Too many current connections - DOS-Attacke?

[hilchi]

Hallo,

heute morgen hatte ich keinen Zugriff mehr auf meine DS 211j.
DSM war nicht erreichbar, SMB-Shares ebenfalls nicht, Login SSH war möglich, aber es kam kein Eingabeprompt.
Ein Herunterfahren über den Ausschalter an der DS selbst war ebenfalls erfolglos.
Nur ein Trennen vom Strom konnte helfen und ein Neustart wurde durchgeführt.

Im Log steht folgendes:

Nov 24 07:47:18 scemd: SCEMD: disk 1 wake up from hibernation
Nov 24 07:47:38 synoautoblock: autoblock_ip_add.c:73 Before SYNOSysNotifySendNotifiction
Nov 24 07:47:38 scemd: SCEMD: disk 2 wake up from hibernation
Nov 24 07:47:38 sshd[21987]: auth-passwd.c:auth_password:166 [222.73.182.187] host is denied to login.
Nov 24 07:47:38 sshd[21987]: fatal: synoautoblock refuse returns
Nov 24 07:47:39 sshd[22254]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:39 sshd[22254]: fatal: synoautoblock refuse returns
Nov 24 07:47:40 sshd[22259]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:40 sshd[22259]: fatal: synoautoblock refuse returns
Nov 24 07:47:40 sshd[22326]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:40 sshd[22326]: fatal: synoautoblock refuse returns
Nov 24 07:47:41 sshd[22393]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:41 sshd[22393]: fatal: synoautoblock refuse returns
Nov 24 07:47:42 sshd[22460]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:42 sshd[22460]: fatal: synoautoblock refuse returns
Nov 24 07:47:43 sshd[22527]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:43 sshd[22527]: fatal: synoautoblock refuse returns
Nov 24 07:47:44 sshd[22530]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:47:44 sshd[22530]: fatal: synoautoblock refuse returns

[Edit: Das wiederholt sich noch ca. 130 mal]

Nov 24 07:49:17 sshd[28828]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:17 sshd[28828]: fatal: synoautoblock refuse returns
Nov 24 07:49:17 sshd[28895]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:17 sshd[28895]: fatal: synoautoblock refuse returns
Nov 24 07:49:18 sshd[28962]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:18 sshd[28962]: fatal: synoautoblock refuse returns
Nov 24 07:49:19 sshd[29030]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:19 sshd[29030]: fatal: synoautoblock refuse returns
Nov 24 07:49:20 sshd[29097]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:20 sshd[29097]: fatal: synoautoblock refuse returns
Nov 24 07:49:21 sshd[29100]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:21 sshd[29100]: fatal: synoautoblock refuse returns
Nov 24 07:49:21 sshd[29167]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:21 sshd[29167]: fatal: synoautoblock refuse returns
Nov 24 07:49:22 sshd[29234]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:22 sshd[29234]: fatal: synoautoblock refuse returns
Nov 24 07:49:23 sshd[29301]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:23 sshd[29301]: fatal: synoautoblock refuse returns
Nov 24 07:49:24 sshd[29368]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:24 sshd[29368]: fatal: synoautoblock refuse returns
Nov 24 07:49:25 sshd[29371]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:25 sshd[29371]: fatal: synoautoblock refuse returns
Nov 24 07:49:25 sshd[29438]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:25 sshd[29438]: fatal: synoautoblock refuse returns
Nov 24 07:49:26 sshd[29506]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:26 sshd[29506]: fatal: synoautoblock refuse returns
Nov 24 07:49:27 sshd[29573]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:27 sshd[29573]: fatal: synoautoblock refuse returns
Nov 24 07:49:28 sshd[29640]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:28 sshd[29640]: fatal: synoautoblock refuse returns
Nov 24 07:49:29 sshd[29643]: sshd.c:main:1926 [222.73.182.187] host is denied to login.
Nov 24 07:49:29 sshd[29643]: fatal: synoautoblock refuse returns
Nov 24 08:08:18 synoaudiod: get_capability.cpp:139 Failed to download RCS SCPD xml, url [http://192.168.xxx.xxx:52235/RenderingControl1.xml], rc[-108], msg[UPNP_E_INVALID_URL]
Nov 24 08:08:18 synoaudiod: upnp.cpp:757 Failed to get renderer capability
Nov 24 08:12:17 synoaudiod: get_capability.cpp:139 Failed to download RCS SCPD xml, url [http://192.168.xxx.xxx:52235/RenderingControl1.xml], rc[-108], msg[UPNP_E_INVALID_URL]
Nov 24 08:12:17 synoaudiod: upnp.cpp:757 Failed to get renderer capability
Nov 24 08:45:32 scemd: SCEMD: disk 1 wake up from hibernation
Nov 24 08:45:51 scemd: SCEMD: disk 2 wake up from hibernation
Nov 24 09:03:11 ftpd[9397]: Too many current connections
Nov 24 09:03:25 ftpd[9397]: Too many current connections
Nov 24 09:03:39 ftpd[9397]: Too many current connections
Nov 24 09:03:53 ftpd[9397]: Too many current connections
Nov 24 09:04:07 ftpd[9397]: Too many current connections
Nov 24 09:04:19 ftpd[9397]: Too many current connections
Nov 24 09:04:36 ftpd[9397]: Too many current connections
Nov 24 09:04:52 ftpd[9397]: Too many current connections
Nov 24 09:05:08 ftpd[9397]: Too many current connections
Nov 24 09:05:24 ftpd[9397]: Too many current connections
Nov 24 09:05:37 ftpd[9397]: Too many current connections
Nov 24 09:05:51 ftpd[9397]: Too many current connections
Nov 24 09:06:05 ftpd[9397]: Too many current connections
Nov 24 09:06:19 ftpd[9397]: Too many current connections
Nov 24 09:06:33 ftpd[9397]: Too many current connections
Nov 24 09:06:45 ftpd[9397]: Too many current connections
Nov 24 09:07:01 ftpd[9397]: Too many current connections
Nov 24 09:07:17 ftpd[9397]: Too many current connections
Nov 24 09:07:33 ftpd[9397]: Too many current connections
Nov 24 09:07:50 ftpd[9397]: Too many current connections
Nov 24 09:08:02 ftpd[9397]: Too many current connections
Nov 24 09:08:16 ftpd[9397]: Too many current connections
Nov 24 09:08:30 ftpd[9397]: Too many current connections
Nov 24 09:08:44 ftpd[9397]: Too many current connections
Nov 24 09:08:58 ftpd[9397]: Too many current connections
Nov 24 09:15:44 scemd: net_default_gateway_set.c:36 failed to set default gateway 192.168.xxx.xxx (-1).
Nov 24 09:17:18 scemd: net_default_gateway_set.c:36 failed to set default gateway 192.168.xxx.xxx (-1).
Nov 24 09:27:07 ftpd[9397]: Too many current connections
Nov 24 09:27:21 ftpd[9397]: Too many current connections
Nov 24 09:27:35 ftpd[9397]: Too many current connections
Nov 24 09:27:49 ftpd[9397]: Too many current connections
Nov 24 09:28:03 ftpd[9397]: Too many current connections
Nov 24 09:28:15 ftpd[9397]: Too many current connections
Nov 24 09:28:32 ftpd[9397]: Too many current connections
Nov 24 09:28:48 ftpd[9397]: Too many current connections
Nov 24 09:29:04 ftpd[9397]: Too many current connections
Nov 24 09:29:20 ftpd[9397]: Too many current connections
Nov 24 09:29:33 ftpd[9397]: Too many current connections
Nov 24 09:29:47 ftpd[9397]: Too many current connections
Nov 24 09:30:01 ftpd[9397]: Too many current connections
Nov 24 09:30:15 ftpd[9397]: Too many current connections
Nov 24 09:30:29 ftpd[9397]: Too many current connections
Nov 24 09:30:41 ftpd[9397]: Too many current connections
Nov 24 09:30:57 ftpd[9397]: Too many current connections
Nov 24 09:31:14 ftpd[9397]: Too many current connections
Nov 24 09:31:30 ftpd[9397]: Too many current connections
Nov 24 09:31:46 ftpd[9397]: Too many current connections
Nov 24 09:31:59 ftpd[9397]: Too many current connections
Nov 24 09:32:13 ftpd[9397]: Too many current connections
Nov 24 09:32:27 ftpd[9397]: Too many current connections
Nov 24 09:32:41 ftpd[9397]: Too many current connections
Nov 24 09:32:55 ftpd[9397]: Too many current connections
Nov 24 09:33:11 ftpd[9397]: Too many current connections
Nov 24 09:33:25 ftpd[9397]: Too many current connections
Nov 24 09:33:39 ftpd[9397]: Too many current connections
Nov 24 09:33:53 ftpd[9397]: Too many current connections
Nov 24 09:34:07 ftpd[9397]: Too many current connections
Nov 24 09:34:19 ftpd[9397]: Too many current connections
Nov 24 09:34:28 scemd: scemd: power button pressed, ret = 0
Nov 24 09:34:28 scemd: SCEMD: Shutdown the system.
Nov 24 09:34:28 scemd: scemd.c:287 receive SIGTERM
Nov 24 09:34:35 ftpd[9397]: Too many current connections
Nov 24 09:34:51 ftpd[9397]: Too many current connections
Nov 24 09:35:07 ftpd[9397]: Too many current connections
Nov 24 09:35:23 ftpd[9397]: Too many current connections
Nov 24 09:35:36 ftpd[9397]: Too many current connections
Nov 24 09:35:50 ftpd[9397]: Too many current connections
Nov 24 09:36:04 ftpd[9397]: Too many current connections
Nov 24 09:36:18 ftpd[9397]: Too many current connections
Nov 24 09:36:32 ftpd[9397]: Too many current connections
Nov 24 09:36:44 ftpd[9397]: Too many current connections
Nov 24 09:37:00 ftpd[9397]: Too many current connections
Nov 24 09:37:17 ftpd[9397]: Too many current connections
Nov 24 09:37:33 ftpd[9397]: Too many current connections
Nov 24 09:37:49 ftpd[9397]: Too many current connections
Nov 24 09:38:01 ftpd[9397]: Too many current connections
Nov 24 09:38:15 ftpd[9397]: Too many current connections
Nov 24 09:38:29 ftpd[9397]: Too many current connections
Nov 24 09:38:44 ftpd[9397]: Too many current connections
Nov 24 09:38:58 ftpd[9397]: Too many current connections

Hat jemand ähnliche Erfahrungen gemacht und eventuell Abhilfe dafür gefunden?
Sieht so eine DOS-Attacke aus?

Danke und Gruß, Martin

 

[raymond]

ssh/smb:
Autoblock aktiviert? Wenn ja auch eingestellt, dass die IPs nach einer gewissen Zeit wieder freigegeben werden?
Dann log dich doch mal nicht von 222.73.182.187 ein.

ftp:
Hier steht: too many connections. Ich glaub die Meldung kommt erst nach erfolgreichem Einloggen und wenn danach halt zuviele Verbindungen offen sind.
Hast du die Verbindungen beschränkt: unter FTP/FTPS > Verbindungseinschränkungen
Ansonsten dürften von Synology ca. 64 Verbindungen auf dieser NAS als Maximum gesetzt sein.

Also zweimal Schuhe.

 

[hilchi]

ssh:
Autoblock aktiviert? Wenn ja auch eingestellt, dass die IPs nach einer gewissen Zeit wieder freigegeben werden?
Dann log dich doch mal nicht von 222.73.182.187 ein.

ftp:
Hier steht: to many connections. Hast du die Verbindungen beschränkt: unter FTP/FTPS > Verbindungseinschränkungen

Also zweimal Schuhe.

Autoblock ist aktiviert, IPs bleiben gesperrt.
222.73.182.187 ist auch nicht meine IP, sondern irgendein Server in China.

Das mit dem FTP schaue ich mir an, das müsste aber die Meldung eines externen Servers sein, den eines meiner Skripts versucht hat um 9:03 zu erreichen.
Aber da schaue ich mal nach, eventuell kann ich da was basteln...

 

[raymond]

Ja dann ist aber nur die IP 222.73.182.187 gesperrt. Alle anderen kommen weiterhin drauf. Da brauchst du dir keine Gedanken machen. Das man angegriffen wird, ist normal. Wird jeder der SSH oder FTP auf den Standardports nach außen offen hat früher oder später.

 

[hilchi]

Ja dann ist aber nur die IP 222.73.182.187 gesperrt. Alle anderen kommen weiterhin drauf. Da brauchst du dir keine Gedanken machen. Das man angegriffen wird, ist normal. Wird jeder der SSH oder FTP auf den Standardports nach außen offen hat früher oder später.

Ja, das ist klar, da habe ich ja auch genügend von.
Das Thema ist, dass ich nicht mehr zugreifen konnte, weder über https, noch über ssh oder smb.
Und auch das herunterfahren per Schalter ging nicht mehr.

Ich hatte als gar keine Möglichkeit mehr ausser den Netzstecker zu ziehen.

Und das lag nicht daran, dass meine (interne) IP gesperrt war, sondern dass kein Dienst mehr reagierte auf der DS.