WebDAV auf DiskStation (DSM 6.2) blockiert IP Adresse

[HHE3eich]

der komplette Text lautet:

die IP-Adresse [34.79.41.68] versuchte sich innerhalb von 10 Minuten
10 Mal erfolglos bei WebDAV auf DiskStation anzumelden und wurde um
13.07.2022 09:59 blockiert.

Wenn ich nach o.g. IP-Adresse suche kommt da Google LLC Belgien bei raus ....
https://www.iplocation.net/ip-lookup

es wurden 10 Versuche unternommen, sich mit dem User [admin] oder dem user [support] anzumelden.

was genau ist da passiert?
War da ein search-bot unterwegs und wie kann man das dauerhaft unterbinden?

 

[mayo007]

Hat sich versucht einer anzumelden. Steht ja da in der Meldung.
Ist normal sind Bot-Netze.
https://kb.synology.com/de-de/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

wie kann man das dauerhaft unterbinden?

NAS vom Internet trennen bzw Portweiterleitungen deaktivieren

 

[HHE3eich]

ok, alle geblockten IPs werden bei mir DAUERHAFT in eine black-list eingetragen.
Der letzte Versuch vor diesem war interessanter Weise auch ein Bot von Google und zwar fast genau vor einem Jahr.
Vielleicht ist das deren Routine, es jedes Jahr wieder zu versuchen ...

 

[HHE3eich]

wohl doch kein BOT, hier die nächste Meldung

die IP-Adresse [34.79.41.68] versuchte sich innerhalb von 5 Minuten 5
Mal erfolglos bei Forget Password auf NAS-Server anzumelden und wurde
um 13.07.2022 12:04 blockiert.

 

[peterhoffmann]

Ich nehme an, dass du die vorgegebenen Standardports benutzt.
Falls ja, verlege sie über den Router (Portmapping), sprich nimm fünfstellige Portnummern (z.B. 38723) und mappe sie auf den Port z.B. für Webdav. Da oben scannt kaum einer. In der Regel scannen die nur auf den üblichen Standardports.

 

[HHE3eich]

ok, kann ich machen, wollte erstmal nur verstehen, was da passiert ist.
Ist es ein Google search-Bot oder irgend ein Hacker, der zufällig meine derzeitige IP gefunden hat?

 

[mayo007]

läuft zufällig ab

 

[HHE3eich]

also wenn es zufällig passiert ist es kein Hacker?

 

[mayo007]

Ja doch kann auch nen Hacker sein.
Botnetze halt

 

[HHE3eich]

aber wäre es denn dann auch eine für Google eingetragene IP-Adresse?

 

[Fusion]

Die ist ja nicht für Google selbst sondern für Dienste die man auf der Google Plattform kaufen kann, also jemand von hunderten Millionen von Nutzern.
Angreifer sind ja auch nicht so blöd und hacken von zu Hause und haben auch genug Geld um sich cloud Hardware oder Botnetzen zu bedienen.

Glaube Heise hatte es mal durchgespielt, dass man es mit ein wenig Hardware, performanter Anbindung (ein oder mehrere Gbit/s), 10-20min Zeit und ein paar Balancing Tricks schafft das gesamte IPv4 Internet mit allen Ports zu scannen, wenn man es denn drauf anlegt.

Deine IP ist also nichts Geheimes, die muss man nicht 'zufällig' finden.

 

[HHE3eich]

alles klar, es ist ja weiter auch nichts passiert. Nach 10 erfolglosen Anmeldeversuchen ist diese IP für alle Zeiten gesperrt.
Und wenn das eh nur 1x im Jahr passiert ....
und ein 12 stelliges PW mit Buchstaben, Sonderzeichen und Zahlen in nur 10 Versuchen zu erraten halte ich für unmöglich.
Insofern kann ich das ganze wohl recht entspannt betrachten ....

 

[Benares]

Nach 10 erfolglosen Anmeldeversuchen ist diese IP für alle Zeiten gesperrt.

Bist du dir sicher? In #4 liest sich das anders. Ich dachte, die wäre schon in #1 gesperrt worden.

 

[HHE3eich]

ich habe zwei DS216j
die erste heisst Diskstation
die zweiter heisst NAS-Server (und ist im Wesentlichen ein Backup der ersten)
in beiden steht diese IP ab heute in der black-List...

wobei der Backup-Server müsste gar nicht mal online sein ... aber Forget Passwort scheint ja wohl immer zu gehen???

 

[Benares]

Dann kann aber der Zugriff schwerlich über den gleichen Port erfolgt sein.
Wie bereits gesagt, verzichte auf Portweiterleitungen ganz oder weiche extern wenigstens auf Nicht-Standard-Ports aus und du bist halbwegs sicher.

 

[HHE3eich]

in meiner FritzBox gibt es diese Portfreigaben
Diskstation 5000-5001 & 5005-5006
NAS-Server 5100-5101

sind jetzt keine fünfstelligen Port-Angaben, kann ich aber leicht ändern.

 

[Benares]

Dann ändere sie. Ich zähl extern immer einfach nur 50000 dazu - leicht zu merken. Also z.B. 55000->5000 etc. Nicht furchtbar intelligent, aber schon ist Ruhe.

 

[peterhoffmann]

Insofern kann ich das ganze wohl recht entspannt betrachten

Ein Einbrecher, der nicht mal eine Haustür (Port) findet, kann seinen Schlüssel (Hack, Trick, Passwort, Lücke) gar nicht erst ausprobieren. Der Schlüssel übrigens muss nicht unbedingt dein Superdupersicheres-Passwort sein, sondern kann auch einfach ein Fehler in der DSM-Anmeldeoberfläche sein, sprich eine Lücke, die der Progger aus Versehen offen gelassen hat und ohne Passwort ausgenutzt werden kann.

wobei der Backup-Server müsste gar nicht mal online sein

Müsste? Nein! Sollte! Der hat "online" z.B. mit weitergeleiteten Ports gar nicht zugänglich zu sein.

Meine Empfehlung:

• Ändere die Ports bzw. mappe sie in den fünfstelligen Bereich (mappen ist zu bevorzugen!)
• Lösche die gemappten Ports zum Backupserver (Backupserver von außen nicht erreichbar)
• und wenn wir schon dabei sind, du hast zwar nicht drüber geschrieben, keine Ahnung wie es bei dir läuft, aber dennoch wichtig:
  Der Hauptserver schiebt nicht das Backup auf den Backupserver,
  sondern der Backupserver holt die Dateien und legt das Backup bei sich ab.
  (Hintergrund: Der Hauptserver hat keinen Zugang zum Backupserver!
  Der Backupserver hat aber Zugang zu den Verzeichnissen, die er sichern soll.)

 

[HHE3eich]

mappen ist zu bevorzugen

sagt mir jetzt leider nichts, wie würde man das machen?

(Backupserver von außen nicht erreichbar

ja ist klar, hatte es vor meinem Urlaub freigeschaltet für den Fall, das mein Haup-Server mal nicht erreichbar wäre und dann vergessen, es wieder zurück zu stellen

der Backupserver holt die Dateien und legt das Backup bei sich ab

auf meinem Backup-Server läuft Synology Drive Share Sync. Ich gehe mal davon aus, daß das dann genau das ist.
es müssen auch nicht alle Ordner gesichert werden sondern nur die wichtigsten, ist also keine 1:1 Kopie ...

 

[peterhoffmann]

wie würde man das machen?

An der DS ist der Port z.B. 5000. Nun kann man im Router eine Portfreigabe machen, damit Port 5000 von außen erreichbar ist. Dann ist die DS auch von außen über Port 5000 erreichbar.
Bei dieser Portweiterleitung kann man aber auch den Port verstellen.
An der DS bleibt der Port auf 5000. Bei der Portfreigabe im Router gibt man als Ziel die DS mit Port 5000 an, aber den Port von außen setzt man z.B. auf 41938. Dann ist die DS auf Port 5000 nicht von außen auf Port 5000 erreichbar, aber dafür von außen auf Port 41938.

auf meinem Backup-Server läuft Synology Drive Share Sync

Keine Ahnung wie das funktioniert, sprich ob das nun holt oder bringt. Ich nutze das nicht.
Da musst du selber schauen, wie das Tool funktioniert. Das Grundprinzip habe ich ja im Vorposting erklärt. Wichtig ist, dass der Hauptserver, der ja erreichbar von außen ist, keine Zugangsdaten für den Backupserver hat. So kann ein Einbrecher im Hauptserver nicht auf den Backupserver zugreifen und das Backup bleibt geschützt.