Aller au contenu

Nouvelle attaque force brute ?


NAStucieux

Messages recommandés

Il y a 3 heures, PiwiLAbruti a dit :

Tant que vous n'aurez pas restreint suffisamment l'exposition de DSM (ou SRM) sur internet via le pare-feu, les tentatives d'instrusions continueront d'atteindre votre NAS.

Je suis tout à fait d'accord avec ceci.
Je n'ai aucune tentatives loguées dans DSM ou dans SRM. 
Mon NAS n'est exposé sur le net qu'avec le port 443 et 6690. Le routeur en frontal lui ne laisse passer que ces deux ports, mais reçoit les connexions VPN (OpenVPN, L2TP, et SSL VPN). Tous les deux (NAS et RT) n'acceptent que les IP FR.

Alors je sais que je ne suis pas à l'abris d'une attaque depuis une IP FR qui est un VPN donc derrière un attaquant d'ailleurs, mais là je n'ai rien constaté.

 

il y a 16 minutes, Dex a dit :

Synology DEVRAIT faire qque chose, à minima une communication. J'ai pas fait le compte mais c'est des milliers d'équipements qui sont vérolés...

C'est vrai qu'ils devraient faire une communication... Mais les constructeurs se ressemblent tous, et ils attendent je pense d'avoir suffisamment d'éléments pour avertir... ou pas 😅

Lien vers le commentaire
Partager sur d’autres sites

Honnêtement, j'ai mis un ban sur les IP non FR juste pour la forme et j'ai eu une dizaine de tentative d'IP FR rien que cet aprèm. 
Changer les ports ?, aucun port standard n'est actuellement utilisé en externe sur mon NAS en 6.2, les redirections sont faites dans la box entre des ports farfelus et ceux standards du syno.

Je ne pense pas que les NAS de ce réseau de robot aient été contaminés par "vol" du compte admin ou autre.
Il y en a même un qui m'a grillé mon IP à mon premier essai de mot de passe avec le compte "YouHaveBeenHacked" (qu'il verra dans les logs si il les regarde).
Il y a eu un gros trou de sécu en 6.2 (entre autre) et leur contamination a due avoir lieu à ce moment là. C'est juste incroyable que Syno ne fasse absolument rien pour les prévenir alors qu'il leur suffit d'avoir un simple pot de miel pour récolter des masses d'IP (ce que je vais faire avec une VM de syno en 6.2 si ca continue).

 

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, MilesTEG1 a dit :

Tous les deux (NAS et RT) n'acceptent que les IP FR.

C'est effectivement le minimum à faire (limiter au pays de résidence).

Selon les usages externes on peut réduire drastiquement les accès (ce que je fais). Mais c'est du cas par cas, et les réseaux ne sont pas toujours évidents à identifier (bgpview.io et les logs de connexion de DSM/SRM aident grandement à affiner les réseaux).

Ça m'a par exemple permis de définir les réseaux suivants (en gras) pour Free mobile :

  • 37.160/12 (non affiné, un partie est utilisée pour Free mobile en Italie 🇮🇹)
    • 37.164/14  
    • 37.168/14  
    • 37.172/15
  • 2a0d:e480::/29 (non affiné)
    • 2a0d:e487::/35

Ou pour Orange mobile :

  • 92.128/10 (non affiné)
    • 92.184.96/19
  • 2a01:cb04::/30 (non affiné)

Pour voir les authentifications réussies, vous pouvez parcourir les logs de connexion de DSM avec SQLite (en root). La commande suivante va afficher les 10 dernières authentifications réussies :

# sudo sqlite3 -header -column /var/log/synolog/.SYNOCONNDB "SELECT strftime('%Y-%m-%d %H:%M:%S',datetime(time,'unixepoch')) AS datetime,msg AS message FROM logs WHERE msg LIKE '% logged in successfully %
' ORDER BY time DESC LIMIT 10;"

Tout comme @MilesTEG1, ça fait longtemps que je n'ai pas vu de tentative d'intrusion.

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

Il y a 1 heure, Geoff1330 a dit :

Je viens de regarder mes log et je n'ai eu aucune attaque depuis que j'ai changé mes paramètres.

Pour être exact, les attaques existent toujours. C'est juste que le pare-feu les bloque avant qu'elles puissent atteindre le moindre service du NAS.

Lien vers le commentaire
Partager sur d’autres sites

Nas en DSM 6 je reçois aussi les notifs. Ce qui m’insupporte c’est de ne pas pouvoir les désactiver… 


En réalité, mon Nas est ouvert au monde comme beaucoup des serveurs que je gère depuis des années (avec du SSH, du S/FTP/S, du web, du RDP, du SIP, du SMTP/IMAP…) sans jamais avoir connu d’intrusion.


Ce type d’attaque est permanant en règle générale pour quiconque gère des serveurs web ouverts, la différence ici c’est que c’est ciblé sur DSM. Mais sur mes serveurs (Windows et CentOS) il ne se passe pas une journée dans l’année sans que je reçoive des dizaines, voir des centaines de requêtes de bots. Je ne regarde même plus les logs ou la liste des IPs ban (sauf en cas de doute d’intrusion).


Mais contrairement à ce qui a été dit, je ne pense pas qu’il y ait le moindre risque pour quiconque dispose d’un mot de passe fort (très fort) et d’un blocage IP, ainsi que d’un pare-feu qui limite les ports au strict nécessaire, même sans aucune règles géoloc.


Je n’encourage évidement personne à ouvrir son Nas vers l’extérieur, si vous n’en n’avez pas l’utilité ne le faites pas, aussi si vous avez la possibilité de configurer un VPN, c’est évidemment préférable.


Cette notif apparait probablement parce que les adresses IPs sont multiples, du coup le compte admin se bloque au bout de 5 tentatives de 5 IPs différentes avant que le serveur ne ban les IP. Si les bots effectuent des brut force, c’est uniquement parce qu’il n’ont aucune faille à exploiter, sinon ils ne feraient pas tout ce raffut.
 

Lien vers le commentaire
Partager sur d’autres sites

Le 13/10/2022 à 14:43, Dex a dit :

Synology DEVRAIT faire qque chose, à minima une communication. J'ai pas fait le compte mais c'est des milliers d'équipements qui sont vérolés...

Tu voudrais que Synology fasse quoi ? les utilisateurs qui expose leurs dsm directement sur le web doivent prendre d'eux même conscience des conséquences que cela implique...

Ce problème existe depuis des années et on ne fait que de le répéter alors oui actuellement il y a une vague qui vise les Synology, mais la faute à qui ?

On ouvre pas directement le port de son nas au monde, même en ip française uniquement, on le répète suffisamment la location d'un vps en France ne coute rien pour ensuite attaqué, on passe par un sous domaine.

Lien vers le commentaire
Partager sur d’autres sites

J'ai expliqué ce que syno devrait faire.

Historiquement ils y avait une faille en 6.2, c'est cette faille qui est principalement exploitée.

99% des fonctionnalités des syno sont donc inutiles si je te suis. Autant acheter un DD usb au final.

Lien vers le commentaire
Partager sur d’autres sites

Le 16/10/2022 à 11:58, PiwiLAbruti a dit :

@Brunchto, est-ce que seul le port tcp/25 est ouvert sans limitation ?

Les ports client (tcp/587 et tcp/993) doivent être restreints dans le pare-feu.

J'ai restreint les ports clients dans le firewall. j'ai toujours les tentatives de connexion. je pense que c'est sur le smtp.

pas mal de flux vers le port 1194 sur mon routeur aussi.

 

Lien vers le commentaire
Partager sur d’autres sites

Le 16/10/2022 à 12:27, Einsteinium a dit :

Tu voudrais que Synology fasse quoi ? les utilisateurs qui expose leurs dsm directement sur le web doivent prendre d'eux même conscience des conséquences que cela implique...

Au moins donner la possibilité de désactiver la notif comme pour les blocages IP. Perso j'ai cherché et j'ai rien trouvé en 6.2.

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonsoir,

 

Depuis quelques semaines, j'avais des latences au niveau de ma co wifi.

Plusieurs Reset box... Je suis même allé jusqu'au changement de la livebox (Orange) car elle était ultra longue à répondre depuis l'interface physique et l'interface web.

Résultat, après changement, le problème persiste mais reste aléatoire.

Après appel à Orange, il me dise qu'il y'a des grosses coupures/pertubations sur ma ligne (donc en amont de mon réseau local).

1 semaine après, je ne reçois plus le mail automatique de la sécurité de mon NAS. Je m'inquiète, je veux me connecter à l'ip local de mon nas pour voir les logs DSM, et surprise, plus accessible. Plus de ping, plus rien... Tout les voyants sont pourtant au vert.

En mode ad-hoc, mon nas à récupéré une IP locale en 169.254.18.230. Mais impossible de me connecter sur l'interface web, il ne répond toujours pas au ping. Et après un scan des ports avec nmap, je n'ai malheureusement rien de concluant...

 

Est-il possible de reprendre la main dessus ? Ou si un formatage est nécessaire ?

J'hésite à extraire un disque pour le plug en USB, et voir si les fichiers sont lock ou non, mais un peu risqué...

 

À vous lire,

 

Ma config était la suivante :

-DSM à jour 7.X

-port 443 ouvert sur la box, et pare-feu en mode "élevé"

-reverse proxy du 443 vers un port random (26XXX) sur le NAS (uniquement video station d'ouvert sur le web)

-pare feu correctement configuré (autorisé ip france, ip local, tout le reste refusé) + blocage ip auto 5tentas

-compte admin désactivé + auth 2 facteur activé + mdp fort (10carac + symbole)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 9 heures, Einsteinium a dit :

@malinious et donc sans le nas connecté à ta box plus de problème ? Si oui… coupe le port 443 entrant dans la box et rebranche le pour voir

J'ai tenté hier soir, mais le problème persiste dès que je rebranche le nas sur mon réseau local. Même en désactivant la règle 443 sur la box. Ca fout un bordel dans le dhcp de la box, et mes autres appareils sont déconnectés/reconnectés constamment. Du coup, je l'ai isolé du réseau, et totalement éteint.

Je viens de faire un ticket chez Syno, je vous tiens au courant

Lien vers le commentaire
Partager sur d’autres sites

Il y a 12 heures, malinious a dit :

-pare feu correctement configuré (autorisé ip france, ip local, tout le reste refusé)

Si le réseau 169.254.0.0/16 n'est pas autorisé par le pare-feu, il n'y a aucune chance que tu puisses te connecter au NAS avec une adresse appartenant à ce réseau.

Connecte-le au réseau local (non ad-hoc), et vérifie s'il apparaît des les baux DHCP de la Livebox. Ça l'indiquera au passage l'adresse IP qui lui est attribuée.

Est-ce que le NAS bénéficie d'un bail DHCP statique ? (configuré dans la Livebox)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 10 heures, PiwiLAbruti a dit :

Si le réseau 169.254.0.0/16 n'est pas autorisé par le pare-feu, il n'y a aucune chance que tu puisses te connecter au NAS avec une adresse appartenant à ce réseau.

Connecte-le au réseau local (non ad-hoc), et vérifie s'il apparaît des les baux DHCP de la Livebox. Ça l'indiquera au passage l'adresse IP qui lui est attribuée.

Est-ce que le NAS bénéficie d'un bail DHCP statique ? (configuré dans la Livebox)

En effet, réponse de Syno était de réinitialiser les param réseau du nas (en cliquant sur le bouton derrière).

J'ai pu me reconnecter dessus via syno assistant. Oui il avait un bail dhcp fixe dans la livebox.

Tout à l'air d'être rentré dans l'ordre, cependant, je n'ai pas encore rouvert le port 443 dans la box. J'attends quelques jours pour stabiliser la situation. je n'ai rien trouvé d'intêressant dans les logs du syno...

Je pense donc plus à un problème globale sur ma ligne fibre (car Orange a détecté des grosses coupures/latences en amont de ma box, mais sans plus de détails) qui aurait engendré un soucis de dhcp sur tout mon réseau local (mais ca me paraît bizarre). Ou alors une tentative d'attaque massive qui aurait fait flanché la box et donc le réseau derrière ? Orange na pas voulu me donner plus d'informations.

 

En tout cas merci du retour,

Lien vers le commentaire
Partager sur d’autres sites

Il me semble qu'on avait déjà vu le cas d'une Livebox dont le serveur DHCP ne distribuait plus d'adresses sur le réseau local lorsque la connexion internet fonctionnait mal (ou pas du tout), ce qui est évidemment anormal.

Pour ceux qui ont une Livebox, c'est un comportement que vous avez déjà constaté ? ("This is not a bug, this is a feature" 🤓)

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, PiwiLAbruti a dit :

Il me semble qu'on avait déjà vu le cas d'une Livebox dont le serveur DHCP ne distribuait plus d'adresses sur le réseau local lorsque la connexion internet fonctionnait mal (ou pas du tout), ce qui est évidemment anormal.

Pour ceux qui ont une Livebox, c'est un comportement que vous avez déjà constaté ? ("This is not a bug, this is a feature" 🤓)

J'ai eu le cas quand j'avais une LB4, et que la connexion fibre a dysfonctionné...
J'ai redémarré la box comme le demandait le support, et là, plus rien ne fonctionnait : ni wifi, ni DHCP... elle ne devait pas démarrer l'OS jusqu'au bout, donc aucun service n'était fonctionnel...
J'ai du mettre une application sur mon PC pour avoir un serveur DHCP temporaire...

C'est depuis cet évènement que j'ai acheté peu de temps après le synology RT2600AC pour pallier ce genre de problème.

Ça m'a permis aussi de ne pas avoir de soucis au changement de FAI Orange -> Free qui s'est passé crème.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.