Aller au contenu

Nouvelle attaque force brute ?


NAStucieux

Messages recommandés

Il y a 2 heures, PiwiLAbruti a dit :

Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès".

c'est par défaut ce paramètre, car il me semble que j'y ai jamais touché pour ma part.
Non je viens de vérifier sur un autre nas et c’était pas le cas

Modifié par firlin
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Pour info, seul mon NAS en 6.2 est attaqué, pas celui en 7.x mais il n'a pas la même IP externe nos plus. 

Jusqu'à maintenant 100% des IP bloquées que j'ai testées ont un Syno en 6.2 qui répond derrière... Ca me semble louche comme coïncidence.

Je viens de déconnecter mon nas en 6.2 d'internet (Il me servait de sauvegarde externe 😞 ) en attendant que cela se tasse ou que Syno publie que chose.

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Il y a 6 heures, PiwiLAbruti a dit :

Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées.

À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330.

edit : Ça m'apprendra à faire la moitié des tests 😅

Protocole de test :

  1. Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement.
  2. Ajouter en-dessous une règle qui bloque tout.
  3. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès".
  4. Valider les paramètres de pare-feu.
  5. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global].

Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut).

Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ?

Je vais modifier

edit : je mettrais en rouge demain, sur mobile impossible.

Lien vers le commentaire
Partager sur d’autres sites

Ça c'est pas bon @Dex, ça voudrait dire qu'un paquet de NAS ont été infectés 😕

Apparemment ça concernerait les NAS sous DSM 6. Tu peux m'envoyer la liste de tes IP bloquées en MP, je vais identifier les appareils concernés et faire un retour à Synology (sans les IP évidemment).

Ca fait longtemps que DSM 6 n'a pas reçu de mise à jour de sécurité. Le plus probable est qu'une faille ait été exploitée massivement.

Lien vers le commentaire
Partager sur d’autres sites

Le pire est que sur certains NAS, quand tu te connectes dessus, tu te retrouves avec la page premier accès comme quand tu l'installes la première fois... Ca pue. J'ai coupé (supprimé les redirections au niveau de la bos) le NAS en 6.2 qui n'est pas chez moi, j'ai généré un CSV hier mais je suis pas chez moi, je te passe des screen shot en MP. A priori, il n'y a pas que les 6.2 d'attaqués, même si c'est majoritaire.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, PiwiLAbruti a dit :

Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées.

À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330.

edit : Ça m'apprendra à faire la moitié des tests 😅

Protocole de test :

  1. Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement.
  2. Ajouter en-dessous une règle qui bloque tout.
  3. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès".
  4. Valider les paramètres de pare-feu.
  5. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global].

Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut).

Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ?

Merci beaucoup pour ta participation et tes analyses.

Lien vers le commentaire
Partager sur d’autres sites

Il y a 18 heures, PiwiLAbruti a dit :

Suite à un test, je m'auto-réponds : Une règle "Refuser tout" dans la section [Globale] bloque bien le trafic et les règles d'interface ne sont pas évaluées dans ce cas précis ne bloque pas le trafic et les règles d'interface sont bien évaluées.

À partir de là je ne sais pas ce qui laissait passer le trafic chez @Geoff1330.

edit : Ça m'apprendra à faire la moitié des tests 😅

Protocole de test :

  1. Ajouter une règle globale qui autorise tout accès depuis votre adresse IP locale unqiuement.
  2. Ajouter en-dessous une règle qui bloque tout.
  3. Dans la section [LAN], cocher "Si aucune règle n'est remplie : Autoriser l'accès".
  4. Valider les paramètres de pare-feu.
  5. Accéder au NAS depuis une autre machine (adresse IP différente), ça fonctionne malgré la règle de blocage de la section [Global].

Conclusion : Il est urgent de mettre à jour le tutoriel sur la sécurité pour préciser qu'il faut cocher "Si aucune règle n'est remplie : Refuser l'accès" dans chaque section d'interface ("Autoriser l'accès" par défaut).

Tu peux t'en charger @Einsteinium ou seul @Fenrir peut éditer le tutoriel ?

Bonjour @PiwiLAbruti

Je viens de réaliser ton protocole de test. Et bien chez moi, la dernière ligne qui refuse tout sur tout fonctionne, malgré que dans les interfaces dédiées j'ai rien mis en refuser :

S1M0qze.png

 

REwLJdv.png

J'ai modifié ces règles depuis mon pc windows, IP = 192.168.2.199

et depuis mon mac en IP = 192.168.2.25 je ne peux accéder au NAS : Ce site est inaccessible.

Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne.

Lien vers le commentaire
Partager sur d’autres sites

Pour bien comprendre,

il est donc préferable de ne pas faire les règles dans la section Globale, mais sur chaque interphase.

je peux donc faire exactement les mêmes règles dans l'interphase LAN1 puis supprimer dans Globale?

Que dois-je mettre comme règles pour l'interphase VPN? y a t-il un lien avec l'interphase LAN (le VPN utilise son propre range IP, mais cela passe par la prise LAN...)

il y a 2 minutes, MilesTEG1 a dit :

J'ai modifié ces règles depuis mon pc windows, IP = 192.168.2.199

et depuis mon mac en IP = 192.168.2.25 je ne peux accéder au NAS : Ce site est inaccessible.

Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne.

Es-tu en DSM 6.2 ou 7? Visiblement, cela a un impacte.

Lien vers le commentaire
Partager sur d’autres sites

il y a 42 minutes, Dex a dit :

Le pire est que sur certains NAS, quand tu te connectes dessus, tu te retrouves avec la page premier accès comme quand tu l'installes la première fois... Ca pue. J'ai coupé (supprimé les redirections au niveau de la bos) le NAS en 6.2 qui n'est pas chez moi, j'ai généré un CSV hier mais je suis pas chez moi, je te passe des screen shot en MP. A priori, il n'y a pas que les 6.2 d'attaqués, même si c'est majoritaire.

Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane (Voir plus bas, un seul essai par IP sur mon 7.1 donc pas de blocage vue son paramétrage).

Ca a commencé le 10/10 à 20h14, ca c'est arrêté hier à 12h59. @PiwiLAbruti je te passe les logs.

Modifié par Dex
Lien vers le commentaire
Partager sur d’autres sites

il y a 12 minutes, Geoff1330 a dit :

Pour bien comprendre,

il est donc préferable de ne pas faire les règles dans la section Globale, mais sur chaque interphase.

je peux donc faire exactement les mêmes règles dans l'interphase LAN1 puis supprimer dans Globale?

Que dois-je mettre comme règles pour l'interphase VPN? y a t-il un lien avec l'interphase LAN (le VPN utilise son propre range IP, mais cela passe par la prise LAN...)

Es-tu en DSM 6.2 ou 7? Visiblement, cela a un impacte.

 

Mon 920+ est en DSM 7.1.1-42962 Update 1 (Notes de version)

 
il y a 9 minutes, Dex a dit :

Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane.

 

Pour être sûr que je les ai bien ces notifications, c'est où ?

Lien vers le commentaire
Partager sur d’autres sites

il y a 24 minutes, Dex a dit :

Update, mon Syno en 7.1 a été attaqué hier aussi, juste qu j'ai pas activé les notifs... Quel Ane (Voir plus bas, un seul essai par IP sur mon 7.1 donc pas de blocage vue son paramétrage).

Ca a commencé le 10/10 à 20h14, ca c'est arrêté hier à 12h59. @PiwiLAbruti je te passe les logs.

Je confirme, pareil chez moi en 7.x et un arret vers 13h

Lien vers le commentaire
Partager sur d’autres sites

il y a une heure, MilesTEG1 a dit :

Pourrais-tu refaire ton test ? car chez moi, cette dernière règle de refuser tout sur tout fonctionne.

Je fais les tests avec un ping continu vers un NAS en DSM 6. C'est un mauvais test car le ping continu fonctionne même si un blocage a été activé.

Il faut stopper le ping continu quelques secondes et le relancer pour constater le blocage.

Conclusion : Une règle de blocage dans la section [Global] bloque bien le trafic.

Il y a 13 heures, Einsteinium a dit :

Je vais modifier

edit : je mettrais en rouge demain, sur mobile impossible.

Finalement, fausse alerte (cf. ci-dessus). Ça restera malgré tout une bonne pratique.

Lien vers le commentaire
Partager sur d’autres sites

--------

Après quelques investigations (merci @Dex pour les logs), les tentatives d'intrusion sont menées par un bon vieux botnet constitué de diverses machines. L'écrasante majorité d'entre elles sont des NAS Synology fonctionnant sous DSM 6. Il y a aussi des NAS QNAP, des routeurs Draytek, des pares-feu SonicWall, des serveurs Microsoft IIS7 ... Certaines d'entre elles sont même encore cryptolockés par DeadBolt.

Les tentatives viennent de tous les pays possibles, France/Belgique/Suisse incluses.

Les NAS Synology depuis lesquels sont lancées les tentatives d'intrusion ont presque tous les ports tcp/5000 et/ou tcp/5001 ouverts aux quatre vents.

Le point commun entre toutes ces machines est l'absence de restriction d'accès par IP (= absence de pare-feu correctement configuré). Vous aurez beau ajouter n'importe quelle sécurité en aval de celle-ci (mot de passe fort, 2FA, blocage auto IP, ...), elle sera inopérante car il suffit qu'un service vulnérable soit atteignable pour qu'il soit détecté et que les failles puissent être exploitées.

Tout ça pour souligner l'extrême importance de bien configurer son pare-feu (au minimum un filtrage GeoIP limité au pays de résidence), surtout dans le contexte actuel où les tentatives d'instrusion sont de plus en plus fréquentes.

Lien vers le commentaire
Partager sur d’autres sites

Petite question concernant les notifications du pare-feu:

A titre de test j'ai mis dans les paramètres

1ere ligne : Tous _ Tous _ mes IP du réseau local _ Autoriser

2eme ligne: Tous_Tous_Tous_Refuser

Et en cherchant à me connecter avec mon smartphone( en 4G), celui-ci a mouliné mais n'a pas pu se connecter

Donc cela fonctionne apparemment comme prévu

Mais je n'ai eu aucune notification du NAS (DSM 7.1.1-42962 Update1) alors que la case "Activer les notifications du pare-feu" est bien activée

Avez-vous des notifications quand le pare-feu bloque une connexion non autorisée ?

Lien vers le commentaire
Partager sur d’autres sites

Il y a 2 heures, NAStucieux a dit :

Avez-vous des notifications quand le pare-feu bloque une connexion non autorisée ?

Bonjour,

Non aucune notification.

 

Il y a 2 heures, NAStucieux a dit :

alors que la case "Activer les notifications du pare-feu" est bien activée

Il vaut mieux le désactiver, c'est lorsque tu installes, actives des paquets il y auras une notification pour créer des règles pare-feu automatiquement, et attention il faudra bien bien faire attention, soit décocher puis Ok, soit cliquer sur annuler.

Modifié par maxou56
Lien vers le commentaire
Partager sur d’autres sites

Tant que vous n'aurez pas restreint suffisamment l'exposition de DSM (ou SRM) sur internet via le pare-feu, les tentatives d'instrusions continueront d'atteindre votre NAS.

@Dex : Les logs que tu mas envoyés contiennent environ 500 adresses IP correspondant à une 40aine de pays. Est-ce qu'une exposition aussi large de ton DSM est nécessaire ?

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

il y a 3 minutes, PiwiLAbruti a dit :

Tant que vous n'aurez pas restreint suffisamment l'exposition de DSM (ou SRM) sur internet via le pare-feu, les tentatives d'instrusions continueront d'atteindre votre NAS.

@Dex : Les logs que tu mas envoyés contiennent environ 500 adresses IP correspondant à une 40aine de pays. Est-ce qu'une exposition aussi large de ton DSM est nécessaire ?

J'avais jamais mis de restriction jusqu'à présent, j'en ai mis une hier sur le 6.2. 

C'est quand même dommage de n'avoir aucun moyen de prévenir les proprios de ces synos qu'ils sont infectés, au moins pour les Français.
 

Lien vers le commentaire
Partager sur d’autres sites

il y a 5 minutes, Dex a dit :

C'est quand même dommage de n'avoir aucun moyen de prévenir les proprios de ces synos qu'ils sont infectés, au moins pour les Français.

Il y aurait un moyen, publier un site qui indique au client si son adresse IP (présente les en-têtes de requête) a été détectée comme source d'attaque de botnet. Un tel site existe peut-être déjà.

Pour automatiser tout ça, il faudrait centraliser les adresse IP bloquées par les NAS afin de constituer une base de comparaison. J'ai déjà tous les éléments techniques pour le faire, mais l'intérêt reste limité.

Lien vers le commentaire
Partager sur d’autres sites

Synology pourrait le faire, il connait ton IP externe et même si c'est une erreur legit, ils pourraient t'afficher un message comme quoi ton IP a essayée de se connecter à un autre NAS avec une erreur.

Il suffirait que tu les autorises à recuperer les log des rejets sur ton NAS (ce que je ferais sans pb).

Je viens de récupéré une IP d'une boite avec logo sur le page d'accueil de leur syno en DSM 6.2, "leader en sécurité" sur leur site web. Vais essayer de les contacter. 

David

Lien vers le commentaire
Partager sur d’autres sites

Synology pourrait même intégrer ça dans le Conseiller de sécurité.

il y a 13 minutes, Dex a dit :

Je viens de récupéré une IP d'une boite avec logo sur le page d'accueil de leur syno en DSM 6.2, "leader en sécurité" sur leur site web.

😂

Modifié par PiwiLAbruti
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.