Tu as forcément oublié un truc, configure ton pare-feu pour n'accepter que les IP de ton reseau local.
Aussi, vérifie ton pare-feu dans ta box, n'oublie pas l'ipv6
[Synology] Attaque au compte admin depuis hier soir
- Auteur du sujet Choco
- Date de début
Aussi, vérifie ton pare-feu dans ta box, n'oublie pas l'ipv6
Bonjour, si ca peut aider j'ai exporté toutes les adresses IP qui me concernent...
Non pas récemment mais tous les ports étaient fermés vers le Nas
J’ai trouvés des connexions bizarre sur le rapsberry pour lequel les port de la livebix étaient ouverts : port 8888 pour chronograf
Je ne sais pas trop s’ils peuvent passer par la
De mon coté j'ai une tentative de connexion admin toutes les 5 -10min. J'ai laisser des trucs ouverts vu que j'utilise bcp drive.
Pour info : pour moi c'est fini depuis le WE et depuis que j'ai interdit toutes les connexions sur le pare-feu (sauf réseau local et sauf sur le port de DSaudio)
Bonjour n0n0, -et le forum-
Comme beaucoup ici, je suis victime d'attaques -heureusement infructueuses- sur mon Nas Synology. J'ai suivi ce que tu as fait sur la sécurité et appliqué ta règle : "Annuler la protection du compte" en montant à 999 le temps d'attente, je pense aussi que ça devrait en calmer pas mal..
D'autre part, je me suis rendu compte que mon pare-feu n'était pas activé -horreur, malheur !-, j'ai donc coché la case afin de le rendre actif -cela devrait aussi arranger la situation, non ?..^^). Concernant les règles de pare-feu et la rubrique "toutes les interfaces", celle-ci est vide (?), ce qui signifie -d'après ce que j'ai compris- que toutes les cases doivent être cochées, non ?..Tout est pris en compte ?..(^^!?)
Bon, enfin, je vais voir ce qui se passe, mais, il est vrai, que depuis un certain temps, le Nas clignote très souvent, telle une guirlande de noël -c'est bientôt la saison, non ?..
), ce qu'il ne faisait pas avant. Tiens, rien que ce matin, en 8 minutes, il y a eu 20 tentatives d'attaque, d'après je journal.Les hackers essaient de se connecter avec le pseudo "admin" -que j'ai désactivé pour en choisir un autre-, je pense que ce fut une bonne idée, déjà proposée par le forum
Voilà où j'en suis, si vous voyez d'autres actions pour compléter l'arsenal de protection, n'hésitez pas à m'en faire part.Merci de m'avoir lu jusqu'ici..
J'avais oublié : pour assurer la protection du Nas Synology, je vois dans : Sécurité - protection - interface réseau LAN : "Activer la protection DoS"
Est-ce bien de le faire ? -ou est-ce queçca peut bloquer le "système" ??-
Est-ce bien de le faire ? -ou est-ce queçca peut bloquer le "système" ??-
Bonjour à tous,
Les variantes arrivent: ils essaient de se connecter avec des noms d'utilisateurs "classiques":
J'avoue ne plus trop savoir quoi faire de plus...
Oui, désactiver l'accès au NAS sur Internet, mais il perdrait alors tout son intérêt pour nous. Il est principalement là pour récolter et dispatcher nos données, où que l'on soit.
J'ai un O2F sur le compte admin, je vais peut-être songer à l'imposer à tous les utilisateurs classiques aussi.
Toujours pas eu de retours de Synology sur cette vague?
Les variantes arrivent: ils essaient de se connecter avec des noms d'utilisateurs "classiques":
J'avoue ne plus trop savoir quoi faire de plus...
Oui, désactiver l'accès au NAS sur Internet, mais il perdrait alors tout son intérêt pour nous. Il est principalement là pour récolter et dispatcher nos données, où que l'on soit.
J'ai un O2F sur le compte admin, je vais peut-être songer à l'imposer à tous les utilisateurs classiques aussi.
Toujours pas eu de retours de Synology sur cette vague?
Tu pourrais ne plus laisser passer les connexions à DSM... ça limiterait les attaques, un peu. Et essayer de passer par le reverse proxy, sur le port 443.
Perso, c'est ce que je fais, et 0 attaque référencées dans les logs.
Tu peux aussi essayer de mettre à jour le NAS, avec la update 2 de DSM 7.1.1, car elle corrige un certains nombre de faille de sécurité. Voir l'article sur Cachem : https://www.cachem.fr/synology-dsm-7-1-1-update-2/
La Màj est en cours
Je vais voir pour renforcer au mieux la sécurité. Là j'ai prévenu ceux qui utilisent le NAS avec moi que je vais le couper pour quelques heures/jours, en fonction des besoins.
On verra, mais faut avouer que c'est quand même chiant/inquiétant.
J'étais parti sur un NAS pour être plus autonome avec plusieurs Users, mais au final j'aurai quand même du prendre un Pcloud 10To à vie pour 5 Users
J'ai la 7.1.1 et j'ai les mêmes attaques. Je vais essayé de changer le port 5001 en autre chose.La Màj est en cours
Je vais voir pour renforcer au mieux la sécurité. Là j'ai prévenu ceux qui utilisent le NAS avec moi que je vais le couper pour quelques heures/jours, en fonction des besoins.
On verra, mais faut avouer que c'est quand même chiant/inquiétant.
J'étais parti sur un NAS pour être plus autonome avec plusieurs Users, mais au final j'aurai quand même du prendre un Pcloud 10To à vie pour 5 Users
Moi aussi depuis que je l'ai et que je suis plus aguérris je m'en sert bcp. depuis 6 mois c'est mon google drive pour le boulot partagé avec 5 collègues. Si je le coupe ça va être très pénible.
Le problème c'est que je ne suis pas sûr de bien savoir parametrer tout le pare feu ou autre. A chaque fois que je bloque un truc je croise les doigts pour pouvoir toujours avoir accès de l'extérieur avec drive, audio, et note. Et depuis chez moi à plus ou moins tout.
bonjour à tous, je suis nouveau sur le site, je cherche des infos car mon NAS a été piraté ce vendredi 22/10/2022. j'ai toujours accès à l'interface mais une partie des volumes à changer et des données on été compressé avec mot de passe pour la récupération, j'ai seulement accès à un fichier texte qui m'explique qu'ils ont créer un volume cachée et biensur me demande de payer en bitcoin pour récupérer les données, mais bon je sais qu'il ne sert à rien de payer........si quelqu'un à des conseils pour m'aider ..
Le changement du port pour DSM est la première chose à faire; 5001/TCP étant de nos jours connus par les "script kiddies" pour l'accès au DSM et procéder à des attaques par force brute (détermination d'un couple identifiant/mot de passe par dictionnaire).Tu pourras faire un retour après le changement de port?
Ce serait sympa
Cela se change très simplement dans "Panneau de configuration" > "Accès externe" (sur DSM 6.2.x)
Ensuite on couple le changement de port de DSM (et ses services associés tels que DS Video, DS Audio, DS Note, etc.) avec des règles de pare-feu n'autorisant que le strict nécessaire et le blocage automatique après un nombre défini de tentatives de connexions échouées.
Depuis 2016, aucune tentative de connexion sur DSM (et avec l'utilisateur "admin" toujours activé qui doit l'être si l'on utilise rsyncd, ce qui est mon cas).
Bonjour, je confirme cela. En changeant de port, je n'ai plus d'attaque depuis plusieurs heures alors que j'avais une attaque toutes les 5 minutes auparavant. J'ai changé les deux ports pour ne plus avoir les ports 5000 et 5001.Le changement du port pour DSM est la première chose à faire; 5001/TCP étant de nos jours connus par les "script kiddies" pour l'accès au DSM et procéder à des attaques par force brute (détermination d'un couple identifiant/mot de passe par dictionnaire).
Cela se change très simplement dans "Panneau de configuration" > "Accès externe" (sur DSM 6.2.x)
Ensuite on couple le changement de port de DSM (et ses services associés tels que DS Video, DS Audio, DS Note, etc.) avec des règles de pare-feu n'autorisant que le strict nécessaire et le blocage automatique après un nombre défini de tentatives de connexions échouées.
Depuis 2016, aucune tentative de connexion sur DSM (et avec l'utilisateur "admin" toujours activé qui doit l'être si l'on utilise rsyncd, ce qui est mon cas).