IP [61.191.56.67] has been blocked

[Red Boll]

Vandaag bezoek gehad uit China

-----Oorspronkelijk bericht-----
Van: Synology DiskStation [mailto: *@*.info]
Verzonden: maandag 2 mei 2011 10:45
Aan: *@*.info; *@gmail.com
Onderwerp: c-nas-01 | IP [61.191.56.67] has been blocked

Dear user,

IP [61.191.56.67] had 15 failed login attempts within 30 minutes, and has been blocked at Mon May  2 10:44:59 2011.

Sincerely,
Synology DiskStation

IP adres valt in de range van China Telecom

inetnum:      61.191.0.0 - 61.191.255.255
netname:      CHINANET-AH
descr:        CHINANET Anhui province network
descr:        China Telecom
descr:        A12,Xin-Jie-Kou-Wai Street
descr:        Beijing 100088
country:      CN

Mijn vragen:

Is de username te achterhalen?
Is het wachtwoord/de wachtwoorden die zijn gebruikt te achterhalen?

Ik wil graag weten wat voor soort "aanval" dit is geweest en daarvoor heb ik meer info nodig.

(BTW: Wist even niet in welk ander forum ik dit kon plaatsen)

[Robert Koopman]

Dit komt bij mij haast dagelijks voor...
Zou ook wel eens willen weten wie dit soort dingen doen.
Waarschijnlijk op zoek naar SMTP servers om te spammen?

[Red Boll]

Dit komt bij mij haast dagelijks voor...
Zou ook wel eens willen weten wie dit soort dingen doen.
Waarschijnlijk op zoek naar SMTP servers om te spammen?

Hmmm... Zijn dit dan geen inlogpogingen op zeg maar de "desktop" van de DiskStation?
Het zou leuk zijn om hier meer info over te hebben.

SMTP gaat in principe over port 25 en daar heb ik geen portforwarding voor aangemaakt in mijn router. Het lijkt dus iets anders te zijn bij mij.

EDIT:
Euh... Toch maar even op zoek gegaan naar wat extra logging en dat heb ik gevonden.

Via het "hoofdmenu" ("pijltje omlaag") > System Information > Log kom je bij verschillende logs die je op kunt slaan als *.hmtl bestand, hier kwam ik het volgende tegen:

syslog.html

Warning 2011/05/02 10:44:59 Administrator Host [61.191.56.67] has been blocked at [Mon May 2 10:44:59 2011].

connectlog.html

Warning 2011/05/02 10:45:02 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:45:01 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:45:00 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:59 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:58 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:56 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:55 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:54 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:53 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:52 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:51 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:50 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:49 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:48 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:47 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:46 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:45 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.
Warning 2011/05/02 10:44:44 Administrator FTP client [Administrator] from [61.191.56.67] failed to log in the server.

Er is dus geprobeerd onder user Administrator de FTP server te benaderen.
Deze functie staat inderdaad aan sinds gisteren en de FTP poorten staan inderdaad geforward naar de Synology.

Nu nog achter de gebruikte wachtwoorden zien te komen om te zien wat voor soort ze daarvoor gebruiken, steeds dezelfde of woorden uit het woordenboek bijvoorbeeld.

@Robert: ben benieuwd waar ze bij jou naar op zoek zijn.

[Red Boll]

Anyhow, ondertussen nog een paar keer ongewenst bezoek gehad.
De komende tijd ga ik het netwerkverkeer van/naar de Diskstation monitoren om te proberen te achterhalen wat voor soort aanvallen dit eigenlijk zijn.
Ik gebruik hiervoor een laptop met Wireshark en een mirror van de poort op de switch waar de DiskStation op is aangesloten.

Ze lijken zich niet specifiek op Synology diskstations te richten maar op alle FTP servers omdat Administrator geen standaard Synology user is voor zover ik weet.

[HereIsTom]

Ik heb ook regelmatig van dit soort pogingen, waarschijnlijk hackers vanuit China.

[Red Boll]

Ik heb ook regelmatig van dit soort pogingen, waarschijnlijk hackers vanuit China.

Ik heb er inderdaad 2 uit China gehad en 1 uit de good old USA.

Ben nog steeds erg benieuwd welke wachtwoorden ze gebruiken dus vandaar dat ik het de komende tijd eens in de gaten ga houden

[davey]

makelijk op te lossen poort 5000 change to iets anders sinds ik dat heb heb ik geen ip blocked meer gezien 5000 naar 1527 ofz of verzin zelf iets leuks

[Björn]

De inlogpogingen zijn op de ftp server..  

Je hoeft je er niet druk om te maken. Als je goed kijkt gebruiken ze zelfs de verkeerde inlognaam (administrator ipv. Admin). Daarnaast heb je de autoblock functie en een goed wachtwoord.. Het zijn maar scripts die aan je voordeur voelen of hij toevallig open staat. Meer niet..

[Red Boll]

De inlogpogingen zijn op de ftp server..

Ik zie 18 mislukte pogingen in de log, hoe kan dat eigenlijk?

[LukeVredeveld]

ik zou me er niet druk over maken. Zorg dat je goede wachtwoorden gebruikt en dan is er niks aan de hand. Dit zijn allemaal scripts die ff wat standaard dingetjes proberen. Die auto IP-block zit niet voor niks op de synology. Gewoon lekker laten draaien, werkt perfect. Niet meer naar omkijken :-)

[Briolet]

Bij mij was er afgelopen zondag ook een poging gedaan om binnen te komen met de naam 'Administrator'. Het vreemde was echter dat het 'From' IP adres mijn eigen publieke IP adres was, en geen vreemd adres. Toen dit adres geblokt was werd er een poging gedaan vanaf het IP adres [10.0.1.1] Dat is mijn interne router adres.

Is dit een clevere attack poging die een ander IP adres kan faken zodat het er bekender uitziet, of is dat toch iets van binnen uit?

Mijn computers stonden rond die tijd allen uit, alleen een android tablet stond aan. Maar het was ook niet het IP adres van de tablet.

[hvb83]

Lijkt me dat je dan beste de login van je router kunt wijzigen en de externe toegang tot die webinterface blokkeren (meestal heb je die toch niet nodig). Als er daarna nog steeds dergelijke meldingen binnenkomen terwijl al je computers uit staan, dan kan het alleen nog zijn dat iemand via je wifi binnen komt.

[Nelesss]

Lijkt me dat je dan beste de login van je router kunt wijzigen en de externe toegang tot die webinterface blokkeren (meestal heb je die toch niet nodig). Als er daarna nog steeds dergelijke meldingen binnenkomen terwijl al je computers uit staan, dan kan het alleen nog zijn dat iemand via je wifi binnen komt.

Webinterface, FTP, webdav, alles moet je dan blokkeren hè;) Want meestal proberen ze via FTP in te loggen.

[SanderSpecs]

.

[Miso]

Bestaat de mogelijkheid een heel IP netwerk (zoals CHINANET henan province network 1.192.0.0 - 1.199.255.255) de blokkeren? Of is dat vechten tegen windmolens?