgesehen haben. Ich wuerde einfach beim Router Port 2000 oder sonstwas auf machen und dnan auf 5000 leiten.

 

[banshe]

Bei mir rasseln momentan auch viele IP's in die Block Liste..
Meine Dynamische DNS beziehe ich bei no-ip.
Ich werde heute Abend auch einen anderen Port auf die 5000 forwarden...

Im übrigen werden bei mir IP's geblockt, welche innert 120min 3 Fehlversuche gemacht haben. Die IPs werden nicht automatisch entblockt.

 

[Mike0185]

Hallo!

Ich habe die Blockierung auf 3 Fehlversuche innerhalb von 10 Minuten stehen (ohne Autoentsperrung). Ich habe eine Dyn-Domain (*.li) von selfhost.de und kämpfe mal mehr mal weniger mit blockierten IPs. Die IPs kommen meistens aus dem chinesischen / russischen oder amerikanischen Bereich. Den Standard-Admin-Account habe ich mit einem starken Kennwort ausgerüstet und benutzertechnisch blockiert. Die User selbst haben ebenfalls "starke" Kennwörter. Ports nach Außen gehen bei mir FTP, HTTPS, OpenVPN und DSM (5001).

Seit gestern habe ich den SSH-Port ins WAN wieder dicht. Ich denke das bringt auch wieder einiges, den werde ich nur noch über VPN von außen her öffnen. Ich wette wenn ich den FTP-Port noch auf einen anderen leite werden die Angriffe nochmals weniger.

Gescannt wird auf jeden Fall genug, aber sicherlich nur im vorderen Port-Bereich. Irgendwo habe ich auch schon eine Anleitung in der Wiki gefunden die IP-Kreise außerhalb von DE komplett zu sperren, aber da hab ich mich noch nicht rangetraut

Es wurde auch mal beschrieben komplette Kreise über die iptables zu blockieren, das ist aber manchmal ganz schön Arbeit und sicherlich eine nicht enden wollende dazu.

LG
Mike

 

[Ap0phis]

Mich würde mal interessieren, wofür ihr eure DynDNS alles nutzt!
Habt ihr Fotos von der Photostation auf Facebook veröffentlicht o.Ä.?

Ich nutze hier ausschliesslich VPN und habe in 2 Jahren - toi toi toi - noch keinen einzigen fremden Zugriff verzeichnet.

Ach ja, wer die DynDNS von Synology und die Standardports benutzt, der sollte sich wirklich nicht wundern. ;-)

 

[Puppetmaster]

Ich nutze hier ausschliesslich VPN und habe in 2 Jahren - toi toi toi - noch keinen einzigen fremden Zugriff verzeichnet.

In den mehr als 3 Jahren mit den diversen Syno's habe ich insgesamt eine oder zwei IP's in meiner 'Trap' gehabt. Dabei gelten 3 Loginversuche in 5 Minuten. Sollte also nicht so schwer sein, da reinzulaufen (hab ich auch selbst schon geschafft ). Ports habe ich einige offen. VPN nutze ich eher selten, steht aber auch als Option. Nichtsdestotrotz sind noch einige andere Ports offen: http, https, sftp, WebDAV u. div. andere.
Manchmal hilft es schon, wenn man nicht die Standardports nimmt.
Ich hatte mal für 2 Tage simples ftp auf Port 21 aktiv, da hatte ich alle 2 Minuten eine fremde IP geblockt. Da meine DS da aber nicht mehr zur Ruhe kam, bin ich auf sftp auf einem gänzlich anderen Port umgestiegen. Ist mir eh lieber so.
Also mit Port 21 offen klingelt's ganz ordentlich in der Blockiertliste.

 

[Nastas]

Ich kann das nicht bestätigen. Bei mir ist das sogar eher anders herum, ich hab lange Zeit eine DynDns Adresse von no-ip.org gehabt und da sind einige Angriffe zu Verzeichnen gewesen. Hier auf der Synology DNNS hab ich so wie gar keine Angriffe bzw. nur sehr wenige, obwohl bei mir der FTP-Server von Aussen ansprechbar ist. Und ich sage mal wenn dein Passwort nicht im "Wörterbuch" auftaucht dann brauch man sich auch keine Gedanken zu machen. Ein "richtiger Hacker" sucht sich eh nicht deine DS aus um da ein zu brechen bzw. wenn er es versuchen wollte wäre er vermutlich schon längst auf der DS gewesen ohne das du das auch nur bemerkt hättest. Ich denke mal wenn einer wirklich wichtige Daten hat, die nie über den Ethernet laufen sollten, dann wird er das auch nicht auf der DS speichern. Bei mir gelten auch die 3 Loginversuche in 5 Minuten. Allerdings lasse ich die geblockten Adressen nach einem Tag wieder frei. Hab da keine Lust jedes mal die IP's von Hand zu löschen und da sich die IP's im normal Fall jeden Tag ändern bringt das nicht viel die geblockten Adressen in der Liste der DS stehen zu lassen.

 

[Puppetmaster]

Und ich sage mal wenn dein Passwort nicht im "Wörterbuch" auftaucht dann brauch man sich auch keine Gedanken zu machen.

Für die Sicherheit nicht, aber es ist am Sinn des Ruhezustands vorbei, wenn die DS eigentlich 8 Stunden am Tag am Stück schlafen kann (wenn ich z.B. arbeite), das aber nicht geht weil ständig irgendwer anklopft.

 

[Nastas]

Für die Sicherheit nicht, aber es ist am Sinn des Ruhezustands vorbei, wenn die DS eigentlich 8 Stunden am Tag am Stück schlafen kann (wenn ich z.B. arbeite), das aber nicht geht weil ständig irgendwer anklopft.

Wenn man seine DS in den Ruhezustand schicken will, dann kann man das mit den Standardports eh vergessen. Aber da ich meine DS den ganzen Tag laufen lasse und nur Nachts ausschalte ist mir das egal wer da anklopft. Ich denke Interessant wird der Ruhezustand erst, wenn man ne größere mit mehr Power DS hat die man doch gerne mal in den Ruhezustand schicken will. Da wäre dann VPN so wieso die beste Alternative. Aber bei meiner kleinen DS ist der Ruhezustand für meine Begriffe einfach lächerlich.

 

[Puppetmaster]

Wenn man seine DS in den Ruhezustand schicken will, dann kann man das mit den Standardports eh vergessen. Aber da ich meine DS den ganzen Tag laufen lasse und nur Nachts ausschalte ist mir das egal wer da anklopft. Ich denke Interessant wird der Ruhezustand erst, wenn man ne größere mit mehr Power DS hat die man doch gerne mal in den Ruhezustand schicken will. Da wäre dann VPN so wieso die beste Alternative. Aber bei meiner kleinen DS ist der Ruhezustand für meine Begriffe einfach lächerlich.

Da mag ja jeder denken, wie er mag.
Ich halte den Ruhezustand für eine gute Sache, auch bei den kleinen DSen. Dabei geht's gar nicht mal nur um den Stromverbrauch. Geräuschkulisse mag da z.B. auch eine Rolle spielen.
Tendenziell würde ich gerade bei den großen NAS eher sagen, daß dort kein Ruhezustand der sinnvollere Ansatz ist als bei den kleinen. Aber genau aus diesem Grund habe ich z.B. auch mehrere kleine DS anstatt einer großen. Es müssen sich nicht permanent 18TB drehen, wenn ich ein Album höre oder einen Film gucke, bzw. wenn jemand sich ein paar Bilder auf meiner Homepage ansieht. Nachts wird auch nichts ausgeschaltet. Die DS213+ hat einen Energiehunger von 2,6W im Ruhezustand. Da lohnt das Ausschalten nicht. Des weiteren will ich auch nachts noch erreichbar sein (woanders ist ja dann z.B. auch Tag! ).
Nochmal zu den Ports: Ich habe 2 DynDNS Adressen und einige Standardports offen, aber eben nicht die einschlägigen (ftp), die gerne von den Script-Kiddies gescannt werden. Trotzdem so gut wie nie unerwünschten Besuch von aussen.

 

[Nastas]

Die DS213+ hat einen Energiehunger von 2,6W im Ruhezustand. Da lohnt das Ausschalten nicht. Des weiteren will ich auch nachts noch erreichbar sein (woanders ist ja dann z.B. auch Tag! ).

Wenn ich so eine wunderschöne DS213+ hätte, dann würde ich die auch nicht ausschalten. Mich will Nachts keiner besuchen.