Mailplus gebruikersaccount wordt gebruikt bij hackpogingen/Firewall instellingen

[Neo101]

Hallo allemaal,

Ik ben al meer dan 10 jaar een tevreden Synology gebruiker, vandaar dat ik hier nog nooit iets heb hoeven vragen. Maar nu loop ik ergens tegenaan waar ik me even geen raad mee weet. De gebruikersnaam van een van mijn mailplus accounts wordt gebruikt bij hackpogingen. Als ik deze accountnaam wijzig wordt de nieuwe naam binnen de kortste keren ook weer gebruikt. Ik heb een aantal apple apparaten waarmee ik inlog op deze account. Maar zelfs als ik de gebruikersnaam wijzig, en van te voren alle clients uitzet en zelf de nieuwe naam niet gebruik wordt deze wel binnen de kortste keren weer wel gebruikt. Ik heb al een malware scan gedaan op alle apparaten, maar deze zijn schoon. De andere 4 accounts worden overigens met rust gelaten.

Contact met de synology helpdesk heeft niets opgeleverd. De medewerker is er van overtuigd dat een van mijn computers gehackt is, en zo de informatie lekt. Ik ga niet meteen roepen dat dit niet waar is, maar het lijkt mij zeer onwaarschijnlijk. Ik ben er al weken mee bezig.

Zijn er misschien nog meer mensen hier met hetzelfde probleem ? Kan dit een lek zijn in dde mailplus software ?

Update : Ik zal hier evt. informatie toevoegen en reageren op vragen om het plaatje zo compleet mogelijk te maken. Ik heb zowel de gebruikersnaam als het wachtwoord gewijzigd. Maar alleen de gebruikersnaam wordt gebruikt, het wachtwoord niet. Er is nog geen enkele inlogpoging geslaagd. Een ip adres wordt meteen geblokkeerd bij een malafide inlog. Dus beveiliging is zo strak mogelijk.

[Briolet]

Maar zelfs als ik de gebruikersnaam wijzig, en van te voren alle clients uitzet en zelf de nieuwe naam niet gebruik wordt deze wel binnen de kortste keren weer wel gebruikt.

Die gebruikersnaam is dan alleen bekend op de nas als ik het goed begrijp.  Hooguit een keylogger op je PC kan deze ook weten. Maar een keylogger zou dan ook direct het wachtwoord zelf weten, dus dat zou ik uitsluiten. (Of kun je de naam aanpassen zonder iets aan het wachtwoord te veranderen?)

Dat moet dan wel iets op de nas zelf zijn. Ben benieuwd naar de reacties van anderen

[Neo101]

Ik heb zowel de gebruikersnaam als het wachtwoord gewijzigd. Maar alleen de gebruikersnaam wordt gebruikt. Er is nog geen enkele inlogpoging geslaagd. Een ip adres wordt meteen geblokkeerd bij een malafide inlog. Dus beveiliging is zo strak mogelijk.

[Ray308]

Hoi @Neo101 ik heb al enige tijd hetzelfde, ipv random gebruikersnamen kloppen de gebruikersnamen exact.  Ze kunnen niet inloggen en worden ook bij mij meteen geweerd. Ik ben wel benieuwd of dit ergens door komt.

De inlogpogingen met dezelfde naam konen continu van verschillende ip adressen dus moet ze blokken na één foute poging om het te stoppen.

[Neo101]

IK ben blij met je reactie. Want Synology is ervan overtuigd dat ik zelf het probleem ben. Heb je apple of windows ?

Wie nog ?? Ik denk dat Synology hier een nog onontdekt lek heeft, en dit niet wil repareren.

[Ray308]

Apple Windows en Linux clients.

[Ray308]

Wat ook opvalt, is dat het alleen de inlognamen zijn en niet de aliassen.

Ik maak wel even een ticket aan als ik weer thuis ben. Zit in Kroatië;-)

[Neo101]

Dat zou fijn zijn. Mijn ticket nummer is 3101597. Wellicht kun je dat erbij vermelden

[Ray308]

Doe ik.

[Ray308]

Hoi heb even vanaf mijn vakantieadres een ticket aangemaakt, waar vpn allemaal niet goed voor is natuurlijk.
Ik heb jou ticket nummer meegegeven.

Ik heb even twee gebruikers aangemaakt op de NAS, één alleen aangemaakt en nooit ingelogd, de ander aangemaakt en een keer ingelogd.. even kijken wat mijn log meld in een paar dagen.

Deze reply gehad van Synology;

Dear Sir,

Thank you for contacting support and showing interest in our products.

Please allow me to answer in English as multilingual support is limited for the moment but a translation will be available at the end of this message.

Did you enable any not secure connection for your SMTP/IMAP/POP3 client?

The behavior you describe means that your whole network environment may be compromised. The way for this kind of attack to take place is probably to exploit the email automatically delivered to the administrator mailbox once a user account has been created, in order to harvest the username and use it in brute force.

You should enforce as many security measures as possible in the following list:

https://kb.synology.com/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS

First change the password of your main domain account and try to scan all your computers with an updated and efficient antivirus.

Yoiu may also check if you are concerned by this feature " icloud Private relay" being activated on your Ios device, that could explain the symptoms:

https://support.apple.com/HT212614

If not, since the issue is difficult to trace, we have to narrow it down first.

Not sure if the issue is within the server or from the clients, we will have to try one thing at a time.

1. Create a new account but do not log in.

2. Then Create a new account but login from one of the clients that you have been logged in to previously.

Try a new account for one client at a time, and let it sit for a few hours, and see if the username would be compromised.

Best regards

Uiteraard staan alle mogelijke beveiligingen zo strak mogelijk.Ik speel het even met ze mee, kijken wat eruit komt.

[Neo101]

Dat was hier ook. Ik heb mijn oude ticket nog eens aangezwengelt. Maar Synology blijft erbij dat een van mijn computers een keylogger heeft. Hoewel ik al eens mijn inlognaam gewijzigd heb, en binnen 2 uur de volgende hackpoging had op de nieuwe inlognaam.

De reactie die ik ontvangen heb van Kevin:

Your situation has been reported and evaluated, it's being considered as a consequence of a computer/device that would be compromised.

I know that's not something you consider right but that's the answer i have for you.

Best regards,

[Ray308]

Ik communiceer met dezelfde Kevin zo te zien. Ik hou je op de hoogte.

[Neo101]

Hallo Ray308,

heb je nog iets vernomen ? Ik heb onlangs de firewall aangezet en firwall regels gemaakt zodat hackers vanuit bepaalde landen geen toegang meer hebben tot het systeem. Voor nu lijkt het te werken. Als ik je kan helpen met de firewall regels, dan schrijf maar even.

[Ray308]

Hoi @Neo101

Ik heb de instructies van Synology gevolgd, was even werk, er zijn nogal wat devices verbonden met mijn NAS. Dat gaf geen uitsluitsel.

Daarna heb ik mijn firewall strakker afgesteld en wat ‘schurkenstaten’ geweigerd. Nu is het een stuk rustiger. Een keer of 5/6 per dag I.p.v. de gebruikelijke 100. Maar nog wel soms met bestaande gebruikersnamen.

Blokken staat bij mijn NAS op 1 keer binnen 1 minuut. Dus alles wat probeert in te loggen met verkeerde combi wordt onmiddellijk geblokkeerd. 

[Neo101]

Heb jij instructies van Synology gehad ? Of heb je ze zelf opgezocht ? Dat laatste heb ik gedaan, en ben vervolgens wat gaan experimenteren. Nu wordt ik met rust gelaten. Ik heb toegang tot de mailplus server beperkt tot de Benelux en Duitsland. Het is nl. ook mogelijk om alle landen ter wereld uit te sluiten, behalve de landen waarin ik zelf toegang wil hebben.

Het nadeel van de blokkeerlijst is dat deze niet eindeloos lang kan zijn. Anders geeft DSM de melding dat de lijst te lang is.