Auteur Topic: Aanval op Admin account  (gelezen 1118 keer)

Offline gsamplo

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Aanval op Admin account
« Gepost op: 28 juli 2021, 10:44:42 »
Hoi iedereen,

Sinds gistermiddag ervaar ik iedere 4-5 minuten een aanval op mijn Admin account. Dit steeds vanaf een ander IP-adres. Gisteravond de NAS maar uitgezet. Vanmorgen om half acht ging hij weer aan en 5 minuten later begon de aanval weer.

Uiteraard staat mijn Admin account uit dus tot zover geen zorgen.

Het liefst zou ik willen dat ze vanuit het buitenland helemaal geen aanmeldpoging kunnen doen. Hoe fix ik dat?
  • Mijn Synology: DS214
  • HDD's: 2xWD Red 4TB

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1123
  • -Ontvangen: 6711
  • Berichten: 39.219
  • Synology is awesome.
    • RAID = BACKUP?
Re: Aanval op Admin account
« Reactie #1 Gepost op: 28 juli 2021, 10:55:19 »
Zie dit Topic.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556
DS918+    DSM 6.2.4-25556-2
DS220+    DSM 6.2.4-25556-2
-----VMM  DSM 7.0.1-42218
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Rubensky

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 15
  • Berichten: 346
Re: Aanval op Admin account
« Reactie #2 Gepost op: 28 juli 2021, 10:55:43 »
Helemaal voorkomen ga je aanvallen nooit.
Wat je wel kan doen is dit, blokkeer middels de firewall alle landen behalve Nederland, en eventuele andere landen waarvandaan inloggen noodzakelijk is.
Zorg ervoor dat IP adressen na een aantal verkeerde inlogpogingen worden geblokkeerd.
Zet 2FA aan op je accounts.
  • Mijn Synology: DS214play
  • HDD's: 2

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 156
  • -Ontvangen: 2292
  • Berichten: 14.847
Re: Aanval op Admin account
« Reactie #3 Gepost op: 28 juli 2021, 11:32:02 »
Zoals hierboven aangegeven 2FA aanzetten en die e-mail meldingen uit zetten voor je rust.

Als je nas aan het internet hangt, komen er aanvallen. Bij een maiserver zijn dit zelfs honderden per dag. Bij een goed wachtwoord + 2fa kun je de waarschuwingen negeren omdat ze toch kansloos zijn. Als ze al binnen komen, is dat door een bug in de webinterface en daar krijg je dan waarschijnlijk geen waarschuwing voor.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 450
  • -Ontvangen: 994
  • Berichten: 5.772
Re: Aanval op Admin account
« Reactie #4 Gepost op: 28 juli 2021, 17:32:00 »
Wat je wel kan doen is dit, blokkeer middels de firewall alle landen behalve Nederland, en eventuele andere landen waarvandaan inloggen noodzakelijk is.

Weet niet hoe je die stelling bedoelt?  Maar zoals in andere onderwerpen aangehaald "andersom".
Sta alleen toegang toe voor Nederland (en landen waarvandaan inloggen noodzakelijk is.), het eigen LAN, en blokkeer op de rest.
Het zit hem specifiek in de volgorde hoe regels op te stellen.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline viper-srt10

  • Bedankjes
  • -Gegeven: 28
  • -Ontvangen: 10
  • Berichten: 46
Re: Aanval op Admin account
« Reactie #5 Gepost op: 28 juli 2021, 20:29:43 »
Ben blij dat ik dit lees.
Gisteren ook bij mij van het zelfde. Tot zelfs elke 40 a 50 seconden een mislukte aanmeld poging op het (uitgeschakelde) admin account.
Ik heb het (voorlopig) kunnen stoppen door mijn router een ander WAN IP te laten forceren.
DS212+    2x WD30EFRX (RAID 0)
DS220+    2x WD140EFFX (RAID 0) 6GB RAM
DS1019+  5x WD80EFZX (SHR-2)
DS1515+  6GB RAM - Niet in gebruik
UPS          APC BR1500G-FR
UPS          APC BR900G-FR

Offline Wannabe007

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 7
Re: Aanval op Admin account
« Reactie #6 Gepost op: 28 juli 2021, 21:19:14 »
Hier hetzelfde. Sinds gisteren rond 13:30u elke paar minuten een poging om met admin in te loggen. In totaal al meer dan 900 pogingen. Een beetje filteren laat zien dat het vanuit zo'n 170 verschillende IP adressen komt.

Heeft er iemand ervaring met het (automatisch) laten blokkeren van een lijst met IP adressen? Ik dacht wellicht via een script of zo, direct naar IPTables.
  • Mijn Synology: DS918+
  • HDD's: 4 x HDN728080ALE604
  • Extra's: 960 PRO 512GB cache

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 450
  • -Ontvangen: 994
  • Berichten: 5.772
Re: Aanval op Admin account
« Reactie #7 Gepost op: 28 juli 2021, 21:24:00 »
Eerder is al naar < dit onderwerp > verwezen.

Uitleg van Firewall regels  -weliswaar voor een Synology router-  maar in principe geldt een vergelijkbare werking voor de Firewall van een NAS.
Kijk eens bij < DIT onderwerp >

Wat verder terug naar de basis: < HIER > en vervolgreacties. En nog wat oudere reacties < HIER >
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Wannabe007

  • Bedankjes
  • -Gegeven: 3
  • -Ontvangen: 0
  • Berichten: 7
Re: Aanval op Admin account
« Reactie #8 Gepost op: 28 juli 2021, 21:49:53 »
Omdat het vanaf roterende IP adressen plaatsvindt werkt het automatisch blokkeren niet. Alleen toegang geven vanuit Nederland is voor mij geen optie. Daarom dacht ik aan het filteren van de IP adressen en deze dan automatisch laten blokkeren door de FW. Het lijkt er op dat er 'slechts' systemen beschikbaar zijn voor de aanval en daarom zou het blokkeren hiervan al kunnen helpen.

Om het probleem nu even te tackelen had ik port-forewarding even uitgezet, maar zodra ik het weer aanzette zag ik de pogingen weer.
  • Mijn Synology: DS918+
  • HDD's: 4 x HDN728080ALE604
  • Extra's: 960 PRO 512GB cache

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 156
  • -Ontvangen: 2292
  • Berichten: 14.847
Re: Aanval op Admin account
« Reactie #9 Gepost op: 28 juli 2021, 21:57:46 »
En wat is het probleem van een aanval op het admin account? Als het uit staat gebeurt er toch nooit iets. Ik heb de meldingen uit staan en kijk heel af en toe in het logboek.

Ik heb wel in logcenter ingesteld dat als er > 20 logregels per seconde komen, dat er wel een mailtje naar me toe komt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 84
  • Berichten: 533
Re: Aanval op Admin account
« Reactie #10 Gepost op: 28 juli 2021, 23:29:10 »
Je kan ook instellen dat vanaf 1 foute poging je reeds op de "banlist" komt, dus dan zullen zelfs roterende IP's erop komen.
Wel even opletten natuurlijk dat je zelf je INTERNE LAN IP mischien ergens zeker "whitelist" zodat je bij een foute inlogpoging ook niet mee op de ban-list komt.

Aan de andere kant is het zoals je andere ook zeggen, dit zijn automatische systemen die altijd steeds dezelfde accounts gebruiken. Als je "admin" disabled zet EN nog es een deftig password gebruikt moet je je eigenlijk geen zorgen maken, al zijn het 1000x inlogpogingen per dag. Het geeft alleen wat "logvervuiling"

Ik heb in logs van andere firewalls gezien dat er telkens bepaalde dezelfde user-id's werden gebruikt dit standaard zijn op vb qnap of cisco of andere router producten etc.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 450
  • -Ontvangen: 994
  • Berichten: 5.772
Re: Aanval op Admin account
« Reactie #11 Gepost op: 29 juli 2021, 00:12:22 »
...Alleen toegang geven vanuit Nederland is voor mij geen optie.

Nee, maar kan me voorstellen dat er toch nogal wat regio's in de wereld zijn waar je werkelijk geen enkele binding mee hebt.

Dan is het een afweging om die regio's erbij te zetten waar dan "wel" mensen bij je moeten kunnen inloggen op de NAS
om data te kunnen ophalen.   5 landen, 10 landen ??

Of   -als het de meerderheid van alle landen in de wereld is-   van waar gebruikers bij je zouden moeten kunnen inloggen,
(wat ik me nauwelijks kan voorstellen),  dan maar hele lijsten samen te stellen van enkel die regio's die je perse wilt buitensluiten.

Er zijn pakweg  195 onafhankelijke landen,  dus het "kantelpunt" om met de minste moeite regio's te selecteren, is de helft.
En dan kun je kiezen voor "toegang" of juist "blokkeren".
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline fred54

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 31
Re: Aanval op Admin account
« Reactie #12 Gepost op: 17 augustus 2021, 15:12:40 »
Ook bij mij werd via de Admin account geprobeerd in te loggen. Dit account is uitgeschakeld en na drie inlog pogingen wordt het IP adres geblokkeerd. De inlog pogingen hielden dagelijks aan vanuit heel veel verschillende IP adressen.

Omdat ik regelmatig de Audio station van buitenaf gebruik heb ik poort 5000 in mijn router opengezet.
Ik heb deze nu geblokkeerd en sindsdien zijn er tot op heden geen inlog pogingen meer geweest.

Zou fijn zijn dat er voor de Audio Station geen poort open hoeft te staan.
Ik gebruik nu als alternatieve oplossing de DSM VPN applicatie om de Audio Station alsnog te kunnen gebruiken.
  • Mijn Synology: DS211
Synology DS211, DSM6.x

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1123
  • -Ontvangen: 6711
  • Berichten: 39.219
  • Synology is awesome.
    • RAID = BACKUP?
Re: Aanval op Admin account
« Reactie #13 Gepost op: 17 augustus 2021, 15:16:42 »
Quick Connect.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556
DS918+    DSM 6.2.4-25556-2
DS220+    DSM 6.2.4-25556-2
-----VMM  DSM 7.0.1-42218
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 450
  • -Ontvangen: 994
  • Berichten: 5.772
Re: Aanval op Admin account
« Reactie #14 Gepost op: 17 augustus 2021, 15:19:58 »
Omdat ik regelmatig de Audio station van buitenaf gebruik heb ik poort 5000 in mijn router opengezet.

Poort 5000 is ook een heel slecht idee, omdat het een onversleutelde toegang betreft.
Je zou dan toch minimaal voor een https (poort 5001) moeten gaan.  (Ook via QuickConnect).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  glasvezel 200/200 (Solcon) Fritzbox 7530 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN)   RT2600ac + MR2200ac  -  NVDIA Shield TV Pro (2019).....
              Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

Ddos aanval met remote login

Gestart door rene_wr1Board Antivirus Essential

Reacties: 0
Gelezen: 2439
Laatste bericht 25 augustus 2013, 16:48:58
door rene_wr1
Schijf gecrashed na "Smurf" (DDOS) aanval

Gestart door daansmitBoard NAS hardware vragen

Reacties: 3
Gelezen: 3019
Laatste bericht 19 september 2012, 15:59:11
door daansmit
Synology geeft waarschuwing voor ransomware aanval.

Gestart door HofstedeBoard Synology DSM algemeen

Reacties: 271
Gelezen: 52363
Laatste bericht 04 september 2020, 22:58:51
door André PE1PQX
Cyber aanval

Gestart door KoenskBoard The lounge

Reacties: 12
Gelezen: 1384
Laatste bericht 20 mei 2017, 10:25:58
door Briolet
IP adressen geblokkeerd, aanval van buiten

Gestart door SylvesterBoard Netwerk algemeen

Reacties: 31
Gelezen: 1763
Laatste bericht 07 februari 2021, 14:50:09
door Jerengina