Auteur Topic: Continue SSH/FTP aanvallen  (gelezen 5341 keer)

Offline JSSL

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 9
  • Berichten: 172
Continue SSH/FTP aanvallen
« Gepost op: 13 januari 2014, 15:15:07 »
Beste forumleden,

Sinds enkele weken wordt ik dagelijks aangevallen (bruteforce). Ze proberen via SSH/FTP in te loggen. Gelukkig is dit nog niet gelukt en heb ik ook maar de automatische blokkering aangezet. Nu heb ik in 3 dagen tijd al 27 verschillende IP-adressen geblokkeerd!
Iemand enig idee hoe het kan dat ze mijn IP-adres hebben? Verder draai ik er geen website op of iets dergelijks en is het voornamelijk thuis/eigen bedrijf gebruik.
Zijn er verder nog opties om dit af te weren, behalve het dichtzetten van SSH en FTP?

Alvast bedankt!

Met vriendelijke groet,
Jarno
  • Mijn Synology: Ds1618+
  • HDD's: 6x WD 8tb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 160
  • -Ontvangen: 2337
  • Berichten: 15.031
Re: Continue SSH/FTP aanvallen
« Reactie #1 Gepost op: 13 januari 2014, 16:34:35 »
Moet je maar eens DarkStat installeren. Dat logt elk verkeer dat door de netwerkkaart van de nas loopt. Dan zie je pas echt hoeveel externe apparaten met je nas communiceren, zonder ook maar in iets in het gewone log achter te laten. Dat programma is dus nog slechter voor je nachtrust.

Meestal gaat het om sites die gewoon een-voor-een alle IP adressen aflopen en op bepaalde poorten testen totdat ze een IP gevonden hebben die reageert.

Ikzelf merkte dat b.v. de mailserver in de dagen rond kerst heel veel meer inlogpogingen moest blokkeren dan gebruikelijk. Het waren of studenten die zich in de kerstvakantie verveelden, of juist mensen die hoopten dat op die dagen de IT afdeling onderbemand was en hun acties minder snel ontdekt zouden worden, als ze er door kwamen.

SSH en FTP zijn blijkbaar interessante poorten voor aanvallers. Dus als je ze toch niet extern gebruikt zou ik ze niet aan de buitenwereld laten zien. Dat scheelt in elk geval veel e-mail waarschuwingen.

En zet je default admin account uit. Dan moeten ze beginnen met het raden van een account dat ook nog admin rechten heeft en komen ze niet eens toe aan het proberen van wachtwoorden. Hoewel je root nooit uit kunt zetten, dus bij SSH geeft alleen een sterk wachtwoord bescherming.
En als je SSH toch extern moet kunnen gebruiken en dat is altijd vanaf dezelfde plek, dan kun je ook een firewall regel maken die alleen SSH verkeer van dat enen adres toelaat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline forever

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 35
Re: Continue SSH/FTP aanvallen
« Reactie #2 Gepost op: 18 juni 2014, 06:32:25 »
Ik heb hetzelfde 'probleem' iemand of iets poogt steeds in te loggen via SSH. Na een paar keer krijgt het IP een autoblock uiteraard via de instellingen. Maar ik zie dat men dan gewoon overstapt op een ander IP adres uit dezelfde range.

Er zit een sterk wachtwoord op en ook heb ik het standaard admin account uitgeschakeld.

Ik ga er een beetje van uit dat ik goed zit dan? Ik ben altijd maar voorzichtig met instellingen enzo want het zou me niet verbazen als ik mezelf ooit buitensluit of juist de verkeerde partij binnenlaat  :oops:
Synology DS214 play
2x WD Red 3.0 TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 160
  • -Ontvangen: 2337
  • Berichten: 15.031
Re: Continue SSH/FTP aanvallen
« Reactie #3 Gepost op: 18 juni 2014, 08:50:50 »
In het algemeen helpt 'admin' uitschakelen al heel veel omdat aanvallers dan heel veel moeite doen op een account waar ze nooit binnen zullen komen.

ssh is een uitzondering omdat daar ook een user "root" bestaat die je niet kunt uitschakelen en nog meer rechten heeft dan admin. Het wachtwoord van root is dat van admin, dus die moet toch sterk zijn, ook al staat het uit.

Als je alleen vanaf bepaalde externe lokaties ssh gebruikt, kun je in de firewall, regels opnemen dat je ssh alleen van specifieke adressen accepteert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline forever

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 35
Re: Continue SSH/FTP aanvallen
« Reactie #4 Gepost op: 18 juni 2014, 09:08:28 »
Bedankt, ik vind het wel een beetje raar dat een account dat uitgeschakeld staat via een omweg nog gebruikt kan worden. Ik denk dat er op het admin account een veilig wachtwoord zit gewoon, maar soms doe ik ook nog wel eens iets minder ingewikkelds voor tijdelijk. Niet erg zorgelijk nog altijd maar 'better save then sorry'.

Ik heb de volgende regel nu klaar staan: De SSH poort staat alleen nog open vanaf locale IP adressen (actie op toestaan). Maar ik vraag mij nu wel af of dit ook alle andere poorten dicht zet voor iedereen zodra ik de "indien niet voldaan wordt aan de regels" de "toegang weigeren" optie kies.

Hoop dat iemand mij dit kan vertellen want ik ben nog altijd wat angstig om mijzelf buiten te sluiten :-)
Synology DS214 play
2x WD Red 3.0 TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 160
  • -Ontvangen: 2337
  • Berichten: 15.031
Re: Continue SSH/FTP aanvallen
« Reactie #5 Gepost op: 18 juni 2014, 11:54:42 »
Als je ssh alleen lokaal gebruikt, kun je gewoon de forwards in de router weglaten.

Dat is het probleem van die forwards via UPnP die de nas maakt: Je forward te gemakkelijk, te veel. Beter is om het expliciet in de router in te stellen zodat je veel bewuster bent wat de buitenwereld mag.

Zelf heb ik mijn PC een vast IP gegeven en de eerste firewall regel is dat dat IP alles mag. Effectief is er dan geen firewall bij benadering vanaf die PC. Dan kun je jezelf nooit uitsluiten en alles blijft werken ook al open je verder geen poorten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline forever

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 4
  • Berichten: 35
Re: Continue SSH/FTP aanvallen
« Reactie #6 Gepost op: 18 juni 2014, 12:14:53 »
Okay ik heb nu via de router enkel de poorten open gezet die voor normaal gebruik nodig zijn. Momenteel poort 80 voor een paar websites en 143 voor de mail. Er moeten er nog een paar bij denk ik maar dat komt vast goed.

Ik had trouwens de instellingen niet door de NAS laten doen maar handmatig de DMZ Host gezet richting het IP van de NAS in mijn netwerk. Dat is vast (minstens) even dom!

Ik kan weer rustig slapen nu zonder aanvallen op mijn NAS! Is het ook nog zinvol kritisch te kijken naar wat de NAS zelf toe laat? Het gaat om een tc7200 router, in theorie kan ik me er iets bij voorstellen dat er iets 'mis' gaat in de router en men alsnog bij de NAS komt.
Synology DS214 play
2x WD Red 3.0 TB

Offline peeweesyn

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 88
  • Berichten: 379
Re: Continue SSH/FTP aanvallen
« Reactie #7 Gepost op: 18 juni 2014, 12:27:36 »


Ik had trouwens de instellingen niet door de NAS laten doen maar handmatig de DMZ Host gezet richting het IP van de NAS in mijn netwerk. Dat is vast (minstens) even dom!


Nog dommer  :S

DMZ zou verboden moeten worden op consumentenrouters, want tja, als je je interne NAS/PC/Server er inzet 'doet hij het ineens vanaf internet' dus laten we het maar zo. Het heet echter niet voor niets een Demilitarized Zone, dus je zet je voordeur open en stuurt de politie weg...
  • Mijn Synology: 918+
  • HDD's: 2x 4Tb WD Red
  • Extra's: 12GB
3rd party packages: TVHeadend, Domoticz, Kopano (in virtual machine)

Offline Goner

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 22
  • -Ontvangen: 134
  • Berichten: 965
Re: Continue SSH/FTP aanvallen
« Reactie #8 Gepost op: 18 juni 2014, 12:42:11 »
Mocht je SSH toch van 'buiten' willen gebruiken, pak dan aan de buitenkant gewoon een ander poortnummer dat je forward naar 22.
Bijvoorbeeld iets als 15022. Het is niet te doen voor ze om van IP-ranges alle poorten te scannen, dat zijn er meer dan 65000. Ze scannen alleen de bekende default poorten.

Ik heb dat voor div. protocollen gedaan, zoals FTP, SHH etc. en zie echt nooit meer scans en geblokkeerde IP's.
RTFM
NAS : DS212j with1 ST2000DM008 & 1 ST2000DL003 in SHR / DSM 5.2-5967 Update 8
LAN : Devolo 500&550Mbps homeplugs, 2 5-port switches, Maxxter ACT-WNP-RP-002
HW : Raspberry Pi 2B, Nintendo Wii U & Switch
OS : Windows 7


 

SABnzbdplus auto continue clossed putty

Gestart door AnonymousBoard SABnzbd (usenet)

Reacties: 5
Gelezen: 2565
Laatste bericht 27 mei 2008, 15:29:19
door Anonymous
Continue downstream verkeer op de DS 213+

Gestart door Tim__Board Synology DSM algemeen

Reacties: 12
Gelezen: 3249
Laatste bericht 12 augustus 2013, 18:14:56
door Birdy
DSM continue offiine

Gestart door B3rtBoard Synology DSM 6.0

Reacties: 3
Gelezen: 1131
Laatste bericht 30 december 2016, 22:39:30
door Hutje
Active Backup for Office 365 - Continue stroom van overbodige success meldingen

Gestart door GmosBoard Officiƫle Packages

Reacties: 3
Gelezen: 1005
Laatste bericht 24 juni 2019, 13:11:45
door Gmos
DS410 Blauwe lamp knippert continue, start niet meer op

Gestart door OstarBoard NAS hardware vragen

Reacties: 19
Gelezen: 12196
Laatste bericht 31 januari 2013, 20:56:00
door Kaneda