Aller au contenu

Tentatives multiples de connexion avortées sur le compte admin (qui est désactivé)


Messages recommandés

Bonjour à tous,

Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes.

Le compte admin est désactivé. Donc le risque me semble faible.

Le NAS est en DSM7. Le conseiller de sécurité est réglé sur travail et entreprise et tout est en vert.

Avez-vous des suggestions ? Dois-je faire quelque chose ?

Est-il pertinent de prendre chacune des IP et de les mettre dans le pare-feu du NAS avec refus pour tous les ports ?

Merci d'avance de vos lumières

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, PiwiLAbruti a dit :

Il est plus pertinent de n'autoriser que les adresses qui peuvent accéder au NAS.

Je vais bloquer DSM en https pour tout le monde sauf quelques IP, mais je crains de me bloquer moi-même quand je suis en déplacement. Je vais donc regarder comment faire du VPN sur ma box avant de le faire.

En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours).

Depuis que j'ai modifié ça, les IP se bloquent une par une !

Il y a 4 heures, cadkey a dit :

Ton compte admin etant désactivé, aucun risque de connexion via ce compte. risque nul dans ce cas de figure.

Je partage ce point de vue, mais je me demandais comment éliminer d'autres attaques provenant de ces IP.

Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, adelac a dit :

En attendant, j'ai renforcé le paramétrage du blocage auto : tentatives de connexion = 2 ; sous 14.400 minutes (10 jours).
Depuis que j'ai modifié ça, les IP se bloquent une par une !

Sauf si je me trompe ce reglage s'applique à toi également.
Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 3 heures, cadkey a dit :

Sauf si je me trompe ce reglage s'applique à toi également.
Si tu fais deux erreurs de mot de passe sur 10 jours glissants, tu ne pourras pas te reconnecter.

Pour parer à cette éventualité, dans Sécurité/Protection, j'ai cliqué sur le bouton "Autoriser/Bloquer la liste" et dans "Liste des permissions" j'ai mis les IP avec lesquelles je me connecte en local. Donc, normalement, ma propre IP ne devrait pas être bloquée même si je me trompe  deux fois.

En quelques heures déjà 52 IP bloquées... ça fait peur !

Lien vers le commentaire
Partager sur d’autres sites

Il y a 13 heures, adelac a dit :

Depuis 24h, j'ai toutes les quelques minutes des tentatives de connexion au compte admin provenant d'adresses IP différentes.

Bonjour,

Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...)

Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre?

Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box?

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

si ça vient de l'étranger tu peux bloquer les ip: les adresses de tes attaques doivent se suivre.

Tu peux n'autoriser que la France dans ton pare-feu (selon tes besoins si d'autres pays sont nécessaires)

et bloquer explicitement les ip par bloc dans les premières règles du pare-feu:

https://cric.grenoble.cnrs.fr/Administrateurs/Outils/CalculMasque/

Modifié par pluton212+
Lien vers le commentaire
Partager sur d’autres sites

Il y a 7 heures, maxou56 a dit :

Bonjour,

Pour quel service/port (c'est visible dans les journaux, par ex DSM, SSH, CIFS...)

Le pare-feu est bin configuré? Pas de SSH ouvert sur internet ou autre?

Pas de DMZ dans la box, routeur vers le NAS? Et pas de "configuration du routeur" activé sur le NAS + UPNP sur la Box?

C'est uniquement pour DSM. Ca vient probablement du fait que j'ai dirigé www.mondomaine.fr vers le NAS. Je vais peut-être retirer ça et ne laisser que les sous-domaines.

Le pare-feu est bien configuré et SSH n'est pas activé.

Pour la DMZ, je n'ai pas encore bien compris le concept et n'ai pas mis ça en œuvre. Je n'utilise pas la fonction de "configuration du routeur" de DSM. Les ports sont activés dans le pare-feu du NAS et des redirections sont faites dans la box vers le NAS.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Depuis que j'ai modifié les notifications journaux en ajoutant "failed" dans le liste j'ai une palanqué de tentatives de connection :

image.png.73b4897d6360d5c4379ebbd7c0e9f7a2.png

et cela change d'IP a chaque 2ème tentative

que faire pour limiter cela ?

le compte Admin est désactivé mais pour le compte system alors là ??

mon assistance de sécurité est bon ...

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 8 minutes, oracle7 a dit :

Je penses que @MilesTEG1 en parlant du port DSM, sous-entendait implicitement le port 5001 et/ou 5000.

Oui mais aussi le port personnalisé s'il a été changé.

Il faut aussi configurer le pare-feu correctement : 

Il faut n'autoriser que les IP de france et de quelques autres pays dont tu as vraiment besoin.

Lien vers le commentaire
Partager sur d’autres sites

Ah oui, il s'agit de DSM et non SSH 😅

Quels sont les ports ouverts pour l'accès à DSM ?

Commence déjà par restreindre les connexions à ton pays de résidence dans le pare-feu. Ton DSM n'a probablement pas besoin d'être visible du monde entier.

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, toutnickel a dit :

par feu comme dans le tuto

Pas vraiment.

Bonjour, SSH, NTP, serveur DHCP... Ouvert pour le monde entier ?? 🥳

 

Toutes ces règles sont à supprimer, pour le réseau local c'est déjà autorisé dans les 3 suivante "10.0.0.0, 192.168.0.0, 172.16.0.0"

Pour la règle c'est plutôt 192.168.0.0/255.255.0.0, pour toi c'est seulement de 192.168.1.0 à 192.168.1.254

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

il y a 20 minutes, toutnickel a dit :

mais les attaques sont uniquement sur le compte admin / DSM 

Il faut le limité à la France par exemple.

Sur les captures on ne voit pas sur quelle règle le port 5001 dépend si c'est la 1 ou la 4 mais c'est pour la planète entière.

 

Sinon pou le pare-feu, plutôt mettre les règles locales en premières, et les autres règles après pour éviter de te bloquer par exemple. 

il y a 20 minutes, toutnickel a dit :

Open Bar c'est beaucoup dire

Un peu quand même (SSH... ouvert pour tout le monde), après ça dépendait ta BOX/Routeur (Régles NAT/PAT, UPNP)

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Bonjour a tous

et merci pour toutes ces informations , j'ai fait un peu de ménage sur les ports ... lol

juste une remarque :

Dans le centre des journaux, avez vous mis dans vos notifications du centre des journaux : failed

et ensuite dans journaux lire en "Local" et "connexion"

peut être que vous serez certainement surpris, car c'est depuis que je l'ai ajouté cette option "failed" que je m'en suis aperçu.

cela serait intéressant de savoir le résultat, en vous remerciant,

très bonne soirée a tous

 

 

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.