Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: Red Boll op 02 mei 2011, 18:31:04
-
Vandaag bezoek gehad uit China
-----Oorspronkelijk bericht-----
Van: Synology DiskStation [mailto: *@*.info]
Verzonden: maandag 2 mei 2011 10:45
Aan: *@*.info; *@gmail.com
Onderwerp: c-nas-01 | IP [61.191.56.67] has been blocked
Dear user,
IP [61.191.56.67] had 15 failed login attempts within 30 minutes, and has been blocked at Mon May 2 10:44:59 2011.
Sincerely,
Synology DiskStation
IP adres valt in de range van China Telecom
inetnum: 61.191.0.0 - 61.191.255.255
netname: CHINANET-AH
descr: CHINANET Anhui province network
descr: China Telecom
descr: A12,Xin-Jie-Kou-Wai Street
descr: Beijing 100088
country: CN
Mijn vragen:
Is de username te achterhalen?
Is het wachtwoord/de wachtwoorden die zijn gebruikt te achterhalen?
Ik wil graag weten wat voor soort "aanval" dit is geweest en daarvoor heb ik meer info nodig.
(BTW: Wist even niet in welk ander forum ik dit kon plaatsen)
-
Dit komt bij mij haast dagelijks voor...
Zou ook wel eens willen weten wie dit soort dingen doen.
Waarschijnlijk op zoek naar SMTP servers om te spammen?
-
Dit komt bij mij haast dagelijks voor...
Zou ook wel eens willen weten wie dit soort dingen doen.
Waarschijnlijk op zoek naar SMTP servers om te spammen?
Hmmm... Zijn dit dan geen inlogpogingen op zeg maar de "desktop" van de DiskStation?
Het zou leuk zijn om hier meer info over te hebben.
SMTP gaat in principe over port 25 en daar heb ik geen portforwarding voor aangemaakt in mijn router. Het lijkt dus iets anders te zijn bij mij.
EDIT:
Euh... Toch maar even op zoek gegaan naar wat extra logging en dat heb ik gevonden.
Via het "hoofdmenu" ("pijltje omlaag") > System Information > Log kom je bij verschillende logs die je op kunt slaan als *.hmtl bestand, hier kwam ik het volgende tegen:
syslog.html
Warning 2011/05/02 10:44:59 Administrator Host [61.191.56.67] has been blocked at [Mon May 2 10:44:59 2011].
connectlog.html
Warning 2011/05/02 10:45:02 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:45:01 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:45:00 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:59 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:58 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:56 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:55 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:54 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:53 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:52 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:51 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:50 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:49 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:48 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:47 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:46 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:45 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:44 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Er is dus geprobeerd onder user Administrator de FTP server te benaderen.
Deze functie staat inderdaad aan sinds gisteren en de FTP poorten staan inderdaad geforward naar de Synology.
Nu nog achter de gebruikte wachtwoorden zien te komen om te zien wat voor soort ze daarvoor gebruiken, steeds dezelfde of woorden uit het woordenboek bijvoorbeeld.
@Robert: ben benieuwd waar ze bij jou naar op zoek zijn.
-
Anyhow, ondertussen nog een paar keer ongewenst bezoek gehad.
De komende tijd ga ik het netwerkverkeer van/naar de Diskstation monitoren om te proberen te achterhalen wat voor soort aanvallen dit eigenlijk zijn.
Ik gebruik hiervoor een laptop met Wireshark en een mirror van de poort op de switch waar de DiskStation op is aangesloten.
Ze lijken zich niet specifiek op Synology diskstations te richten maar op alle FTP servers omdat Administrator geen standaard Synology user is voor zover ik weet.
-
Ik heb ook regelmatig van dit soort pogingen, waarschijnlijk hackers vanuit China.
-
Ik heb ook regelmatig van dit soort pogingen, waarschijnlijk hackers vanuit China.
Ik heb er inderdaad 2 uit China gehad en 1 uit de good old USA.
Ben nog steeds erg benieuwd welke wachtwoorden ze gebruiken dus vandaar dat ik het de komende tijd eens in de gaten ga houden
-
makelijk op te lossen poort 5000 change to iets anders sinds ik dat heb heb ik geen ip blocked meer gezien 5000 naar 1527 ofz of verzin zelf iets leuks
-
De inlogpogingen zijn op de ftp server..
Je hoeft je er niet druk om te maken. Als je goed kijkt gebruiken ze zelfs de verkeerde inlognaam (administrator ipv. Admin). Daarnaast heb je de autoblock functie en een goed wachtwoord.. Het zijn maar scripts die aan je voordeur voelen of hij toevallig open staat. Meer niet..
-
De inlogpogingen zijn op de ftp server..
Ik zie 18 mislukte pogingen in de log, hoe kan dat eigenlijk?
-
ik zou me er niet druk over maken. Zorg dat je goede wachtwoorden gebruikt en dan is er niks aan de hand. Dit zijn allemaal scripts die ff wat standaard dingetjes proberen. Die auto IP-block zit niet voor niks op de synology. Gewoon lekker laten draaien, werkt perfect. Niet meer naar omkijken :-)
-
Bij mij was er afgelopen zondag ook een poging gedaan om binnen te komen met de naam 'Administrator'. Het vreemde was echter dat het 'From' IP adres mijn eigen publieke IP adres was, en geen vreemd adres. Toen dit adres geblokt was werd er een poging gedaan vanaf het IP adres [10.0.1.1] Dat is mijn interne router adres.
Is dit een clevere attack poging die een ander IP adres kan faken zodat het er bekender uitziet, of is dat toch iets van binnen uit?
Mijn computers stonden rond die tijd allen uit, alleen een android tablet stond aan. Maar het was ook niet het IP adres van de tablet.
-
Lijkt me dat je dan beste de login van je router kunt wijzigen en de externe toegang tot die webinterface blokkeren (meestal heb je die toch niet nodig). Als er daarna nog steeds dergelijke meldingen binnenkomen terwijl al je computers uit staan, dan kan het alleen nog zijn dat iemand via je wifi binnen komt.
-
Lijkt me dat je dan beste de login van je router kunt wijzigen en de externe toegang tot die webinterface blokkeren (meestal heb je die toch niet nodig). Als er daarna nog steeds dergelijke meldingen binnenkomen terwijl al je computers uit staan, dan kan het alleen nog zijn dat iemand via je wifi binnen komt.
Webinterface, FTP, webdav, alles moet je dan blokkeren hè;) Want meestal proberen ze via FTP in te loggen.
-
.
-
Bestaat de mogelijkheid een heel IP netwerk (zoals CHINANET henan province network 1.192.0.0 - 1.199.255.255) de blokkeren? Of is dat vechten tegen windmolens?
-
Bestaat de mogelijkheid een heel IP netwerk (zoals CHINANET henan province network 1.192.0.0 - 1.199.255.255) de blokkeren? Of is dat vechten tegen windmolens?
Het kan wel maar zoals je zegt is het niet echt heel nuttig. Ze proberen het dan wel via een proxy server of iets dergelijks. Bij mij komen ze ook uit korea, japan en rusland.
-
Bestaat de mogelijkheid een heel IP netwerk (zoals CHINANET henan province network 1.192.0.0 - 1.199.255.255) de blokkeren? Of is dat vechten tegen windmolens?
Het kan wel maar zoals je zegt is het niet echt heel nuttig. Ze proberen het dan wel via een proxy server of iets dergelijks. Bij mij komen ze ook uit korea, japan en rusland.
Daarbij ga je IP adressen blokkeren die anders toch automatisch geblokkeerd worden. Je zal in kunnen stellen dat ze het minder vaak mogen proberen zodat ze nog sneller geblokkeerd raken. Volgens mij kan je in de firewall wel ranges opgeven. Maar heb daar nog niet zo goed naar gekeken om daar een zinnig antwoord op te geven.
-
Volgens mij kan je in de firewall wel ranges opgeven. Maar heb daar nog niet zo goed naar gekeken om daar een zinnig antwoord op te geven.
Dat kun je maar heeft geen zin als ze een ander IP als bron kunnen creëren.
Zoals eerder gememoreerd heb ik vooral last van mensen die proberen in te loggen met als Bron-IP mijn eigen externe IP. Op het moment dat ze geblokkeerd worden wordt het Bron-IP mijn interne modem IP en gaan ze verder totdat ook die geblokkeerd wordt.
Ik heb de blokkering ingesteld op maximaal 5 pogingen binnen 5 minuten. Op de 6e poging wordt de verbinding altijd geblokkeerd. Vannacht echter iets vreemds. Pas na ca 50 pogingen met het externe IP werd het IP geblokkeerd en alle 50 pogingen waren binnen dezelfde 5 seconden. Daarna ging het verder op het interne IP en dat werd wel na 5 pogingen geblokkeerd.
Interessant is ook dat mijn publieke IP zo'n 2 week geleden veranderd is en de poging was met dat oude publieke IP nummer als afzender. Dus hebben ze dat IP uit een lijst gehaald die ze meer dan 2 week geleden samengesteld hebben.
Veiligheid zit wel goed overigens omdat ze niet eens de gebruikersnaam kennen. laat staan het wachtwoord. Als gebruiker zie ik [administrator], [root], [webmaster] etc. blijkbaar alles veelvoorkomende default gebruikers. Het is alleen heel lastig omdat mijn externe adres dan geblokkeerd wordt en ik van huis uit niet meer met 'mijnExterneIP.nl' kan inloggen. Gelukkig zit ik dan thuis en kan die blokkade snel weer opheffen.
Heeft iemand anders ervaring met dit soort inlog pogingen vanaf een gespoofed eigen IP adres? Ik heb eigenlijk nog geen enkele reguliere gehad. En met zo'n soort poging help een firewall instelling niet die bepaalde Bron-IP's uitsluit zoals hier (http://synology-forum.nl/viewtopic.php?f=138&t=8561&p=40859&hilit=china#msg40859) gedaan is.