kroumi Posté(e) le 29 décembre 2020 Partager Posté(e) le 29 décembre 2020 Bonjour, Je viens de mettre à jour le DSM et j'ai fait tourner le conseiller de sécurité. A cette occasion j'ai été faire un tour dans la menu "Analyse de connexion". Je vois 3 résultats à gravité "élévé" dont la description relate 3 connexions. Une de la part d'un ami situé dans un pays d'Asie avec l'identifiant que je lui ai attribué. Donc ça c'est bon. Mais il y a deux autres connexions avec l'identifiant du groupe administrateur. Déjà ce qui m'étonne c'est que l'anlayse de connexion ne donne que 3 résultats puisque je me suis connecté de nombreuses fois avec mon téléphone, à distance sur le NAS. Concernant ces deux connexions à risque élevée. Le NAS les traces en jour et heure et notamment l'IP. Une est située en France près d'Orly (où je n'étais pas) et une autre aux Pays bas (sic !). Je m'interroge donc : - Pourquoi le conseiller de sécurité ne trace que 3 connexions ? - A supposer que qqn se soit amusé à se connecter à mon NAS, comment peut-il connaitre mon nom identifiant d'administrateur. A ce titre quand je me connecte sur DSM, la page d'identification garde en mémoire une liste d'identifiant qu'elle propose quand on doit taper le sien. Savez vous comment faire en sorte que cette liste ne s'affiche pas ? - Et enfin, est ce que cette connexion tracée signifie que la personne a voulu se connecter 'exemple id correct mais mdp faux) ou qu'elle s'est carrément connectée (id et mdp corrects) ? 😳 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 29 décembre 2020 Partager Posté(e) le 29 décembre 2020 Salut, Poste une capture d'écran des messages 😉 (masques les IP). 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
firlin Posté(e) le 29 décembre 2020 Partager Posté(e) le 29 décembre 2020 Bonjour kroumi, Je te conseille de lire ce tutos très bien fait https://www.nas-forum.com/forum/topic/54453-tuto-sécuriser-les-accès-à-son-nas/ 1 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 29 décembre 2020 Partager Posté(e) le 29 décembre 2020 +1 avec @firlin 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kroumi Posté(e) le 29 décembre 2020 Auteur Partager Posté(e) le 29 décembre 2020 Bonjour @firlin et @MilesTEG1 Merci pour le lien du tuto. En fait je l'ai lu au début et m'en suis bq servi. 😋 Il y a deux petites règles que je n'ai pas appliquées. Je poste l'analyse du conseille de sécurité. La première ligne est la connexion de mon pote. Mais les 2ième et 3 ième m'intriguent. J'ai masqué les utilisateurs. Sur la première ligne il s'agit du nom d'utilisateur de mon pote. Sur les 2ième et 3 ième il s'agit du nom d'utilisateur admin que j'ai créé. J'ai masqué les IP, mais je peux remettre la copie d'écran avec les IP visibles des 2ième et 3 ième ligne. En faisant une recherche sur google , je localise l'IP de la 2ième ligne au milieu de la Seine près du pont des arts à Paris (donc non pas aux Pays Bas), et le 3ième IP près d'Orly. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 29 décembre 2020 Partager Posté(e) le 29 décembre 2020 Est-ce que les comptes utilisés sont pas "admin" ou "guest" ? Si oui -> désactivation immédiate, et même si ce n'est pas ça, idem. Ensuite, change les mots de passe des comptes de la capture. Change les ports de connexion, et vérifie vraiment très souvent le journal de connexion. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Thomasd90 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 Il y a 5 heures, kroumi a dit : Bonjour @firlin et @MilesTEG1 Merci pour le lien du tuto. En fait je l'ai lu au début et m'en suis bq servi. 😋 Il y a deux petites règles que je n'ai pas appliquées. Je poste l'analyse du conseille de sécurité. La première ligne est la connexion de mon pote. Mais les 2ième et 3 ième m'intriguent. J'ai masqué les utilisateurs. Sur la première ligne il s'agit du nom d'utilisateur de mon pote. Sur les 2ième et 3 ième il s'agit du nom d'utilisateur admin que j'ai créé. J'ai masqué les IP, mais je peux remettre la copie d'écran avec les IP visibles des 2ième et 3 ième ligne [url=https://www.rachat-credit-info.com/]rachat de credit immo[/url]. En faisant une recherche sur google , je localise l'IP de la 2ième ligne au milieu de la Seine près du pont des arts à Paris (donc non pas aux Pays Bas), et le 3ième IP près d'Orly. C'est peut être une defaillance au niveau de la carte réseau. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 Il y a 5 heures, Thomasd90 a dit : C'est peut être une defaillance au niveau de la carte réseau. ?? 🧐❓ Qu'est-ce que tu entends par défaillance au niveau de la carte réseau ?? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Invité Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 Attention, les localités sont a prendres avec des pincettes. Autant entre pays je trouve cela précis, mais en France, notamment en 4g la localisation peut etre complément fausse ( jai déjà vu presque 500km d'ecard entre ma localisation estimé avec l'ip et ma localisation réelle. 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 @kroumi Bonjour, Aux dates indiquées, tu n'avais pas par hasard, le port 22 et le service SSH d'activés/ouverts (que tu aurais ensuite plus tard fermés). Saches que dès que le port 22 est ouvert et le service SSH activé, il faut très peu de temps pour constater des attaques en règle de l'extérieur, souvent issues de Roumanie, Tchékie, Chine, et autres ... Cela pourrait être une origine de ces tentatives de connexions. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kroumi Posté(e) le 30 décembre 2020 Auteur Partager Posté(e) le 30 décembre 2020 Il y a 17 heures, MilesTEG1 a dit : Est-ce que les comptes utilisés sont pas "admin" ou "guest" ? Si oui -> désactivation immédiate, et même si ce n'est pas ça, idem. Ensuite, change les mots de passe des comptes de la capture. Change les ports de connexion, et vérifie vraiment très souvent le journal de connexion. @MilesTEG1 Oui ces comptes sont bien désactivés @oracle7 Comme préconisé dans le tuto de sécurisation, j'ai activé le service SSH sur le port 22, mais je me rends compte que je n'ai pas bloqué les accès depuis internet comme préconisé. Mais si l'attaque vient de là , comment le pirate a pu connaitre le compte utilisateur à utiliser ? (celui que j'ai créé lors de la sécurisation du NAS) ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 @kroumi Bonjour, il y a 11 minutes, kroumi a dit : Mais si l'attaque vient de là , comment le pirate a pu connaitre le compte utilisateur à utiliser ? Peut-être tout simplement en commençant avec l'Id "admin" et comme il est désactivé, il n'a pas pu aller plus loin. Mais la tentative de connexion a bel et bien été enregistrée et elle apparait dans le journal. Je l'explique comme cela mais je peux me tromper ... Après, le malveillant, j'imagine, dispose d'une liste d'Id couramment utilisés et il les teste tous, jusqu'à ce qu'il y en ait un qui marche. Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 Le truc qui me chiffonne, c'est que dans sa capture c'était écrit : "Quelqu'un s'est connecté en tant que BLABLA...". Ce n'est pas un echec de connexion... Par exemple, j'ai tenté de me connecter via l'IP LAN sur le compte admin, avec n'importe quoi comme mot de passe, évidemment échec. Je le vois dans le Journal : Alors que je n'ai rien qui apparait dans le conseiller de sécurité. Si je refais la même chose en passant par le ndd, j'ai les mêmes choses qui apparaissent dans les journaux de connexion, et j'ai une ligne qui apparait dans le conseiller sécurité : Du coup, je pense vraiment que les connexions ont réussi sur son NAS. Donc soit c'est lui ou sa connaissance qui a réellement accéder au NAS, soit c'est un pirate. On ne sait rien de la robustesse de son mot de passe... Il peut avoir mis un mot de passe à 6 caractères... facilement trouvable... Bref, je changerais tous les mots de passe en plus de sécuriser les accès en changeant les ports, en mettant en place le pare-feu du nas... PS : purée, je ne peux plus poster d'image via le forum... obligé de les héberger ailleurs avant de coller le lien... Citation Glisser ici les fichiers à joindre, ou choisir les fichiers… Taille maximale totale: 1 Ko 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
oracle7 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 @MilesTEG1 Bonjour, Je n'avais pas pousser l'analyse si loin. Tu as sûrement raison même si je pense que le message retourné "exagère" quelque peu l'action effective. Il faut quand même la conjonction de l'ID et du MDP pour que la connexion soit effective, non ? ET si tu refait la manip de puis l'extérieur avec le ndd.tld, tu peux vérifier ensuite en local si la connexion est effective ou non (sur le routeur via les utilisateurs connectés dans contrôle du trafic ou clients DHCP). Pour les images aucune des deux solutions ne marchent ? Glisser /déposer direct ou "clic choisir les fichiers" ?. Parfois c'est le navigateur web lui même qui fout le b.... Essaies de le fermer après avoir vider le cache et relances-le. On ne sait jamais ... Cordialement oracle7😉 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
MilesTEG1 Posté(e) le 30 décembre 2020 Partager Posté(e) le 30 décembre 2020 il y a 10 minutes, oracle7 a dit : ET si tu refait la manip de puis l'extérieur avec le ndd.tld, tu peux vérifier ensuite en local si la connexion est effective ou non (sur le routeur via les utilisateurs connectés dans contrôle du trafic ou clients DHCP). Pas besoin de vérifier si la connexion est faite ou pas. Si la connexion s'est faite avec succès, il y a une alerte dans le Conseiller de sécurité ET une entrée dans les journaux de connexion. Si la connexion est un échec, il n'y a pas d'alerte dans le Conseiller de sécurité, MAIS il y a une entrée dans les journaux de connexion. Donc pour moi, il y a eu connexion réussie sur son NAS les 3 fois. Maintenant, est-ce que ces 3 connexions étaient voulues, intentionnelles de sa part ou pas... PS : pour mon soucis de pièces jointes, j'ai la même chose en ayant vidé le cache et redémarré mon navigateur, mais aussi la même chose avec un autre navigateur... 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
kroumi Posté(e) le 20 janvier 2021 Auteur Partager Posté(e) le 20 janvier 2021 Bonjour @MilesTEG1et @oracle7, Je réponds encore des jours en retard. Aucun avertissement quand il y a un poste malgré l'activation. Ca doit mettre une notification sur le site mais ça envoie pas de mail. En fait pdt ces périodes où le conseiller de sécurité a averti des 2 connexions (la 3ième est celle de mon pote à Singapour), je faisais moi même des tests via ndd. Mais ça ne peut pas être moi compte tenu de l'IP localisé aux Pays-Bas. Ce que je ne comprends pas c'est pourquoi le conseiller de sécurité uniquement sur ces 3 connexions ? Pourquoi est ce qu'il n'avertit pas des autres connexions que j'ai pu faire à mon NAS via ndd ? 0 Citer Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Rejoindre la conversation
Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.