[Synology] Attaque au compte admin depuis hier soir

on verra si ils communiquent sur la chose, pour le moment je n'ai pas de flux anormal en sortie sur de mon NAS


j'ai mis à jour la liste des IP
 

Pièces jointes

Dernière édition:
Donc sur mon NAS et ceux des clients RAS pour les connexions en "admin" j'ai que des tentatives en OPENVPN
 
Bonjour,
Je n’ai aucune tentative d’attaque pourtant il est constamment connecté.
Dans le pare-feu j’ai autorisé uniquement que la France.
le reste est bloqué.
Je n’utilise pas quickconnect

On parle bien d’une attaque sur la partie DSM?
Je dois m’inquiéter?
 
Toujours du brute-force sur admin pour moi.

Le compte étant désactivé, est-ce qu'il courre quand même un risque ou pas?
Peuvent-ils s'y connecter (bien que jamais utilisé, inactif depuis l'installation de DSM), et ensuite prendre le contrôle ?
 
EVOTk a dit:
Il ne semble pas y avoir de faille permettant cela. Mais vérifie les règles de ton pare-feu, voir n'expose pas l'interface de DSM !
Cliquez pour agrandir...
Question bête peut-être mais je débute en NAS... On peut empêcher d'accéder a DSM depuis l'extérieur tout en conservant l'accès au Drive et a photo? L'accès DSM serait alors LAN only?
 
EVOTk a dit:
Malheuresement non, ce sont des services liés a l'interface de DSM.
Fait au moins une limitation géographique. C'est pas parfait, mais cela aide.
Cliquez pour agrandir...
Ça c'est déjà fait 😉 mais ça n'empêche pas les tentatives de partout listées. Je suis quand même à moitié rassuré, je n'ai pas tout laissé open ^^
 
Darksky a dit:
Ça c'est déjà fait 😉 mais ça n'empêche pas les tentatives de partout listées. Je suis quand même à moitié rassuré, je n'ai pas tout laissé open ^^
Cliquez pour agrandir...
Tu est bien a jour niveau firmware ?
Sinon, mais cela n'engage que moi, vu la situation, je pense que tu devrais fermé l’accès externe a l'interface du NAS au moins quelques jours pour voir se qu'il se passe. ( quitte a perdre l’accès drive / photo quelques temps en externe )
 
Bonjour, j'ai également le même soucis, mais cela dure depuis plusieurs semaines déjà, et cela ralentit considérablement le NAS

Me concernant il s'agit en grande majorité d'IP de Chine,Russie,Taiwan,Etats-Unis et même certaines IP Française D'OVH
 

Pièces jointes

Abraham a dit:
J’ai déjà fait ça, mais une heure après les attaques recommence.
Cliquez pour agrandir...
Ferme les ports ouverts sur internet.
Ou fait tout passer par un seul et unique port, le 443 par exemple, et utilise un reverse proxy pour orienter correctement les services.
Dans le pare-feu de ton nas, n'autorise que les IP françaises par exemple, et refuse toutes les connexion autres.
Il est préférable de ne pas exposer les ports des interfaces d'administration (DSM, QTS ou autre) sur internet. Il vaut mieux passer par une connexion VPN.
C'est ce que je fais, et je n'ai aucune tentatives visibles de connexion. Les logs ne font rien apparaitre, donc le pare-feu bloque tout avant que ça n'arrive aux services visés par l'attaque...
 
Du coup je me suis penché sur le problème et j'ai réglé le pare feu de mon 218+ et j'ai vu que celui de mon 213+ de sauvegarde n’était même pas activé ! Le CPU était full tout le temps...
Maintenant c’est mieux, j’ai restreint à la France. Il reste qq attaque sur admin depuis des IP francaises mais bcp moins
Par contre j'aimerais autoriser l'interface de gestion DSM juste sur mon réseau local. Mais si je décoche j'ai peur de perdre, audio station et file station qui sont dans la meme liste. Peut on les autoriser à part ?
 
Pour moi c'est pareil - grosse attaque au compte admin .... depuis j'ai réglé le pare feu en restreignant les IP france seulement et fermé tout les port vers mon DS420. Quick connect est désactivé ...
Ce matin encore des attaques mais seulement depuis des IP françaises ... je NE comprend pas par ou ils passe vu qu'il n'y plus de redirection de port vers DSM ?
Seul un raspberry avec Domoticz est accessible depuis internet ... peuvent ils passer par là ?
 
Vous devez vous connecter ou vous enregistrer pour répondre ici.
Haut Bas