Hackers försöker komma in på min Synology NAS.

2023-05-20 00:33

Medlem

Registrerad: Apr 2013

●

Hackers försöker komma in på min Synology NAS.

Hörde att NASen jobbade fast jag inte använde den. När jag kollar loggen så ser jag att någon hela tiden försöker logga in som Admin! Vad skall man göra åt sånt? Har stängt av den för tillfället och hoppas på att de tröttnar. Förut så använde jag den som web-server men den vart hackad så det vart webb-hotell i stället.

Rapportera Redigera

Citera flera Citera

2023-05-20 01:01

Permalänk

Allexz

Sötast ★

Plats: Trelleborg
Registrerad: Dec 2004

●

Konfigurera brandväggen till att INTE tillåta att nasen nås från internet är steg 1.

Om du nu redan blivit hackad en gång så borde du använt det som läromedel att stänga ner dina anslutningar...

Om du ändå tänkt trilskas med att kunna nå nasen ifrån internet så:
Forcera VPN
Sätt igång 2FA
Byt standardportar
Installera fail2ban

Visa signatur

https://imgur.com/sxldiIg

Rapportera Redigera

Citera flera Citera (13)

2023-05-20 08:36

Permalänk

spiderweb

Medlem

Registrerad: Apr 2013

●

Tack för tipsen. Körde Synologys inbyggda Security Advisor och den bedömde inloggningsförsöken som medel-allvarliga. Lade till några av de föreslagna åtgärderna, bla 2-faktor autentisering. Den är lite jobbig, men är nog värd att använda trots allt. Undrar vad som händer när den tjänsten inte fungerar bara?

Rapportera Redigera

Citera flera Citera

2023-05-20 09:03

Permalänk

ZaInT

Medlem

Plats: Glenn
Registrerad: Dec 2001

●

Men för fan, ha inte en NAS direkt exponerad mot nätet direkt överhuvudtaget! NÅGONSIN!
Synology har iallafall en egen tjänst för access som är någorlunda säker, men att nå den direkt är bara nej nej nej nej nej.

Visa signatur

11600K@5.1 GHz + 32GB Corsair Vengeance RGB PRO 3200@3400 MHz + MSI RTX 2080 Super Gaming X Trio +
WDC Blue SN550 1TB + Black OEM SN730 500GB + Kingston A1000 480GB + A2000 500GB + NV2 1TB + 2TB R10 + RGB most of THE THINGS! + Corsair 4000D Airflow + 2*ZyXEL NSA326 2*3TB @ R1 + Netgear RN2100 4*3TB @ R10 + RN204 4*4TB @ R5 + Synology DS216j 2*4TB @ SHR R1 + DS418 4*8TB @ SHR R6 | tmp: R5 3600@4.2 GHz + 32GB 2666@3066MHz + 2070 8GB + 1 TB NV2 & 512GB SN730

Rapportera Redigera

Citera flera Citera (16)

2023-05-20 09:16

Permalänk

Aphex

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Själva inloggningsförsöken är inte farliga, så länge du har ett lösenord som inte är enkelt att gissa. Automatiserade försök att logga in som admin:admin är sånt man får räkna med om man kör en tjänst ansluten till internet, det betyder inte att någon är ute efter just din NAS utan man letar efter enkla mål.

Det som däremot är läskigt är att det kan finnas sårbarheter i programmet som serverar websidan du loggar in på, då skulle någon kunna komma in utan lösenord, om man känner till dessa.

Ungefär det hände nämligen en annan tillverkare nyligen
https://www.trendmicro.com/vinfo/de/security/news/vulnerabili...

Av den anledningen kan det vara en bättre ide att sätta upp ett VPN till NASen, så att ingen kan prata med den alls utan att ha rätt certifikat.

Man kan också uttrycka det som Zaint här ovan

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Rapportera Redigera

Citera flera Citera (4)

2023-05-20 11:04

Permalänk

kalle-anka

Medlem ★

Registrerad: Maj 2012

●

Steg ett är att avaktivera Admin kontot.

Som läget är nu så vet hackarna att användarnamnet från fabrik är Admin och de prövar med det användarnamnet och olika lösenord. Om du istället skapar ett annat konto med ett annat användarnamn som har samma rättigheter som Admin och avaktiverar kontot Admin så blir allting mycket säkrare. Då måste hackarna gissa rätt på både användarnamn och lösenord, och inte bara lösenordet.

Rapportera Redigera

Citera flera Citera (2)

2023-05-20 11:12

Permalänk

MartinP74

Medlem

Plats: Uppsala
Registrerad: Jun 2011

●

Skrivet av kalle-anka:

Steg ett är att avaktivera Admin kontot.

Som läget är nu så vet hackarna att användarnamnet från fabrik är Admin och de prövar med det användarnamnet och olika lösenord. Om du istället skapar ett annat konto med ett annat användarnamn som har samma rättigheter som Admin och avaktiverar kontot Admin så blir allting mycket säkrare. Då måste hackarna gissa rätt på både användarnamn och lösenord, och inte bara lösenordet.

Gå till inlägget

Word! Steg 1 med alla saker borde vara att ändra namn på/ta bort admin inlogg.
Har en Synology och fick inom en vecka efter uppkoppling "order" om att ta bort admin och göra ett annat konto till admin från Security Advisor.

Visa signatur

Fractal Design North Vit/TG - Asus Z690-G - Intel Core i7 12700KF - Deepcool Assassin IV Vit - Asus x Noctua 4080 - Corsair 32GB LPX DDR5 - Samsung 980 Pro 1 TB - Asus TUF Gaming 1000W

Rapportera Redigera

Citera flera Citera

2023-05-20 20:16

Permalänk

trudelutt

Medlem ★

Registrerad: Aug 2021

●

Och använd enbart kinesiska, koreanska, japanska tecken samt emojis för användarnamnet så blir det extra säkert.

[/ironi]

Allvarligt, se under alla omständigheter till att ha ett lösenord som inte GÅR att testa sig fram till. Saker som att byta namn på användare, byta lösenord var tredje månad, byta port och liknande kan teoretiskt stoppa vissa attacker, men i praktiken blir bara saker jobbigare utan att man vinner någonting på det.

Rapportera Redigera

Citera flera Citera (2)

2023-05-20 20:44

Permalänk

Dr.Mabuse

Medlem ★

Plats: Cyberspace
Registrerad: Apr 2008

●

Skrivet av Allexz:

Konfigurera brandväggen till att INTE tillåta att nasen nås från internet är steg 1.

Om du nu redan blivit hackad en gång så borde du använt det som läromedel att stänga ner dina anslutningar...

Om du ändå tänkt trilskas med att kunna nå nasen ifrån internet så:
Forcera VPN
Sätt igång 2FA
Byt standardportar
Installera fail2ban

Gå till inlägget

Skrivet av ZaInT:

Men för fan, ha inte en NAS direkt exponerad mot nätet direkt överhuvudtaget! NÅGONSIN!
Synology har iallafall en egen tjänst för access som är någorlunda säker, men att nå den direkt är bara nej nej nej nej nej.

Gå till inlägget

Sluta larva er. Självklart kan man ha sin NAS exponerad mot internet, hälften av alla funktioner bygger på att du ska kunna nå den utifrån. Att ropa vargen kommer på ett teknikforum är lite hål i huvudet. FUD hjälper ingen.

Synology (som dessutom inte har hackats likt måna andra NAS:ar) har flera sätt att mota Olle i grind.
1. Använde ett komplext lösenord, minst 12 tecken alfanumerisk med specialtecken.
2. Slå på blockering av IP-adress vid för många misslyckade inloggningsförsök, typ 3 eller 5.
3. Aktivera 2FA
4. Skapa ett konto utan admin-rättigehter och använd detta för "vanlig" åtkomst.

Jag kombinerade ovan detta med geofencing i brandväggen. Kommer inte åka till Ryssland under denna livstid.

Senast redigerat 2023-05-20 20:54

Visa signatur

There are two kinds of people: 1. Those that can extrapolate from incomplete data.
Min tråkiga hemsida om mitt bygge och lite annat smått o gott: www.2x3m4u.net

Rapportera Redigera

Citera flera Citera (13)

2023-05-20 21:50

Permalänk

Gustav-P

Medlem ★

Plats: Skåne
Registrerad: Dec 2011

●

Skrivet av spiderweb:

Hörde att NASen jobbade fast jag inte använde den. När jag kollar loggen så ser jag att någon hela tiden försöker logga in som Admin! <klipp>

Gå till inlägget

Skrivet av Allexz:

Konfigurera brandväggen till att INTE tillåta att nasen nås från internet är steg 1.
<klipp>

Gå till inlägget

Skrivet av ZaInT:

Men för fan, ha inte en NAS direkt exponerad mot nätet direkt överhuvudtaget! NÅGONSIN!
Synology har iallafall en egen tjänst för access som är någorlunda säker, men att nå den direkt är bara nej nej nej nej nej.

Gå till inlägget

Skrivet av Aphex:

<klipp>

Av den anledningen kan det vara en bättre ide att sätta upp ett VPN till NASen, så att ingen kan prata med den alls utan att ha rätt certifikat.
<klipp>

Gå till inlägget

Skrivet av Dr.Mabuse:

Sluta larva er. Självklart kan man ha sin NAS exponerad mot internet, hälften av alla funktioner bygger på att du ska kunna nå den utifrån. Att ropa vargen kommer på ett teknikforum är lite hål i huvudet. FUD hjälper ingen.

Synology (som dessutom inte har hackats likt måna andra NAS:ar) har flera sätt att mota Olle i grind.
1. Använde ett komplext lösenord, minst 12 tecken alfanumerisk med specialtecken.
2. Slå på blockering av IP-adress vid för många misslyckade inloggningsförsök, typ 3 eller 5.
3. Aktivera 2FA
4. Skapa ett konto utan admin-rättigehter och använd detta för "vanlig" åtkomst.

Jag kombinerade ovan detta med geofencing i brandväggen. Kommer inte åka till Ryssland under denna livstid.

Gå till inlägget

@Dr.Mabuse Jag håller nog med både de som säger att inte koppla NASen så att det är tillgänglig från internet och att man inte ska sprida FUD.

Men ibland går det inte att vara utförlig utan skriver det enklast svaret som löser ett problem.
Jag har några gånger försökt vara utförlig så bara in i helvete - men efter någon sida text så undrar jag om frågeställaren ens orkar läsa igenom allt.

Om man som OP ställer frågan som han gjorde, så hade jag också svarat "Tillåt inte trafik från internet till NAS:en".

Efterföljande postare föreslår att använda en VPN (jag gör så) eller använda Synology's tjänst för att komma åt NASen utan att öppna i brandväggen.

Beroende på hur personen har öppnat för NASen, en port eller flera portar, så är det ju inte vara säkerheten i Synology's DSM utan även de andra tjänsterna som kör som kan vara vägen in.
Minns jag rätt så var det QNap's foto app som var vägen in för hackarna vi något av angreppen.

Orkar man så kan man ge förslag på hur man sätter upp en proxy med pre-authentication och därmed skapar ytterligare ett lager mellan internet och de applikationer man vill publicera.

Men för de flesta så är det enklare (enklaste?) sättet att använda Synology's tjänst alternativt sätta upp en VPN och använda den för att komma åt hemnätverket.

Jag tror ingen egentligen medvetet sprider FUD - men ibland blir svaren på nivån av frågan.
Och det är inte (F)ear att nämna att NAS:ar blir hackade på grund av att de är nåbara från Internet.

Det är lite upp till OP att välja vad han vill göra:
* Avaktivera Admin kontot
* Sätta ban för misslyckade inloggningar
* Blockera IP från icke önskvärda delar av världen att ansluta sig
* Använda VPN eller annan tjänst för att inte tillåta direktkonakt från Internet till NAS:en

För att göra inget är inte ett bra sätta att lämna situationen i.

Bara att OP märkte att någon försökte logga in och misslyckas är en "stor WIN"!!!

Visa signatur

Dator: MSI X570 Tomahawk, AMD 5600x, 64 GB RAM, 2xNVMe, 2xSATA SSD, 10 GBit NIC, Grafik Nvidia 3060 12 GB RAM
Skärm: Dell U3821DW 38" ultrawide Bärbar dator: MBA M1
Synology DS1821+ (10Gbit) - Dockers, VM, Surveillance Station 9 kameror
DS3612xs (10Gbit) - Backup sparas till denna från ovan
Skrev jag något vettig? "Tumme up":a så vet jag att det fanns nytta i min post.

Rapportera Redigera

Citera flera Citera (4)

2023-05-20 22:01

Permalänk

MALmen

Medlem

Plats: Karlstad
Registrerad: Jul 2001

●

Det finns någon funktion som heter auto-block man kan aktivera så att brandväggen droppar alla kommunikation från samma ip om den misslyckats logga in 5 ggr

Rapportera Redigera

Citera flera Citera (1)

2023-05-20 23:34

Permalänk

Aphex

Hedersmedlem ★

Plats: i bestens inre
Registrerad: Jul 2001

●

Skrivet av MALmen:

Det finns någon funktion som heter auto-block man kan aktivera så att brandväggen droppar alla kommunikation från samma ip om den misslyckats logga in 5 ggr

Gå till inlägget

Det är en meningslös funktion om du har ett lösenord som är svårt att gissa.
Har du inte det, varför?

Ett lösenord som Huytsc65 skulle ta ~7000 år att gå igenom alla möjliga kombinationer, förutsatt att du lyckas få den stackars NASen att hantera 1000 inloggningsförsök per sekund.

https://www.grc.com/haystack.htm

Senast redigerat 2023-05-21 00:46

Visa signatur

Det kan aldrig bli fel med mekanisk destruktion

Rapportera Redigera

Citera flera Citera

2023-05-21 00:10

Permalänk

radx

Medlem ★

Plats: ::1
Registrerad: Maj 2004

●

Inte helt lätt faktiskt att få en helt optimal lösning. Det beror lite på varför man har NAS:en exponerad. Jag har exempelvis en av mina tre NAS:ar exponerad. Men det är medvetet beslut. Jag gör det eftersom hela mitt kamerasystem hemma rullar på Synology Surveillance System och inga notiser lär nå min mobil om jag inte har kontakt med min NAS. Sure, jag kan använda VPN men då måste VPN vara igång 24/7 på mobilen, det har jag inte lust att ha igång på de sättet.

Men i mitt fall så kör jag med:
* Admin kontot disablat.
* Skapat ett nytt admin-konto som har ett icke standard username.
* Geoblockar med pfBlockerNG som är ett paket som är installerat på min Netgate 6100 som kör pfSense.
* Ser till att alltid hålla min NAS på den senaste mjukvaran.
* Autobannar misslyckade inloggningar.

Jag hade tidigare en reverse-proxy som front för min NAS. Men den va inte kompatibel med allt som jag körde på NAS:en. Jag har för mig det blev problem med kamerorna när jag hade den sist. Något som också hade varit smart hade nog varit att lägga NAS:en på ett eget VLAN som inte kan nå det interna nätverket.

Visa signatur

🎮 ASUS RTX 3080 STRIX • i7-13700K • Define 7 • ASUS B660-PLUS D4 ⌨ 64GB DDR4 3600MHZ 💿 4TB NVMe
🖥️ Acer Predator 43" CG437KP 120hz 🖥️ 2 x LG 43" 43UN700

📹 Mitt skrivbord 🎬 Mitt biorum

Rapportera Redigera

Citera flera Citera

2023-05-21 07:49

Permalänk

ZaInT

Medlem

Plats: Glenn
Registrerad: Dec 2001

●

Skrivet av Gustav-P: