Versuch mein DS-1821 zu hacken / kann ich was tun?

dansche

Benutzer
Mitglied seit
16. Jul 2008
Beiträge
2
Punkte für Reaktionen
0
Punkte
1
Hallo zusammen

Seit nun bald 1.5 Wochen versucht irgend so ein komischer Typ von wo auch immer Zugriff auf mein DS zu bekommen.

Er benutzt immer andere IP Adressen, Geo Location ist von überall auf der Welt, Anfangs ist er alphabetisch mit Namen durchgegangen, ohne Erfolg, nun versucht er seit ca. 5 Tagen immer mit dem admin Account einzuloggen, nehme an er hat im Hintergrund eine Passwort Liste am laufen.

Admin Account ist bei mir nicht aktiv und deaktiviert, Erfolg wird er damit bestimmt nicht haben aber dennoch, gibt es eine Möglichkeit das zu blocken?

Im Anhange ein PrintScreen aus den Protokollen.

Gruss
 

Anhänge

  • Protokoll.jpg
    Protokoll.jpg
    102,8 KB · Aufrufe: 64

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
Hast du die Firewall aktiv? Benötigst du zwingend einen externen Zugriff?

PS: gib doch bitte ein paar Infos zu deinem Symstem, bzw. der Software, ansonsten... ;)
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Ist normal und kannste eigentlich ignorieren... Wenn Du kein einfaches Passwort hast, dann beißen die sich die Zähne aus.

ABER, normalerweise würden mir die ganzen Meldungen "aufm Sack gehen" und ich denke, so gehts auch Dir. Abhilfe würde hier eine Portweiterleitung im Router schaffen.

Dein Problem ist ja: dass Du den allseits bekannten Synology Port 5000 oder 5001 über den Router nach draußen freigibst. Das lässt halt die Schinetzn, Nordkoreaner oder Russen auf der Bildfläche auftauchen.
Lösung: schon mal überlegt im Router statt der Freigabe zur DS:5000 oder DS:5001 ne Freigabe von einem "von Dir ausgesuchten" Port (beispielsweise 65001 oder 65000) auf den internen Syno-Port 5000/5001 zumachen???

Dann musst Du / Deine Benutzer nur wissen, dass die Syno ab sofort unter http/s://deine_domain.de:65000/65001 zu erreichen ist... und der Schinetze wundert sich, wieso auf Port 5000/5001 keine Antwort mehr kommt...
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Muß die DS überhaupt mit einem Bein quasi im Netz stehen? Wäre nicht eventuell ein VPN, das auf dem Router terminiert, eine Lösung für Dich?
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Was auch schon etwas hilft ist ein Geoblock , zumindest wenn du nicht selbst viel im Ausland bist.
Dazu noch dne Port umbiegen.

Perfekt ist natürlich auch VPN.

Aber am ende gehört es halt leider dazu wenn Dienste angeboten werden.
 

RichardB

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2019
Beiträge
3.574
Punkte für Reaktionen
883
Punkte
174
Was Du auch machen kannst: Den User nach einer bestimmten Anzahl an fehlgeschlagenen Anmeldungen einfach blockieren. Dann sollte auch Ruhe sein. Beim admin-Konto allerdings Vorsicht! Auch wenn es deaktiviert ist, solltest Du es irgendwann wieder freigeben, weil es Dir sonst auf den Kopf fällt, wenn Du den admin wirklich einmal brauchen solltest.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Na den Adminuser hat er ja wohl deaktiviert wie er sagt
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
Den betreffenden Port nach oben schieben und schon hat man Ruhe.
Grundsätzlich sollte man Standardports vermeiden, wenn man einen Port nach außen legt.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Also Fazit:

- Die Portweiterleitungen des Routers so anpassen, dass es keine 1 zu 1 Portweiterleitungen mehr sind, sondern 65000 zu 5000 / 65001 zu 5001 (außen zu innen)
- in den Syno Einstellungen die Geo-Block Funktion in der Firewall aktivieren und halt nur "Deutschland" zulassen, oder die Länder, aus denen Deine Benutzer kommen könn(t)en.
Alles andere ist wahrscheinlich Mist, weil die Hacker-Viechter eh schon wissen, dasse immer "nur EINMAL" mit einer IP anklopfen sollten
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
Da liebe ich mir halt doch noch die 24 Stunden Trennung bei DSL. Oder eben die manuelle neu Anmeldung. Denn wenn er nur die IP hat muss er wieder von vorne Suchen. Dann habe ich eine Umleitung zu google drin wenn man meine externe IP mit dem Port 80 anpingt somit suchen sie erst gar nicht ob der Port 5000/5001 offen ist.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Da liebe ich mir halt doch noch die 24 Stunden Trennung bei DSL.
Die bei der Telekom völlig unnötig ist; mit einem reinen IP-Anschluss wird die auch nur noch alle 180 Tage durchgeführt.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Ich würde an der Stelle noch das Blockscript erwähnen
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
@Monacum du hast es nicht verstanden oder? Ich meinte das ernst. Ich hatte es schön öfter dass Angriffe eben durch den Re connect endeten da sie nur die Externe IP hatten aber nicht den Domain Namen. Wenn sich die IP über Wochen nicht ändert können sie ja so lange Angriffe fahren.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Ich habe in drei Jahren mit dem Tip, eine möglichst hohe Portnummer zu verwenden und nie Standardports, noch nie Probleme mit ungebetenen Gästen an der „Haustüre“ des NAS gehabt.

Von daher würde ich mal sagen, dass ich das schon grundsätzlich verstanden habe 🤷‍♂️ Ist ja anscheinend auch wirkungsvoller als die Zwangstrennung der FRITZ!Box, obwohl beides letztlich nur security through obscurity ist.
 

Stationary

Benutzer
Sehr erfahren
Mitglied seit
13. Feb 2017
Beiträge
3.942
Punkte für Reaktionen
1.265
Punkte
194
Ich hatte in neun Jahren noch nie ungebetene Gäste, die an das NAS klopfen, weil das NAS nur über VPN erreichbar ist.
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
Geht mir auch so. Portweiterleitungen aufs NAS gibts bei mir grundsätzlich nicht. Evtl wäre VPN für den TE eine Option.
Jetzt müssen wir erst mal auf Rückmeldung von @dansche warten
 

Unlimitig

Benutzer
Mitglied seit
04. Mai 2023
Beiträge
38
Punkte für Reaktionen
8
Punkte
8
Zwei-Faktor-Authentifizierung (2FA) einschalten!
Selbst mit Benutzername und Kennwort hätten die Gauner keinen Zugriff.
(Selbstverständlich trotzdem immer ein sehr sicheres PW anlegen und vor fremden Zugriff schützen)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
obwohl beides letztlich nur security through obscurity ist.
Die security betrifft das hier doch gar nicht, denn da ja u.a. dein admin account gesperrt ist, wird ja nichts passieren. Ich dachte, es geht hier um den Nerv-Faktor, und den hebelt man mit obscurity definitiv aus.
 

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.802
Punkte für Reaktionen
179
Punkte
129
@Stationary Geht ein wenig schlecht wenn sie als Web und Email Server läuft.
@Puppetmaster Ja eigentlich schon.
@Unlimitig Grundsätzlich hast du recht. Es gab aber auch hier schon genug Beiträge bei denen dann Probleme mit dem Code gemeldet wurden. (Zeiten würden nicht übereinstimmen etc. Sollte [wie in meinem Bekanntengreis passiert] das zweite Gerät nicht mehr gehen dann das große Probleme auslösen)
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.546
Punkte für Reaktionen
1.379
Punkte
234
Es gab aber auch hier schon genug Beiträge bei denen dann Probleme mit dem Code gemeldet wurden. (Zeiten würden nicht übereinstimmen etc. Sollte [wie in meinem Bekanntengreis passiert] das zweite Gerät nicht mehr gehen dann das große Probleme auslösen)
Ich sichere mir immer (zusätzlich) das Geheimnis von der Ersteinrichtung. Da kann man auch im Nachhinein mal die App wechseln oder eine zweite App verwenden. 2FA setze ich für Adminaccounts sehr weit oben auf die Sicherheitsliste.
 
  • Like
Reaktionen: *kw*


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat