[Synology] Attaque au compte admin depuis hier soir
- Auteur du sujet Choco
- Date de début
on verra si ils communiquent sur la chose, pour le moment je n'ai pas de flux anormal en sortie sur de mon NAS
j'ai mis à jour la liste des IP
j'ai mis à jour la liste des IP
Dernière édition:
Donc sur mon NAS et ceux des clients RAS pour les connexions en "admin" j'ai que des tentatives en OPENVPN
Bonjour,
Je n’ai aucune tentative d’attaque pourtant il est constamment connecté.
Dans le pare-feu j’ai autorisé uniquement que la France.
le reste est bloqué.
Je n’utilise pas quickconnect
On parle bien d’une attaque sur la partie DSM?
Je dois m’inquiéter?
Je n’ai aucune tentative d’attaque pourtant il est constamment connecté.
Dans le pare-feu j’ai autorisé uniquement que la France.
le reste est bloqué.
Je n’utilise pas quickconnect
On parle bien d’une attaque sur la partie DSM?
Je dois m’inquiéter?
Toujours du brute-force sur admin pour moi.
Le compte étant désactivé, est-ce qu'il courre quand même un risque ou pas?
Peuvent-ils s'y connecter (bien que jamais utilisé, inactif depuis l'installation de DSM), et ensuite prendre le contrôle ?
Le compte étant désactivé, est-ce qu'il courre quand même un risque ou pas?
Peuvent-ils s'y connecter (bien que jamais utilisé, inactif depuis l'installation de DSM), et ensuite prendre le contrôle ?
Question bête peut-être mais je débute en NAS... On peut empêcher d'accéder a DSM depuis l'extérieur tout en conservant l'accès au Drive et a photo? L'accès DSM serait alors LAN only?
Malheuresement non, ce sont des services liés a l'interface de DSM.
Fait au moins une limitation géographique. C'est pas parfait, mais cela aide.
Ça c'est déjà fait
mais ça n'empêche pas les tentatives de partout listées. Je suis quand même à moitié rassuré, je n'ai pas tout laissé open ^^
Tu est bien a jour niveau firmware ?Ça c'est déjà fait
Sinon, mais cela n'engage que moi, vu la situation, je pense que tu devrais fermé l’accès externe a l'interface du NAS au moins quelques jours pour voir se qu'il se passe. ( quitte a perdre l’accès drive / photo quelques temps en externe )
Bonjour, j'ai également le même soucis, mais cela dure depuis plusieurs semaines déjà, et cela ralentit considérablement le NAS
Me concernant il s'agit en grande majorité d'IP de Chine,Russie,Taiwan,Etats-Unis et même certaines IP Française D'OVH
Me concernant il s'agit en grande majorité d'IP de Chine,Russie,Taiwan,Etats-Unis et même certaines IP Française D'OVH
J’ai déjà fait ça, mais une heure après les attaques recommence.Si vous n'avez pas d'IP fixe, un petit reboot de votre box ça aide
Ferme les ports ouverts sur internet.
Ou fait tout passer par un seul et unique port, le 443 par exemple, et utilise un reverse proxy pour orienter correctement les services.
Dans le pare-feu de ton nas, n'autorise que les IP françaises par exemple, et refuse toutes les connexion autres.
Il est préférable de ne pas exposer les ports des interfaces d'administration (DSM, QTS ou autre) sur internet. Il vaut mieux passer par une connexion VPN.
C'est ce que je fais, et je n'ai aucune tentatives visibles de connexion. Les logs ne font rien apparaitre, donc le pare-feu bloque tout avant que ça n'arrive aux services visés par l'attaque...
Du coup je me suis penché sur le problème et j'ai réglé le pare feu de mon 218+ et j'ai vu que celui de mon 213+ de sauvegarde n’était même pas activé ! Le CPU était full tout le temps...
Maintenant c’est mieux, j’ai restreint à la France. Il reste qq attaque sur admin depuis des IP francaises mais bcp moins
Par contre j'aimerais autoriser l'interface de gestion DSM juste sur mon réseau local. Mais si je décoche j'ai peur de perdre, audio station et file station qui sont dans la meme liste. Peut on les autoriser à part ?
Maintenant c’est mieux, j’ai restreint à la France. Il reste qq attaque sur admin depuis des IP francaises mais bcp moins
Par contre j'aimerais autoriser l'interface de gestion DSM juste sur mon réseau local. Mais si je décoche j'ai peur de perdre, audio station et file station qui sont dans la meme liste. Peut on les autoriser à part ?
C'est moins violent qu'il y a quelques jours on dirait.
EDIT: en fait, oui et non... j'ai de nouveau des tentatives en cascade, toujours sur le compte admin.
Dernière édition:
Pour moi c'est pareil - grosse attaque au compte admin .... depuis j'ai réglé le pare feu en restreignant les IP france seulement et fermé tout les port vers mon DS420. Quick connect est désactivé ...
Ce matin encore des attaques mais seulement depuis des IP françaises ... je NE comprend pas par ou ils passe vu qu'il n'y plus de redirection de port vers DSM ?
Seul un raspberry avec Domoticz est accessible depuis internet ... peuvent ils passer par là ?
Ce matin encore des attaques mais seulement depuis des IP françaises ... je NE comprend pas par ou ils passe vu qu'il n'y plus de redirection de port vers DSM ?
Seul un raspberry avec Domoticz est accessible depuis internet ... peuvent ils passer par là ?