Synology-Forum.nl
Algemeen => The lounge => Topic gestart door: nasuser op 13 april 2013, 23:25:44
-
Hallo allemaal,
Ik heb een paar dagen geleden met succes mijn ds online gezet.
Maar die zelfde dag nog, een uur later, probeerde de eerste (hacker) bij me in te loggen.
De laatste dagen krijg ik zo'n 4x per dag de melding van een soortgelijk incident, van het ds logboek.
Het logboek van mijn router vermeld de ene portscan na de andere Dos aanval.
Ik heb ip blocker aangezet en inlog pogingen naar 1x gezet en dan definitief blokkeren.
Toch heb ik een paar vragen:
1.hoe kan het dat ik na een paar uur online te zijn, al gevonden ben door een "hacker"
2.moet ik me zorgen maken over de aanvallen op mijn router en ds?
3.kan ik nog meer doen om het risico van gehacked worden te beperken?
-
1. Omdat je ip adres Altijd al gescranned werd alleen nu krijgen ze reactie doordat er poorten open staan
2 en 3: het is belangrijk dat je een sterk wachtwoord hebt (voor alle account). Als dit zo is zou ik me er niet druk over maken.
-
Nou ik maak me wel zorgen, ik heb er ook last van. Mijn internet verbinding word duidelijk merkbaar, af en toe, beïnvloed door de syn_floods en af en toe kan ik bepaalde zaken niet of nauwelijks nog doen online.
Bestaat er geen meldpunt voor dit soort zaken? [attachimg=1]
-
Nope geen meldpunt het is namelijk de gewoonste zaak van de wereld op internet dat je gescand wordt. Je moet zorgen dat je eigen beveiliging goed op orde is.
-
Nope geen meldpunt het is namelijk de gewoonste zaak van de wereld op internet dat je gescand wordt. Je moet zorgen dat je eigen beveiliging goed op orde is.
Ja ik begrijp het, maar het gaat hier niet alleen om scannen. En behalve dat ik mijn ip blocker aan heb staan en een bere sterk wachtwoord voor iedere account heb gemaakt, ondervind ik duidelijk een probleem met het gebruiken van mijn internet (door de aanvallen op mijn router). En dat is toch wat anders als gescand worden volgens mij.
Dus als iemand nog een goede tip heeft dan hoor ik het graag.
-
Dus als iemand nog een goede tip heeft dan hoor ik het graag.
Mailtje sturen met een log?
-------------
Lookup results for 77.95.97.46 from whois.lacnic.net server:
inetnum: 77.95.97.32 - 77.95.97.63
netname: NL-GVRH-KLG
descr: Katholiek Lyceum in het Gooi
country: NL
admin-c: MD7317-RIPE
admin-c: RG4343-RIPE
admin-c: NvE13-RIPE
tech-c: RG4343-RIPE
tech-c: NvE13-RIPE
tech-c: GVRH-RIPE
status: ASSIGNED PA
remarks: Please send abuse issues to noc@glasvezelringhilversum.nl
mnt-by: GVRH-MNT
source: RIPE # Filtered
role: Role for Glasvezelring Hilversum BV
address: Glasvezelring Hilversum BV
address: Alexanderlaan 2
address: NL-1213 XS, Hilversum
address: the Netherlands
admin-c: PB8074-RIPE
tech-c: JG8074-RIPE
tech-c: FS8074-RIPE
nic-hdl: GVRH-RIPE
mnt-by: GVRH-MNT
source: RIPE # Filtered
person: Marcel Dopheide
address: Katholiek Lyceum in het Gooi
phone: +31 (0)620114440
nic-hdl: MD7317-RIPE
source: RIPE # Filtered
mnt-by: GVRH-MNT
person: Nick van Etten
address: Katholiek Lyceum in het Gooi
phone: +31 (0)613745608
nic-hdl: NvE13-RIPE
source: RIPE # Filtered
mnt-by: GVRH-MNT
person: Raymond Gijzen
address: Katholiek Lyceum in het Gooi
phone: +31 (0)651473736
nic-hdl: RG4343-RIPE
source: RIPE # Filtered
mnt-by: GVRH-MNT
route: 77.95.96.0/21
descr: Glasvezelring Hilversum BV
origin: AS34756
mnt-by: GVRH-MNT
source: RIPE # Filtered
-
Thecell,
Bedankt voor je antwoord.
Ik schrik een beetje van de gegevens.
Ik krijg behalve dit ip adres ook andere ip adressen die het zelfde doen maar dan op een tijdstip dat ik thuis aan het slapen ben. Zie bijlage.[attach=1]
-
Waar kan je dit terug vinden en hoe kan je de beveiliging beter maken?
-
Hallo allemaal,
Ik heb de laatste dagen eens gekeken wat er allemaal met mijn NAS gebeurt sinds ik online ben gegaan.
Ik heb mijn ds op een soort van slaapstand staan, omdat ik zelf nog weinig gebruik maak van de ds.
In praktijk komt het er op neer dat de ds niet of heel kort in slaapstand staat.
Ik heb een uitdraai gemaakt van mijn logbestand en zou graag willen weten of iemand iets vreemds ziet? wat dit fenomeen veroorzaakt? Ik zie pogingen met aanmeldingen via "root" en "admin" via SSH en TELENT.
Zie bijlage.
Van de ICT mensen op mijn werk heb ik begrepen dat ik dankzij het domein van synology zoveel pogingen om in te loggen op mijn NAS krijg? Zou dit kunnen?
De DDos attacks op mijn router zijn inmiddels gestopt, volgens het logboek van mijn router.
-
Van de ICT mensen op mijn werk heb ik begrepen dat ik dankzij het domein van synology zoveel pogingen om in te loggen op mijn NAS krijg? Zou dit kunnen?
Nee, heeft volgens mij niks met synology.me te maken.
Ze scannen gewoon hele reeksen IP-adressen af naar 'bekende' poorten, zoals SSH (22), Telnet (23), FTP (21), HTTP (80) enz.
Als je je DS toch nog niet zoveel gebruikt, kun je de forwards naar je DS zolang uit je router halen.
Wat ook helpt is om die standaard poortnummers te vervangen door iets willekeurigs, bijv. 9022 en dan 9022 forwarden naar poort 22 op je DS. dat scheelt echt enorm, ze scannen maar een beperk aantal bekende poorten.
-
Dit ligt zeker niet aan je domein want die scant niet op poorten en al helemaal niet op de specfieke poorten zoals SSH, Telnet, FTP! Zoals hierboven aangegeven kun je het beste de poorten qua nummer veranderen. Of er voor kiezen om ze dicht te doen. Want zelf gebruik ik bijv. SSH, Telnet alleen thuis of via VPN.
-
Natuurlijk kun je poorten verplaatsen, dat scheelt altijd, maar het is ook hier en daar weer lastig om niet de standaard poort te gebruiken.
Ik begrijp ook eerlijk gezegd niet zo goed waarom dit keer op keer weer naar boven komt, want als je een goed wachtwoord hebt en je zet je autoblock aan dan is er niets aan de hand. Een goed wachtwoord is met een bruteforce attack sowieso al bijna niet te hacken, en als ze maar 5 pogingen per keer mogen doen dan is de kans afgerond 0.0 dat ze erin komen.
Kijk voor de gein eens hier: http://www.grc.com/haystack.htm
Neem een wachtwoord van 8 tekens met minimaal 1 leesteken, 1 kleine letter, 1 hoofdletteren 1 cijfer. Dat geeft 6,704,780,954,517,120 mogelijke wachtwoorden.
Met de 1000 inlogpogingen per seconde die ze op die site hanteren voor een online attack (dat haal je echt nooit op een Syno op een thuisnetwerkje met na elke submit weer een herlaad tijd) kom je dan op 21300000 jaar om alle wachtwoorden te proberen..
Zie bijgevoegd screenshot (* het wachtwoord wat ik daar heb ingevuld is volkomen uit de lucht gegrepen)
[attachimg=1]
Enig idee hoe vaak er aan het portier van je auto gevoeld wordt of hij op slot staat? Daar maak je je geen zorgen om, want je weet dat alleen jij de sleutel hebt. Je gaat niet opeens de deurgreep verstoppen toch?
-
Met de 1000 inlogpogingen per seconde die ze op die site hanteren voor een online attack (dat haal je echt nooit op een Syno op een thuisnetwerkje met na elke submit weer een herlaad tijd) kom je dan op 21300000 jaar om alle wachtwoorden te proberen..
Dan moet je als bruteforcer wel echt de pech hebben dat net de laatste mogelijkheid de juiste is :D
-
Ok, ik ben overtuigd. Ik heb online een wachtwoord van 15 tekens gegenereerd, dus dat gaat voorlopig wel even mee.
Ik ben me uiteraard nooit zo bewust geweest , van het feit, dat er zoveel mensen aan mijn "deur" voelen of die open is. Ik zal er wel aan gaan wennen......
Ik wil iedereen bedanken voor het meedenken en ik zal een aantal adviezen ter harte nemen en ter zijne tijd toepassen.
Groet,
rob.
-
Enig idee hoe vaak er aan het portier van je auto gevoeld wordt of hij op slot staat? Daar maak je je geen zorgen om, want je weet dat alleen jij de sleutel hebt. Je gaat niet opeens de deurgreep verstoppen toch?
Er zijn meer manieren om een auto open te krijgen hoor ... of dacht je dat alle gestolen auto's niet op slot zaten ?
-
Het nivo van deze 'aanvallen' is vergelijkbaar met voelen of de deur op slot zit. Vandaar mijn vergelijking.
-
Enig idee hoe vaak er aan het portier van je auto gevoeld wordt of hij op slot staat? Daar maak je je geen zorgen om, want je weet dat alleen jij de sleutel hebt. Je gaat niet opeens de deurgreep verstoppen toch?
Er zijn meer manieren om een auto open te krijgen hoor ... of dacht je dat alle gestolen auto's niet op slot zaten ?
Hèhè meen je niet? Het is een voorbeeld!
-
Zeer treffend in dit kader:
Een mens lijdt dikwijls 't meest
Door 't lijden dat hij vreest
Doch dat nooit op komt dagen.
Zo heeft hij meer te dragen
Dan God te dragen geeft.
-
-------------
Lookup results for 77.95.97.46 from whois.lacnic.net server:
descr: Katholiek Lyceum in het Gooi
country: NL
Het zijn altijd weer die koorknaapjes waar je last van heb.... ;)
-
Ik heb hier ook last van, echter is het eens in de paar dagen en dan hooguit een aantal keren per dag. Het vreemde is dat sinds gisteravond continu inlogpogingen gedaan worden. Sinds gisteravond heeft m'n synology dik over de 100 IP's geblokkeerd. Ze komen overal vandaan: USA, Australië, Slowakije, etc. Hoe kan het zijn dat het zo opeens viraal is geworden? Ik heb gisteren niets veranderd aan m'n instellingen.
-
@iblauw,
Ik heb dit fenomeen ook gehad met mijn ds213+ maar ik heb het opgelost door de admin account compleet op non actief te stellen. Eerst heb ik mijn eigen account admin rechten gegeven en alle instellingen zo gemaakt dat ik met mijn account alles kan, daarna heb ik de standaard admin account alle rechten ontnomen, daar waar mogelijk, en toen uitgeschakeld.
Verder heb ik inlog pogingen beperkt tot 1x en daarna ip adres voor altijd blokkeren. Ik heb inmiddels meer dan 250 malafide inlogpogingen geblokkeert........
Sinds er alleen maar met mijn account naam (voor en achternaam) ingelogd kan worden en dus niet meer met admin en wachtwoord, voel ik me een stuk geruster en heb ik de kans op malafide inlog pogingen geminimaliseerd naar 0.
Heb je hier wat aan?
-
Het gekke is dat ik mijn admin account ook direct na aanschaf al op non-actief gezet heb omdat alle malafide inlogpogingen met username admin gedaan worden. De stormvloed aan inlogpogingen is sinds vannacht weer over. Totaal heeft ie ca 150 ip adressen geblokkeerd. Blijf het raar vinden dat het zo opeens begint en zo opeens weer ophoudt. Vermoed dan toch dat dit een en dezelfde hacker was die gewoon ip adressen aan het spoofen was...
-
Vermoed dan toch dat dit een en dezelfde hacker was die gewoon ip adressen aan het spoofen was...
Het zal zeker één bron zijn. Volgens mij kun je een IP niet echt 'spoofen' zoals een mac adres, anders was het wel heel makkelijk om je IP te verbergen en had je ook geen Tor nodig. Volgens mij komen die IP's van over de wereld door iemand die vanuit een Tor verbinding aan het hacken is, of nog grootschaliger, door geautomatiseerd via een botnet allerlei codes te proberen.
en dus niet meer met admin en wachtwoord, voel ik me een stuk geruster en heb ik de kans op malafide inlog pogingen geminimaliseerd naar 0.
Een waarschuwing: als je poort 22 of 23 open zet, dan wordt de gebruiker "root" zichtbaar naar buiten en deze gebruikt hetzelfde wachtwoord als "admin", ook al staat admin uit.
-
Ik heb mijn root password ook gewijzigd. Weet alleen niet of ik poort 22 en 23 open heb. Waar dienen deze voor? Cq welke synology app/dienst gebruikt ze?
-
22 - Time backup
23 - Telnet