Versuch mein DS-1821 zu hacken / kann ich was tun?

[dansche]

Hallo zusammen

Seit nun bald 1.5 Wochen versucht irgend so ein komischer Typ von wo auch immer Zugriff auf mein DS zu bekommen.

Er benutzt immer andere IP Adressen, Geo Location ist von überall auf der Welt, Anfangs ist er alphabetisch mit Namen durchgegangen, ohne Erfolg, nun versucht er seit ca. 5 Tagen immer mit dem admin Account einzuloggen, nehme an er hat im Hintergrund eine Passwort Liste am laufen.

Admin Account ist bei mir nicht aktiv und deaktiviert, Erfolg wird er damit bestimmt nicht haben aber dennoch, gibt es eine Möglichkeit das zu blocken?

Im Anhange ein PrintScreen aus den Protokollen.

Gruss

 

[*kw*]

Hast du die Firewall aktiv? Benötigst du zwingend einen externen Zugriff?

PS: gib doch bitte ein paar Infos zu deinem Symstem, bzw. der Software, ansonsten...

 

[TheGardner]

Ist normal und kannste eigentlich ignorieren... Wenn Du kein einfaches Passwort hast, dann beißen die sich die Zähne aus.

ABER, normalerweise würden mir die ganzen Meldungen "aufm Sack gehen" und ich denke, so gehts auch Dir. Abhilfe würde hier eine Portweiterleitung im Router schaffen.

Dein Problem ist ja: dass Du den allseits bekannten Synology Port 5000 oder 5001 über den Router nach draußen freigibst. Das lässt halt die Schinetzn, Nordkoreaner oder Russen auf der Bildfläche auftauchen.
Lösung: schon mal überlegt im Router statt der Freigabe zur DS:5000 oder DS:5001 ne Freigabe von einem "von Dir ausgesuchten" Port (beispielsweise 65001 oder 65000) auf den internen Syno-Port 5000/5001 zumachen???

Dann musst Du / Deine Benutzer nur wissen, dass die Syno ab sofort unter http/s://deine_domain.de:65000/65001 zu erreichen ist... und der Schinetze wundert sich, wieso auf Port 5000/5001 keine Antwort mehr kommt...

 

[Stationary]

Muß die DS überhaupt mit einem Bein quasi im Netz stehen? Wäre nicht eventuell ein VPN, das auf dem Router terminiert, eine Lösung für Dich?

 

[metalworker]

Was auch schon etwas hilft ist ein Geoblock , zumindest wenn du nicht selbst viel im Ausland bist.
Dazu noch dne Port umbiegen.

Perfekt ist natürlich auch VPN.

Aber am ende gehört es halt leider dazu wenn Dienste angeboten werden.

 

[RichardB]

Was Du auch machen kannst: Den User nach einer bestimmten Anzahl an fehlgeschlagenen Anmeldungen einfach blockieren. Dann sollte auch Ruhe sein. Beim admin-Konto allerdings Vorsicht! Auch wenn es deaktiviert ist, solltest Du es irgendwann wieder freigeben, weil es Dir sonst auf den Kopf fällt, wenn Du den admin wirklich einmal brauchen solltest.

 

[metalworker]

Na den Adminuser hat er ja wohl deaktiviert wie er sagt

 

[peterhoffmann]

Den betreffenden Port nach oben schieben und schon hat man Ruhe.
Grundsätzlich sollte man Standardports vermeiden, wenn man einen Port nach außen legt.

 

[TheGardner]

Also Fazit:

- Die Portweiterleitungen des Routers so anpassen, dass es keine 1 zu 1 Portweiterleitungen mehr sind, sondern 65000 zu 5000 / 65001 zu 5001 (außen zu innen)
- in den Syno Einstellungen die Geo-Block Funktion in der Firewall aktivieren und halt nur "Deutschland" zulassen, oder die Länder, aus denen Deine Benutzer kommen könn(t)en.
Alles andere ist wahrscheinlich Mist, weil die Hacker-Viechter eh schon wissen, dasse immer "nur EINMAL" mit einer IP anklopfen sollten

 

[heavy]

Da liebe ich mir halt doch noch die 24 Stunden Trennung bei DSL. Oder eben die manuelle neu Anmeldung. Denn wenn er nur die IP hat muss er wieder von vorne Suchen. Dann habe ich eine Umleitung zu google drin wenn man meine externe IP mit dem Port 80 anpingt somit suchen sie erst gar nicht ob der Port 5000/5001 offen ist.

 

[Monacum]

Da liebe ich mir halt doch noch die 24 Stunden Trennung bei DSL.

Die bei der Telekom völlig unnötig ist; mit einem reinen IP-Anschluss wird die auch nur noch alle 180 Tage durchgeführt.

 

[plang.pl]

Ich würde an der Stelle noch das Blockscript erwähnen

 

[heavy]

@Monacum du hast es nicht verstanden oder? Ich meinte das ernst. Ich hatte es schön öfter dass Angriffe eben durch den Re connect endeten da sie nur die Externe IP hatten aber nicht den Domain Namen. Wenn sich die IP über Wochen nicht ändert können sie ja so lange Angriffe fahren.

 

[Monacum]

Ich habe in drei Jahren mit dem Tip, eine möglichst hohe Portnummer zu verwenden und nie Standardports, noch nie Probleme mit ungebetenen Gästen an der „Haustüre“ des NAS gehabt.

Von daher würde ich mal sagen, dass ich das schon grundsätzlich verstanden habe Ist ja anscheinend auch wirkungsvoller als die Zwangstrennung der FRITZ!Box, obwohl beides letztlich nur security through obscurity ist.

 

[Stationary]

Ich hatte in neun Jahren noch nie ungebetene Gäste, die an das NAS klopfen, weil das NAS nur über VPN erreichbar ist.

 

[plang.pl]

Geht mir auch so. Portweiterleitungen aufs NAS gibts bei mir grundsätzlich nicht. Evtl wäre VPN für den TE eine Option.
Jetzt müssen wir erst mal auf Rückmeldung von @dansche warten

 

[Unlimitig]

Zwei-Faktor-Authentifizierung (2FA) einschalten!
Selbst mit Benutzername und Kennwort hätten die Gauner keinen Zugriff.
(Selbstverständlich trotzdem immer ein sehr sicheres PW anlegen und vor fremden Zugriff schützen)

 

[Puppetmaster]

obwohl beides letztlich nur security through obscurity ist.

Die security betrifft das hier doch gar nicht, denn da ja u.a. dein admin account gesperrt ist, wird ja nichts passieren. Ich dachte, es geht hier um den Nerv-Faktor, und den hebelt man mit obscurity definitiv aus.

 

[heavy]

@Stationary Geht ein wenig schlecht wenn sie als Web und Email Server läuft.
@Puppetmaster Ja eigentlich schon.
@Unlimitig Grundsätzlich hast du recht. Es gab aber auch hier schon genug Beiträge bei denen dann Probleme mit dem Code gemeldet wurden. (Zeiten würden nicht übereinstimmen etc. Sollte [wie in meinem Bekanntengreis passiert] das zweite Gerät nicht mehr gehen dann das große Probleme auslösen)

 

[geimist]

Es gab aber auch hier schon genug Beiträge bei denen dann Probleme mit dem Code gemeldet wurden. (Zeiten würden nicht übereinstimmen etc. Sollte [wie in meinem Bekanntengreis passiert] das zweite Gerät nicht mehr gehen dann das große Probleme auslösen)

Ich sichere mir immer (zusätzlich) das Geheimnis von der Ersteinrichtung. Da kann man auch im Nachhinein mal die App wechseln oder eine zweite App verwenden. 2FA setze ich für Adminaccounts sehr weit oben auf die Sicherheitsliste.