Auteur Topic: Veel, heel veel meldingen over mislukte login-pogingen  (gelezen 844 keer)

Offline hschikhof

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 0
  • Berichten: 17
Veel, heel veel meldingen over mislukte login-pogingen
« Gepost op: 31 juli 2021, 14:54:42 »
Goedemiddag,

(dit sub-forum leek me het meest geschikt voor mijn vraag)
Vandaag zag ik in een logbestand een zeer groot aantal waarschuwingen van deze aard:

Niveau   Logboek   Tijd   Gebruiker   Gebeurtenis
Warning   Verbinding   31-07-2021 14:27   SYSTEM   User [admin] from [ip-nummer] failed to log in via [DSM] due to authorization failure.
Warning   Verbinding   31-07-2021 14:27   admin   User [admin] from [ip-nummer] failed to log in via [DSM] due to authorization failure.

Deze meldingen krijg ik sinds 27 juli jl. - daarvóór ontving ik ze ook wel eens, maar niet in deze hoeveelheden, of ik kon ze anderszins verklaren. In ieder geval zag ik tot een paar dagen geleden geen reden om me zorgen te maken. Echter, sinds 27-07 heb ik meer dan 3.000 van dit soort meldingen ontvangen. Het gaat om een kleine 200 unieke ip-nummers, die dus kennelijk continue proberen toegang tot m'n NAS te krijgen. Ik herken de ip-nummers niet, bovendien is er naast mij maar 1 andere persoon die ik toegang gegeven heb.

Ik maak me, kortom, zorgen over de veiligheid van m'n NAS. Wat is er gaande? Wat kan ik gedaan hebben om plots zo in de belangstelling te staan? Hoe kan ik een inbraak voorkomen?
  • Mijn Synology: DS920+
  • HDD's: 4 x HAT5300-12TB
  • Extra's: Raid 5

Offline hschikhof

  • Bedankjes
  • -Gegeven: 9
  • -Ontvangen: 0
  • Berichten: 17
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #1 Gepost op: 31 juli 2021, 15:01:56 »
Ah... ik lees nu soortgelijke berichten van anderen...
  • Mijn Synology: DS920+
  • HDD's: 4 x HAT5300-12TB
  • Extra's: Raid 5

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1123
  • -Ontvangen: 6711
  • Berichten: 39.219
  • Synology is awesome.
    • RAID = BACKUP?
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #2 Gepost op: 31 juli 2021, 15:07:26 »
Klopt, in die Topics worden dan ook tips gegeven.....maar aanvallen blijven komen, tenzij je geen poorten forward.


CS406     DSM 2.0-0731
DS107+    DSM 3.1-1639
DS107+    DSM 3.1-1639
DS508     DSM 4.0-2265
DS111     DSM 6.1.7-15284-3
DS411slim DSM 6.2.4-25556
DS411+II  DSM 6.2.4-25556-2
DS413J    DSM 6.2.3-25426-2
DS1515+   DSM 6.2.4-25556
DS716+II  DSM 6.2.4-25556
DS918+    DSM 6.2.4-25556-2
DS220+    DSM 6.2.4-25556-2
-----VMM  DSM 7.0.1-42218
RT2600ac  SRM 1.2.5-8227-2
MR2200ac  SRM 1.2.5-8227-2

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 201
  • -Ontvangen: 218
  • Berichten: 1.808
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #3 Gepost op: 01 augustus 2021, 19:18:14 »
Klopt, hier ook een ongewoon hoog aantal ’gasten’ voornamelijk denkend dat ik het ‘admin’ account open heb staan.
Dus bij de Security maar even het aantal foutieve inlog pogingen verlaagd naar 1 per 240 minuten en  de Account Protection ook maar aangezet.


Verzonden vanaf mijn iPhone met Tapatalk

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Harold de Pater

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 1
  • Berichten: 28
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #4 Gepost op: 01 augustus 2021, 20:09:39 »
En selecteer in de firewall alleen de landen vanaf waar je wil loggen en selecteer alleen de poorten die je per se open hebt staan. Zet op het eind alles op weigeren (zie elders op het forum), zodat de rest wordt uitgesloten. Scheelt een hoop ongenode gasten vanuit het oosten, ik heb sindsdien nooit meer een (onbekende) melding.

ps. vergeet niet als je op vakantie gaat in het buitenland het/de betreffende land(en) toe te staan als je vandaar erbij wilt.
  • Mijn Synology: 215j+218j
  • HDD's: 2x6Tb St, 2x4Tb St

Offline Patrick80

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 3
  • Berichten: 32
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #5 Gepost op: 01 augustus 2021, 21:39:40 »
Ik had het ook, heel veel meldingen. Inmiddels ben ik erachter dat het op poort 5001 gebeurd. Ik heb deze een dag weggehaald uit de forward lijst. En toen geen meldingen meer. Nu heb ik de forward extern op een andere poort gezet en intern weer naar 5001. Nu krijg ik geen meldingen meer. Maar als je ipblock heb aanstaan en admin account uit. Zullen ze sowieso niet binnen komen.
  • Mijn Synology: DS712+
  • HDD's: WD20EARX
  • Extra's: DS214+ DS216+

Offline Johnmuijtjens

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 5
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #6 Gepost op: 03 augustus 2021, 23:35:25 »
Hier is het zelfde aan de hand.
Ik heb in de firewall regels aangegeven dat alleen ip adressen van NL kunnen inloggen, en dat werkt goed.
Wel zie ik dat nu alleen ip adressen van NL via Admin en System proberen in te loggen, en daarna op de blocklist komen te staan.

Wat heel erg opvalt is dan indien ik die adressen ga opvragen in shodan.io, dan zie ik dat bij elk ip adres een synology NAS aan het netwerk hangt die bij mij probeert in te loggen. Het is dus net alsof een synology NAS bij een andere synology Nas probeert in te loggen.

Dit kan toeval zijn, maar ik heb nu een stuk of 10 geblockte ip's nagekeken, en op elk adres hangt een synology NAS

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 201
  • -Ontvangen: 218
  • Berichten: 1.808
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #7 Gepost op: 10 augustus 2021, 10:29:42 »
Ik heb al jaren in plaats van de standaard 5000/5001, een andere inlog poort.
Dit heeft geen effect op de inlog pogingen.
Dus of men weet op welke poort mijn NAS hangt, of men probeert eerst een flink aantal poorten en gaat dan aan de slag.
Overigens valt die laatste keuze ook eigenlijk af, omdat ik dan op meerdere NASsen inlog pogingen had moeten zien.

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline AKWDSM

  • Bedankjes
  • -Gegeven: 42
  • -Ontvangen: 5
  • Berichten: 155
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #8 Gepost op: 10 augustus 2021, 10:54:22 »
Goedemorgen,

Ook hier bij mijn Nas wordt om de minuut geprobeerd om via gebruikersnaam admin in te loggen, wat niet lukt daar ik de admin account heb uitgeschakeld. Maar de Nas gaat hierdoor niet meer in de slaapstand helaas. Ook geeft het geen veilig gevoel.
Poort 5000 en poort 80 had  ik open staan, om onder andere op een andere locatie videostation te kunnen gebruiken.

Nu in mijn router de poorten 5000 en 80 dicht gezet, en nu is de rust wedergekeerd op de nas.

Wat kan ik nu het beste doen om toch video en audiostation buitenshuis te gebruiken, zonder inlogpogingen van telkens andere ip adressen?

Ik zag de firewall voorbijkomen. Deze staat nog niet ingesteld, hoe kan ik instellen om alleen toegang vanuit Nederland te geven?


  • Mijn Synology: DS1819+
  • HDD's: 3 x WD40 2 x WD80

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 98
  • Berichten: 1.065
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • http://www.pe1pqx.eu
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #9 Gepost op: 10 augustus 2021, 11:30:43 »
@AKWDSM  gebruik een VPN, dan hoef je maar één poort (OpenVPN -> 1194) open te zetten.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7)
DS214+ -> 2x 6TB (DSM7)
DS120j -> 1x 6TB (off-site backup)

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 156
  • -Ontvangen: 2292
  • Berichten: 14.847
Re: Veel, heel veel meldingen over mislukte login-pogingen
« Reactie #10 Gepost op: 10 augustus 2021, 11:37:37 »
Wat volgens mij veel beter helpt is het gebruik van reverse-proxys. In de router laat je alleen poort 80/443 door en alleen één specifieke domeinnaam stuur je door naar poort 5000/5001.

Een poortscan ziet dan alleen dat er een webserver actief is. Om op de inlogpagina van DSM te komen moet je 'dsm.mijndomein.nl" gebruiken. Elke andere domeinnaam eindigt op de webserver. Zo'n botnet aanval heeft geen weet van dit soort specifieke domeinnamen. Alleen een echte hacker die zijn doel goed analyseert, zal daar op komen. Maar de echte hackers stoppen niet veel tijd in een simpel nas systeem.

Als alles via poort 80/443 binnenkomt, moet je er wel aan denken om deze poorten expliciet te vermelden in de DS apps.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

NZB Files erg veel incomplete

Gestart door eminem99Board Download Station

Reacties: 8
Gelezen: 2527
Laatste bericht 04 augustus 2016, 10:56:51
door Robert Koopman
vragen veel vragen

Gestart door john hBoard Synology DSM algemeen

Reacties: 20
Gelezen: 9118
Laatste bericht 15 november 2013, 00:44:12
door john h
NAS onvindbaar bij veel downloads

Gestart door mvankekemBoard Download Station

Reacties: 2
Gelezen: 1744
Laatste bericht 17 december 2008, 20:04:45
door Strikeman
Veel mailtjes ivm mijn Ddns adres

Gestart door SPiETBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 8
Gelezen: 1260
Laatste bericht 28 april 2017, 08:11:54
door Wim Bosma
Absurd veel data download

Gestart door orupkeBoard Synology DSM algemeen

Reacties: 6
Gelezen: 1933
Laatste bericht 22 april 2014, 23:15:26
door Briolet