Synology-Forum.nl
Firmware => Synology DSM 5.1 en eerder => Topic gestart door: Paterman op 07 augustus 2013, 22:48:05
-
Beste leden,
Heb sinds vandaag last van Spyware op mijn DS. Krijg nu in DSM 4.2 een pop-up window van World of Warplanes die niet weggaat.Ben gelijk gaan scannen met de essential virusscanner. Heb ook 2 IP adressen geblokkeerd en zag dat er 1 IP adres toegang probeerde te krijgen tot de map usbprinter1. Ik weet niet eens waar die map staat.
Hoe kan ik het beste hiermee omgaan? Zie ook bijlage van system log
Hoor graag jullie reacties. Alvast bedankt.
Met vriendelijke groet,
Patrick Bakker
-
Dat zijn inbraakpogingen. Heb ik ook last van.
Configuratiescherm -> bij Netwerkservices kies je Automatisch blokkeren.
Daar Automatisch blokkeren inschakelen. Bij mij staat dit op 5 pogingen in minder dan 5 minuten.
Zo zijn er al velen geblokkeerd bij mij 8)
-
De gebruiker guest lijkt toch weldegelijk toegang hebben gehad, ik zou guest meteen uitzetten.
-
De gebruiker guest lijkt toch weldegelijk toegang hebben gehad, ik zou guest meteen uitzetten.
Inderdaad, die staat bij mij ook uitgeschakeld.
-
Bedankt voor jullie reactie's.
thecell: je bedoelt het blokkeren van die IP adressen uit mijn bijlage. Dit heb ik reeds gedaan. Bedankt!
Robert Koopman: Hoe kan ik de gebruiker Guest uitschakelen?
Is dat Configuratiescher -> Gebruiker -> en dan Guest bewerken -> deze account uitschakelen.
En die POP - UPS die lijken op reclame. Hoe krijg ik dit weg?
Alvast bedankt voor jullie reactie.
Met vriendelijke groet,
Patrick Bakker
-
Ik heb hier ook last van en had ook al het blok ip ingeschakeld.
Zijn er nog tips die ik kan toepassen zodat ze toch niet kunnen inloggen?
- ik gebruik verder complexe wachtwoorden
- poorten voor ssl dicht
- mijn domeinnaam niet meer rechtstreeks naar de inlog pagina
-
Daar schakel je inderdaad de gebruiker guest uit.
Kijk op het Configuratiescherm ook meteen even naar IP adres blokkeren en zet dat aan.
Ik heb er nu 1000+ in staan in ruim twee jaar.
Die popup, komt in je browser naar voren lijkt mij, of dit in DSM zit lijkt mij niet.
Zodra een NAS aan het internet hangt krijg je inbraak pogingen.
Is weinig tot niets aan te doen. Sterke wachtwoorden gebruiken helpt altijd.
-
Het is zinloos om aan dit soort berichten enige aandacht te schenken. Ze worden afgewimpeld met "authorization failure" en that's it.
Je kunt nu wel elk IP in een blocklijst zetten maar je hebt dan een lijst die alleen maar blijft groeien en op enig moment onbeheersbaar is geworden en voor vertraging in het systeem gaat zorgen. Dit zijn geen gerichte acties tegen 1 specifiek IP maar gewoon random scans die continu er zijn en continu vanaf andere (veelal gefingeerde) IP's komen.
Enige wat zinvol is dat is een goede combinatie van ID + Wachtwoord. We praten hier over Linux/Unix en niet over krakkemikkige Win '95 systemen.
-
Of die lijst voor vertraging zorgt is waarschijnlijk een aanname.
Maximaal 1000 dagen kan hij vasthouden.
Gebruik je deze functie niet dan kan iemand het blijven proberen, dat vertraagd misschien ook wel?
Zet de bewaartijd op een week als je denkt dat het sneller werkt.
-
Grote onzin dat een ip blocklist je systeem trager maakt. Ik heb die functie zeker wel aan staan. Een half jaar geleden is mijn mailserver gehacked waardoor ik 40.000 berichten in een nacht verstuurd hebt. De hacker kon zo vaak als hij wilde proberen binnen te komen. Nu gaat dat feestje niet meer door. Sterke wachtwoorden is zeker ook belangrijk maar een autoblock is niet schadelijk en kan een hoop potentiële ellende voorkomen. Iemand adviseren om dat niet te gebruiken vind ik persoonlijk dan ook een slecht advies.
Sent from my iPhone using Tapatalk
-
En daarbij, de gebruiker guest was wel degelijk in het systeem gekomen.
Dus een beetje aandacht schenken aan dit soort berichten is wel degelijk zinvol!
-
Dat de guest in het systeem kon komen is logisch. Daar is het gast account juist voor. Maar als je dat niet nodig hebt, moet je het gewoon uitschakelen.
En daarnaast ook het 'Admin' account uitschakelen en een eigen account admin rechten geven. Dat maakt het hackers ook moeilijker. Van een admin account weten ze dat die volle rechten heeft en daarvoor zullen ze eerder tijd in een kraak stoppen dan bij een willekeurig account.
-
Dat de guest in het systeem kon komen is logisch. Daar is het gast account juist voor. Maar als je dat niet nodig hebt, moet je het gewoon uitschakelen.
Uiteraard, daarom dus wél aandacht schenken aan een topic als dit.
-
Robert,
Die popup, komt in je browser naar voren lijkt mij, of dit in DSM zit lijkt mij niet.
Bedankt voor je reactie. Die popup komt alleen in mijn browser tevoorschijn als ik in DSM 4.2 zit.
Niet als ik gewoon aan het surfen ben op het internet. Ik gebruik Firefox.
Patrick
-
Noem me maar een redelijke nitwit maar ik vraag me af wat men van waarde vind op mijn nas, film, foto en muziekbestanden, hoe spannend kan het zijn.
Ik betwijfel dat het in enige software zit van DSM, ik zou het eerder in de software van de browser van de pc zoeken.
Wat gebeurd er als je bv (tijdelijk) een andere browser installeer, heb je dan ook last van de pop up?
Draai je regelmatig het anti virus pgm op de nas; ik zit me net af te vragen of in dit pgm ook op spyware wordt gecontroleerd.
Het is bij mij trouwens zo afgeschermd dat via de fritzbox software éérst een 'allow permission' aangevinkt moet zijn enige (wifi) verbinding tot stand te brengen. Standard staat deze uit, alleen als ik een nieuw apparaat in het netwerk wil aansluiten.
-
Noem me maar een redelijke nitwit maar ik vraag me af wat men van waarde vind op mijn nas, film, foto en muziekbestanden, hoe spannend kan het zijn.
Het gaat ook niet zozeer om content. Zie mijn eerdere voorbeeld: een mailserver hacken is natuurlijk wel interessant om je spam de wereld in te sturen en iemand anders daar voor op te laten draaien. En als je de syno op root niveau hackt, zet je die server zo zelf aan als hacker
Sent from my iPhone using Tapatalk
-
Noem me maar een redelijke nitwit maar ik vraag me af wat men van waarde vind op mijn nas, film, foto en muziekbestanden, hoe spannend kan het zijn.
Niets. 99% van alle zogenoemde inbraken is een domme poortscan. Intelligente aanvallen gebeuren op gerichte systemen waar waardevolle informatie opstaat en dan met name op zoek naar achterdeurtjes.
Overigens zeg ik nergens dat er geen enkele beveiliging nodig is maar de paniek die soms uitbreekt bij mensen die voor het eerst van hun leven in een log kijken is zwaar overdreven. Al die zogenaamde pogingen waren er namelijk ook al toen ze nog geen NAS hadden. Tenzij je wel heel vreemde software (zelf!) op je NAS installeert zal die echt niet naar de wereld verkondigen "hee jongens, kom eens kijken want hier staat een NAS".
Zorg gewoon voor een normale gedegen toegangsinstelling en dus niet 'admin'/'admin' want dat kent elke buurjongen. En tegen een professionele inbreker ben je nooit gewapend maar die heeft voor merendeel van al die NASsen geen interesse. Zonde van zijn tijd.
Je moet juist bang zijn voor diegenen die niet in je log staan omdat ze via een omweggetje zijn binnen gekomen. Leuk doelwit zijn mensen die (waarom eigenlijk?) zo graag een actief guest account willen hebben.
Voor de rest: iedereen die een Firewall (en meer) op z'n mode en router en switch en systeem en NAS wil zetten. Ga je gang maar denk niet dat je veilig bent tegen een professional.
-
De aanvallen zijn duidelijk gericht op het poortnummer van je mailstation. Ik heb zelf last gehad van "deurrammelaars" op de SSH poort, die o.a. voor encrypted netwerkbackup gebruikt wordt. Ik gebruik deze enkel voor een remote backup tussen 2 synologies. Ik heb daarom die poort dicht gezet voor alle ip adressen en daarnaast een losse regel die wel toegang geeft voor de (iets ruimer genomen) ip range waarin de remote synology staat die wel zijn backup moet kunnen maken. Daarna niet een melding meer gehad. Dit is uiteraard wel lastiger met mailstation, omdat je niet weet vanaf welk ip adres je ooit een keer je mail wilt checken.
Ik zou daarom de auto-block vooral inschakelen. Ik vind 5 pogingen binnen 5 minuten erg krap. Men kan dan nog steeds 4x per 5 minuten, dus 48x pogingen per uur doen als je een slimme bot treft. Ik heb de mijne op 3 pogingen binnen 30 minuten staan.
-
Ik betwijfel dat het in enige software zit van DSM, ik zou het eerder in de software van de browser van de pc zoeken.
Beste Clan1511,
Ik denk niet dat het aan de browser in Firefox ligt. Aangezien ik de POPUPS alleen krijg als ik DSM 4.2. open.
Als ik met firefox gewoon surf op het web, heb ik er geen last van. Hoe kan ik zorgen dat die POPUPS weggaan?
Patrick
-
Beste dnb,
Ik heb mailserver maar uitgeschakeld. Want ik gebruikte deze toch niet. Klopt het trouwens dat dit er standaartd inzit met de upgrade naar DSM 4.2?
Patrick
-
Klopt het trouwens dat dit er standaartd inzit met de upgrade naar DSM 4.2?
Dacht het niet, Mailserver is toch een package ? Dus niet standaard in DSM. Heb je dan zelf eens geinstalleerd.
-
Beste dnb,
Ik heb mailserver maar uitgeschakeld. Want ik gebruikte deze toch niet. Klopt het trouwens dat dit er standaartd inzit met de upgrade naar DSM 4.2?
Patrick
Kijk eens hier: http://www.synology.nl/support/tutorials_show.php?lang=nld&q_id=448
-
Ik betwijfel dat het in enige software zit van DSM, ik zou het eerder in de software van de browser van de pc zoeken.
Beste Clan1511,
Ik denk niet dat het aan de browser in Firefox ligt. Aangezien ik de POPUPS alleen krijg als ik DSM 4.2. open.
Als ik met firefox gewoon surf op het web, heb ik er geen last van. Hoe kan ik zorgen dat die POPUPS weggaan?
Patrick
Wat gebeurd er als je DSM via een andere browser opent?
-
Kan trouwens ook iemand beantwoorden of er in de antivirus scanner van DSM ook op spyware gecontroleerd wordt?
Ik vind er niets over in de omschrijving.
-
Hoi Patrick,
Ik vraag me trouwens af hoe het poortnummer überhaupt van buitenaf bij je nas uitkomt. Heb je de betreffende poort in je modem/router doelbewust geforward, of staat de nas in een DMZ? Als je Mailstation niet gebruikt (doe ik ook niet) hoeft die poort in principe ook niet te worden geforward naar je nas. Dat werkt uiteraard nog beter dan de auto-block :-)
-
Dat klopt maar voor een gedeelte. Als een hacker via poort 22 toegang krijgt, kan hij gewoon via de commandline mail gaan versturen. Daar heeft ie echt niet zo'n keurig end-user pakketje voor nodig. Daarom is auto block ook zo'n leuke functie. Mogen ze 3x proberen en dan is het feest voorbij.
Sent from my iPhone using Tapatalk
-
Mee eens! Daarom heb ik mijn poortje 22 ook maar op een heel klein en specifiek kiertje open en staat de auto-block aan :-)
-
Wat gebeurd er als je DSM via een andere browser opent?
Beste Clan1511,
Als ik bv op mijn werk DSM open heb ik geen popups (zie bijalge). Ligt dit dan toch aan mijn browser>
Hoe krijg ik in godsnaam die irritante popups weg. En is dit schadelijk?
Patrick
-
Maar... Heb je op de bewuste pc dit al met een andere browser geprobeerd, die vraag heb je nog niet beantwoord.
-
Wat gebeurd er als je DSM via een andere browser opent?
Beste Clan1511,
Als ik bv op mijn werk DSM open heb ik geen popups (zie bijalge). Ligt dit dan toch aan mijn browser>
Hoe krijg ik in godsnaam die irritante popups weg. En is dit schadelijk?
Patrick
Vraag is of het een popup binnen je browser is of dat het een popup binnen het DSM-scherm is! In het eerste geval heb je een probleem binnen je browser en in het tweede geval heb je iets op je NAS geïnstalleerd wat de ellende veroorzaakt.
Als het in de PC/Browser zit dan zijn er de bekende methodes om het te verwijderen. In geval van je NAS moet je eens nalopen wat je daar allemaal recentelijk hebt geïnstalleerd.
En doe eens wat je al aangeraden werd: probeer eens een andere browser.
-
En doe eens wat je al aangeraden werd: probeer eens een andere browser.
Beste TonVH,
Ik het al eens op mijn werk geprobeerd met firefox. Daarin verschijnen geen popups. Betekent dit dat de spyware (popups als gevolg) in de browser firefox op mijn MacBook zit.
Als het in de PC/Browser zit dan zijn er de bekende methodes om het te verwijderen
Wat zijn dan de bekende methodes om dit te verwijderen?
Alvast bedankt voor je reactie.
Patrick
-
De bedoeling is e.e.a. uit te sluiten, de pc op je werk is daarvoor niet de methode.
Het zit of op je MacBook of toch op je nas (wat ik onwaarschijnlijk acht).
De enige manier om dat uit te sluiten is toch om het via een andere browser op je MacBook uit te proberen.
Geeft die andere browser ook een pop up, dan zijn we weer een stap verder en kunnen we iets anders proberen kort te sluiten.
Probeer ook eens via het configuratieschema, systeem, DSM instellingen de achtergrond te wisselen, wie weet.
En verder nog dit, als je de hier gegeven adviezen niet wil opvolgen dan is dat je eigen keus, maar blijf dan niet hardnekkig vasthouden aan een andere methode die niet leidt tot de oplossing ( je mag mijn bedankje weer intrekken, hoor ;D)
-
En doe eens wat je al aangeraden werd: probeer eens een andere browser.
Beste TonVH,
Ik het al eens op mijn werk geprobeerd met firefox. Daarin verschijnen geen popups. Betekent dit dat de spyware (popups als gevolg) in de browser firefox op mijn MacBook zit.
Als het in de PC/Browser zit dan zijn er de bekende methodes om het te verwijderen
Wat zijn dan de bekende methodes om dit te verwijderen?
Alvast bedankt voor je reactie.
Patrick
Als het een Macbook is dan betwijfel ik ten sterkste of het een popup is en zeer zeker is de term 'spyware' discutabel want het kan alleen iets zijn wat je zelf willens en wetens (door op 'OK' te klikken) hebt geïnstalleerd.
Waarschijnlijk heb je een spelletje geïnstalleerd en dat heeft een aanpassing in je browser verricht. Kijk eens bij Voorkeuren (van die Browser) en grote kans dat je daar ziet dat er een ander programma gestart wordt wat de popup genereert. Je zou die popup overigens ook moeten zien als je iets anders dan DSM met die browser oproept.
Ook is vrijwel zeker dat een andere browser gebruiken het probleem niet laat zien.
Hebben andere gebruikers (lees User ID's) er ook last van? Zo ja, dan is er gerommeld door iemand met Root toegang. En dat kan alleen gebeuren door iemand met toegang en niet indirect.
- probeer eens met een andere User en zelfde browser
- probeer eens een andere browser
- zoek een programma ('good game' of 'farm' of '...') en verwijder dat.
-
Clan1511 en Ton VH,
Ik ga jullie adviezen opvolgen en kom er even op terug. Bedankt voor zover.
Ik meld me weer zodra ik jullie adviezen heb opgevolgd.
Patrick
-
Wellicht en hopelijk een volledig overbodige vraag:
Heb je al in de opties van Firefox op je MacBook gekontroleerd of de pop up blokker nog aan staat?
http://support.mozilla.org/nl/kb/instellingen-pop-upblokkering-uitzonderingen-probleemoplossing
Kijk ook eens hier naar, het zou ook wel eens Mallware kunnen zijn:
http://support.mozilla.org/nl/kb/problemen-firefox-door-malware-veroorzaakt-verhelpen
Ik heb nl ook wel eens gehad dat om een of andere reden ongemerkt de settings hierin waren gewijzigd, dat kan bv doordat er een add on geïnstalleerd was.
En dan kan je idd in een heel verkeerde hoek zoeken.
Eventueel is er ook nog een mogelijkheid om firefox op de standaard instellingen terug te zetten en kijken wat er dan gebeurd.
Laatste optie is om Firefox helemaal van je MacBook te deïnstalleren en (liefst in een andere map) opnieuw te installeren.
Ik ben het even kwijt, maar heb je inmiddels al een scan op je macbook gedraaid om de eventuele Spy-/Mallware op te sporen?
Tot slot, ik heb er enige tijd ingestoken, er moet iemand geweest zijn die (de app) van Worlds of warcraft geïnstalleerd heeft en zich geregistreerd heeft. Deze registratie zorgt voor de pop up.
Helaas is via Google nergens een unsubscribe te vinden. Ik denk dat je het daar uiteindelijk in zal vinden.
-
Beste leden,
Ik heb nu een groter probleem. Ik kom helemaal DSM niet meer in. admin + WW werkt niet meer.
Ik weet nu echt niet meer wat ik moet doen. Help!!!!
Ik starte zojuist DSM op met de gebruikelijke user + WW. Druk op het bekende pijltje en gaan.
Nu voor de tweede keer. Pijltje weer activeren. Melding U heeft geen toestemming.......
Patrick
-
Als je er echt niet meer inkomt kun je met het reset knopje op de achterkant het ip-adres en het admin wachtwoord Wissen.
Sent from my iPhone using Tapatalk
-
Heeft dit gezeik dan te maken met die spyware?
Heeft iemand lopen rommelen met mijn accounts dan?
-
Beste LukeVredeveld,
Als ik reset. En dus ook mijn ip adres. Hoe kom ik dan weer in DSM dan?
Patrick Bakker
-
Met de synology assistant
Sent from my iPhone using Tapatalk
-
Als ik reset. En dus ook mijn ip adres. Hoe kom ik dan weer in DSM dan?
Of gebruik een browser die het bonjour protocol ondersteunt (o.a. Safari). DSM zend zijn naam uit via 'bonjour' zodat zijn inlogpagina onafhankelijk van zijn IP adres op te roepen is. (Ik neem aan dat de assistent deze broadcast ook gebruikt om de nas te vinden)
Of in de router kijken welk IP de nas toegewezen heeft gekregen. Er zijn dus legio methodes om weer toegang te krijgen. :P
Maar eerst zelf vanaf een andere IP toegang proberen te krijgen om te zien of je niet gewoon op de blocklist van de nas staat.
-
... DSM zend zijn naam uit via 'bonjour' zodat zijn inlogpagina onafhankelijk van zijn IP adres op te roepen is.
(Ik neem aan dat de assistent deze broadcast ook gebruikt om de nas te vinden)
Ik kan me niet indenken dat de Assistent de herkenning niet middels het MAC adres zou doen.
Een MAC adres bestaat uit een 24 bit OUI (Organizationally Unique Identifier, voor Synology is dat 00:11:32)
en een 24 bit NIC specific deel.
De Assistent hoeft dus slechts binnen het subnet een scan op MAC-adressen te doen, en herkent aan het OUI deel
direct de Synology apparatuur.
En bijna zeker heeft Synology binnen zijn NIC specieke bits een systeem aangebracht waaraan het type NAS
direct is te herkennen, of middels een tabel in de Assistent is op te zoeken.
Maar, het meest belangrijk: deze aanpak is slechts afhankelijk van het correct werken van de meest basale
OSI-lagen in een netwerk; er kan weinig mee misgaan en is dus redelijk robuust.
-
Of gebruik een browser die het bonjour protocol ondersteunt (o.a. Safari). DSM zend zijn naam uit via 'bonjour' zodat zijn inlogpagina onafhankelijk van zijn IP adres op te roepen is. (Ik neem aan dat de assistent deze broadcast ook gebruikt om de nas te vinden)
Bonjour werkt alleen als dat ingeschakeld is. Standaard is uitgeschakeld.
Synology Assistent doet (volgens mij) gewoon een broadcast over het lokale netwerk (daarom duurt het ook zo lang) en vraagt iedereen "Wie ben je" en selecteert de IPnummer die antwoorden met "Ik ben een DS....".
-
Bonjour kun je niet uitschakelen op de nas. Staat altijd aan. (Tenzij het automatisch aan gaat i.c.m. bepaalde services) Het enige wat je zelf kunt inschakelen is om ook een aangesloten printer via bonjour te broadcasten.
Maar misschien zullen ze inderdaad de MAC adressen gebruiken voor detectie. Ik ben misschien te mac georiënteerd om te denken dat alles via bonjour gaat. Mijn airport routers worden ook altijd via bonjour gevonden.
Synology Assistent doet (volgens mij) gewoon een broadcast over het lokale netwerk (daarom duurt het ook zo lang)
Klopt waarschijnlijk. Als ik met wireshark kijk, zie ik een broadcast en het volgende pakketje is dan al de nas die reageert. :P
-
Wij zijn onderhand toch wel erg nieuwsgierig geworden hoe het verder verlopen is!
En.... Indien opgelost, waar het problemen uiteindelijk lag en hoe je het verholpen hebt.
M.vr.gr
-
ik meen dat er binnenkort two step verification aankomt toch?
-
Het is spijtig dat Ts ons niet informeert hoe het verder verlopen is, niet enkel uit nieuwsgierigheid maar omdat het leerzaam kan zijn voor anderen.
-
Hij zal op vacantie zijn.
-
Laten we het daarop maar houden. :|
-
Het is spijtig dat Ts ons niet informeert hoe het verder verlopen is, niet enkel uit nieuwsgierigheid maar omdat het leerzaam kan zijn voor anderen.
Ben inmiddels zelf een maandje op vakantie geweest en hoop nu toch wel dat Ts zijn probleem met de spyware heeft opgelost en dit met ons wil delen.