Synology geeft waarschuwing voor ransomware aanval.

[Jos van Zanten]

Bedasnkt Briolet,

Ook bij mij loopt Aliexpress via mijn Ziggo account. Maar toch krijg ik veel aanvallen vanuit China op mijn mailserver.

Ik ga kijken hoe ik ook die kan voorkomen.

Groeten,

Jos.

[Erik7]

Ook hier wat blokkeringen voor pogingen vanuit China terwijl er wel een firewall regel actief zou moeten zijn.
Vermoedelijk heeft het met de volgorde van de regels te maken.

DSM Firewall stemt overeen met regels volgens prioriteit. Zodra een regel overeenstemt, wordt hij geïmplementeerd en zal DSM Firewall hem niet meer afstemmen op resterende regels.

[Jos van Zanten]

Mijn landen-blokkade staat op de eerste rij, boven aan dus.
Dan hoort hij alles uit China te blokkeren maar dat doet hij niet.

[Babylonia]

Dat ligt er maar net aan voor welke services je zaken hebt geblokkeerd (of juist alleen toegelaten).

[Briolet]

Mijn landen-blokkade staat op de eerste rij,

Vroeger zat er een maximum aan het te blokkeren landen per regel. Weet je dus zeker dat China er bij zit?

Een landenblokkade op de eerste rij is overigens niet handig. (Zie de heel veel andere topics over dit onderwerp, want dit begint nu af te wijken van het oorspronkelijke topic: Ransomware awareness)

[Nelissuh]

Ik kreeg 23 september een "IP-adres [xxx.xxx.xxx.xxx] van NAS is geblokkeerd door DSM"
De 26 en de 29e weer 1.

Vandaag in 1x 8 stuks, tussen 15:52 en 16:07. Dat wordt in 1 keer wel heel gericht.

Ik heb de port-forwarding dus maar even uitgezet, en ga mijn wachtwoorden maar eens herzien.

[Jos van Zanten]

Ik heb in mijn blokkeerlijst al 624 IP-adressen staan, voornamelijk uit China.

Toen heb ik in de Firewall van de NAS Nederland en enkele omliggende landen toegestaan maar dat hielp helemaal niet.

Daarna heb ik dat weer verwijderd en China geblokkeerd, sindsdien is er vanuit China geen poging meer binnen gekomen.

Als er nu een IP-adres geblokkeerd wordt, de laatste uit India, dan blokkeer ik dat land ook. Dit werkt prima!

Samenvatting: Bepaalde landen toestaan werkt niet, bepaalde landen blokkeren werkt wel.

[Briolet]

Bepaalde landen toestaan werkt zeker wel. Verbindingen uit deze landen zullen dan niet geblokkeerd worden en dat is de enige opdracht die je daarmee geeft.

[Jos van Zanten]

Maar als ik in de landenlijst Nederland toesta, dan laat hij Nederland toe maar dat doet hij ook zonder dat ik dat aangeef.
Alle andere landen blokkeert hij blijkbaar niet. Ik ging er van uit dat hij dan Nederland toestaat en de rest blokkeert.

Ergens maak ik dus een denkfout........

[Birdy]

Ik ging er van uit dat hij dan Nederland toestaat en de rest blokkeert.

Als je daarna de regel toevoegt met TCP/UD) en 4x alles en dan weigeren, dan zit je goed.

[Briolet]

Nog niet, want je lan wordt niet als Nederland gezien. Kan ook niet want een lan in China ziet er net zo uit.

De regels doen precies wat je instelt, maar ook niet meer.

[Babylonia]

Een connectie van buitenaf wordt nooit als IP uit een LAN-reeks aangemeld.
Dus je bent er wel met die toevoeging van die laatste regel.

[Briolet]

Ik lees net dat QNAP eergisteren een waarschuwing gegeven heeft voor de Muhstik-ransomware aanval op hun nas systemen. (Bron) Als ik het zo lees, denken ze dat het via zwakke wachtwoorden bij het phpMyAdmin pakket loopt.

De kans lijkt me groot dat dit dan ook voor de Synology nassen met phpMyAdmin geldt  pakket. Hackers pakken zoveel mogelijk systemen mee als het iets universeels is. Het is ook heel lastig een regio blokkade op dat pakket te zetten zonder dat dit dan voor al je websites geldt.

Edit: "Muhstik" is blijkbaar een botnet dat al enige tijd bestaat en linux systemen infecteert met allerlei mallware. o.a. cryptominers en ddos aanvallen. Deze ransomeware is weer een nieuwe toevoeging aan dit botnet.

En botnets blijven een probleem omdat internet providers te laks zijn met het afsluiten van klanten die hun beveiliging niet op orde hebben. Of zelf routers aan hun klanten geven die onveilig zijn (beveiligingslek in Connect Box. Ziggo heeft wel al aangekondigd dat er snel een update komt.)

[Vhond]

En nu echt een issue: Qnas malware infecteert duizenden systemen

[Birdy]

Ondanks het Qnas is, de URL werkt niet.