Aller au contenu

Messages recommandés

Posté(e)

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

Tu peux nous en dire plus ? Version de dsm, les ports ouvert sur le net, des choses bizarres dans les logs de connection ?

C'est pas fournie par syno, mais par des utilisateurs, attention les fichiers déjà crypté le resteront.

Ds1812+ raid5+raid1 je ne connais pas la version dsm, la dernière MA a été faite après heartbleed. Port ouvert :5000.

Intrface Web interne/externe remplacé par synolocker.

Toujours possible de parcourir les fichiers par SMb mais impossible de les ouvrir ->message crypté/corrompu

Posté(e)

Ds1812+ raid5+raid1 je ne connais pas la version dsm, la dernière MA a été faite après heartbleed. Port ouvert :5000.Intrface Web interne/externe remplacé par synolocker.

Toujours possible de parcourir les fichiers par SMb mais impossible de les ouvrir ->message crypté/corrompu

Panneau de configuration, puis information ou mise à jour pour connaître la version exacte.

Tu n'as que le port 5000 ouvert sur le net ? Aucun autre ??

Essaye de trouvais le processus et de killer pour stop le cryptage de tes données.

Que constate tu dans les log aussi ?

Posté(e)

Pour ma part 0 port ouvert. J'ai un VPN chez moi et je me connecte à mon VPN pour avoir ensuite accès à mon NAS en "Local"

Même chose et aussi avoir accès à mes caméras qui ont des failles, mais plus MAJ... (merci heden)

Posté(e)

Même chose et aussi avoir accès à mes caméras qui ont des failles, mais plus MAJ... (merci heden)

Effectivement, je trouve que le VPN est une bonne façon de se protéger

Posté(e)

D'après les peus de retours il semblerait que ce soit concentré sur dsm 4.3 (possible aussi plus anciens) en tout cas aucun retour sur des personnes touchées sur 5.0

Posté(e)

J'avoue, bloquer les chinois est à mon avis un bon moyen de se protéger (et les russes aussi par la même occasion).

Ça a l'air d'être du Brute force si j'ai bien suivi, du coup avec le blocage des IP on devrait être tranquille aussi non ?

Posté(e)

Panneau de configuration, puis information ou mise à jour pour connaître la version exacte.

Tu n'as que le port 5000 ouvert sur le net ? Aucun autre ??

Essaye de trouvais le processus et de killer pour stop le cryptage de tes données.

Que constate tu dans les log aussi ?

Impossible de se connecter sur l'interface

Donc pas de log...Je suis à 100 km donc un peu bloqué pour l'instant j'essaie de trouver Un peu plus de réponse avant d'y aller.

Posté(e)

J'avoue, bloquer les chinois est à mon avis un bon moyen de se protéger (et les russes aussi par la même occasion).

Ça a l'air d'être du Brute force si j'ai bien suivi, du coup avec le blocage des IP on devrait être tranquille aussi non ?

L'idée de raisonner dans l'autre sens en ouvrant une "whitelist" me plait d'avantage. En gros autoriser uniquement France (pour moi).

Personne pour ma question ? :

Y-a-t-il un moyen simple de pouvoir continuer à accéder à son Syno en local (réseau "interne"), mais de fermer tout accès depuis l'extérieur ?

Posté(e) (modifié)

Peux-tu dire comment se met en place le second blocage?**

**edit**

c'est bon: trouvé

Pour les proxies anonymes, tu parles de "Enhance browser compatibility by skipping IP checking" ?

Modifié par IBM360
Posté(e)

Active le blocage D'ip, genre 5 mauvaises connections en 5 minutes -> bannière l'ip.

Car la si tu laisse faire et que ton mdp n'est pas compliqué, tu es cuit :/

J'ai déjà désactivé SSH et mon mot de passe ne fait pas parti d'un "dictionnaire" donc peut de chance qu'il le trouve

je vais voir pour ce blocage d'ip

Posté(e)

Oui l'inverse est préférable. (Juste penser à ouvrir en cas de départ à l'etranger vers les pays souhaités)

En solution tu as celle de fermer tous sur ta box ou de rajouter "refuser tout" dans ton parfe-feu IP juste en dessous de la première ligne (en second donc) qui elle dit : "autoriser tout en mettant cette règle sur ton réseau local)

Posté(e)

De memoire ca se fait aussi via le firewall / region.

Exact : "Code pays A1 et A2"

Je me suis toujours demandé si "FR autorisé" bloque A1 et A2 .. ?

Posté(e)

Perso j'ai carrément changé la passerelle et le DNS dans les paramètres Réseau du NAS en attendant d'en savoir plus comme ça il dialogue plus du tout avec Internet et reste accessible en interne.

En tout cas j'ai check les logs de ceux de nos clients et pour l'instant RAS. Le plus gros problème c'est qu'on ne peux pas leur couper le CloudStation :S

Posté(e) (modifié)

Y-a-t-il un moyen simple de pouvoir continuer à accéder à son Syno en local (réseau "interne"), mais de fermer tout accès depuis l'extérieur ?

Oui, avec ce genre de règle en haut de la liste du firewall (modifier éventuellement le subnet 192.168.1.0 selon la config de la box):

6ujZA40.png

et aucune autre règle active en dessous.

et enfin, terminer par:

O4ZeBkw.png

**EDIT**

Cela dit si aucun port n'est redirigé dans la box, ça revient au même...

Modifié par CoolRaoul
Posté(e)

Perso j'ai carrément changé la passerelle et le DNS dans les paramètres Réseau du NAS en attendant d'en savoir plus comme ça il dialogue plus du tout avec Internet et reste accessible en interne.

Comment tu fais ?

Sur mon NAS, la valeur est grisée.

Je suis en DSM 5 dernier update.

Posté(e)

Vu sur forum synology EN : " Removed a vhost that made my synology available on port 443."

Vous pensez que c'est utile ? il faudrait que le trojan trouve les sous domaine ... ?

Posté(e)

Exact : "Code pays A1 et A2"

Je me suis toujours demandé si "FR autorisé" bloque A1 et A2 .. ?

Normalement si tu procede par whitelist et que tu coches "Si aucune regle n'est remplie, refuser l'access" ca devrait les bloquer aussi.

Il faudrait tester :)

Posté(e)

J'ai jeté un œil sur les IP récemment bloquées (limite de 5 essais NOK).

La majorité des IP bloquées viennent de Chine, mais pas seulement !!

Il y en a des Philippines, du Vietnam, mais aussi d'Europe (Italie, Hollande).

J'ai cherché uniquement sur les 15 dernières adresses bloquées.

Sinon dans le journal de connexion on retrouve bien sûr les connexions refusées ayant amené les blocages, mais aussi d'autres tentatives de connexion refusées mais n'ayant pas amené les blocages (soit moins de 5 tentatives).

La très grande majorité des connexions refusées se font sur SSH. Les restantes sur FTP (mais on vas pas loin en login anonyme ftp !).

Pour ceux qui ont été hackés, confirmez-vous que SSH était ouvert et que le mot de passe du compte admin/root était trivial (et donc accessible par force brute) ? La fonction de blocage automatique était-elle activée ?

Posté(e)

Et à défaut de tout couper, si on change tout simplement le port 5000 ?? :ph34r:

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.