Attaque Massive Sur Le Port 80

[CCWH]

Salut,

Mon pauvre DS-107 connecté sur la toile depuis 6 ans subit depuis plusieurs jours une attaque en en règle sur le port .

Je vois le message...

date heure (c'est variable) kernel: NET: xxx messages suppressed.

Au début la valeur xxx était faible. Depuis aujourd'hui xxx dépasse les 200 messages. Résultat le Syno est devenu totalement inaccessible sur le port car j'ai un message de ce type toutes les 2-3 secondes.

Le Syno répond parfaitement sur les autres ports ouverts.

J'ai fermé le port par précaution.

Comment identifier l'IP (ou les IP) qui m'attaquent ?

Je ne vois rien dans les fichiers journal du Syno

Je ne vois rien dans le log message.txt (var/log)

J'utilise beaucoup mon Syno en Http (partage de photos, blog, ...) et perdre le port est une sacré mauvaise nouvelle.

Bref comment m'en sortir ?

Modifié le 7 février 2014 par CCWH

[Fravadona]

Tu n'as rien dans les logs d'apache ?

[CCWH]

Comment accéder à ses log ?
J'ai activé le log Apache. Pour l'instant rien d'exploitable dans celui-ci

Modifié le 7 février 2014 par CCWH

[CCWH]

Le fait d'avoir coupé le port a arrêté toute l'activité qui perturbait mon Syno.

A terme ce n'est pas vivable car je passe par le port HTTP pour accéder à mon NAS et applics associés (plutôt que le port HTTPS).

[CCWH]

J'ai rouvert le port, par curiosité, l'attaque a recommencé 5 minutes plus tard.

Si je ne trouve pas une solution, je sens que je vais devoir faire une croix définitive sur le port (et tout l'http qui va avec)

Saleté de pirate

[Ridfa]

Salut

Il y a un pare feu avec DSM

Et la possibilité de blacklister les IP relou

"Activer la protection DOS"

[mattou25]

Bonsoir,

Pour ma part, depuis 4 jours, je suis également victime de nombreuses tentatives d'intrusion sur mon Syno. Mail serveur à bloqué 96 IP aujourd'hui. Depuis le début j'en suis à près de 500.

Les IP proviennent de zones géographiques différentes. Je me suis demandé si la MàJ de la Beta 5.0 n'y était pas pour quelque chose.

J'ai activé mon pare feu sur le Syno et la fonction DoS.

Nous verrons dans les 24 heures à venir.

[CCWH]

J'ai activé (depuis toujours) le blocage auto ainsi que le pare-feu.

Le problème principal est que le "gentil pirate" est discret donc il n'affiche pas son IP.

En activant le log Apache (httpd-error-user.log) désactivé par défaut, j'ai découvert quelques traces suspectes que j'ai immédiatement bloqué dans la fonction pare-feu. Sachant qu'il y avait deux IP, de deux zones géographiques différentes, c'est déjà mauvais signe...

[Fravadona]

la commande tcpdump devrait te permettre d'y voir plus clair

[CCWH]

Comment l'installer sur le Synology ?

[Fravadona]

Il est deja present, du moins sous DSM 4.

[CCWH]

Sur DSM 3.1 (version maxi du DS107) je n'ai rien trouvé.

[CCWH]

J'ai laissé le port fermé plusieurs jours. J'ai réouvert hier. Ça c'est (temporairement ?) calmé...

En tout cas le log Apache (httpd-error-user.log) est très instructif... Beaucoup de visiteurs (!) essayent d'accéder à la console phpMyAdmin...

Heureusement, elle inaccessible de manière simple...

[Ridfa]

Un reverse proxy et fail2ban ça ne reglerait pas le pb pour de bon?

[CCWH]

Sûrement, reste à savoir comment configurer tout ça...

[Ridfa]

Salut

Si ça t'intéresse vraiment c'est pas compliqué lis ça

L'installation se fait sous ipkg tu complètes avec HAProxy de SynoCommunity en reverse proxy

Et le tour est joué

Testé sur DS212+, 213 et 410

[CCWH]

Merci

Je voulais également installer une liste noire d'IP (via iptables) mais je n'ai pas trouvé de fichier formaté correctement.

Dans la foulée cela m'aurait permis de bannir certains pays trop curieux (Chine, Taiwan, etc...).

Y-a-t-il moyen de trouver un fichier de ce type quelque part ?

[Ridfa]

Salut

Quelque chose comme ça !?

[CCWH]

Merci.

Ce n'est pas directement ça, mais il y a d'autres liens externes. Je vais peut-être trouver mon bonheur :-)

[Ridfa]

C'était le but

Je dirais surement ça m'a pas mal aidé perso

[CCWH]

Merci. Je m'y met rapidement car les attaques n'arrêtent pas...