Aller au contenu

attaque permanente sur mon NAS depuis MAJ DSM 7.2-64570 Update 1


Messages recommandés

Posté(e)
Le 02/10/2023 à 6:05 PM, Audio a dit :

Merci pour la recette @PiwiLAbruti

J'ai appliqué tout ça, je reviendrais sur le forum pour donner les résultats.

Une autre question: dans quel log de MailPlus Server et à quel emplacement peut-on avoir l'historique des tentatives de connexion ?

Merci

Bonjour,

Comme dit précédemment je reviens sur le forum pour donner un bilan de l'application de la recette de @PiwiLAbruti. Les attaques semblent avoir cessé depuis le 13 novembre.

J'ai fait un suivi précis des IP blacklistées au fur et à mesure des attaques (une tentative de login ratée = IP blacklistée pour toujours), du 2 octobre au 12 novembre voir la répartition dans le temps et la répartition par pays. J'ai quand même été amené à mettre des règles dans le pare-feu de mon routeur venant de certains pays (Chine, Brésil, Inde, Corée du Sud et d'autres) pour les tentatives sur les ports utilisés par MailPlus Server.

Comme quoi lorsqu'on est aux prises avec un botnet, mieux vaut être patient ! En tout cas encore merci @PiwiLAbruti.

IP-Blacklist-Par jour.jpg

IP-Blacklist-Pays.jpg

Posté(e)

Merci pour le retour d'expérience @Audio 👍

Laisse encore le blocage automatique à 1 tentative échouée = 1 blocage. Si au bout de 7 jours consécutifs il n'y a aucun blocage, tu peux configurer des paramètres de blocage moins drastiques (blocage au bout de 3 tentatives échouées par mois, par exemple).

Posté(e)

OK pour l'instant j'ai laissé le réglage à 1 tentative = 1 blocage. J'attends encore avant de revenir aux réglages initiaux, y compris sur le pare-feu du routeur.

Audio

  • 1 mois après...
Posté(e)

Bonsoir

 

Je suis tombé sur ce thread par hasard, c'est intéressant mais ça fait aussi peur. Étant totalement néophyte la question peut sembler bête mais quelqu'un peut me dire comment on voit que son NAS est attaqué?

 

Merci

Posté(e)

Bonjour,

Effectivement dans le Centre des journaux à la rubrique Notification on peut mettre une notification d'erreur de connexion au NAS (authorization failure) comme suit:

 

Notification-CentreJournaux.thumb.jpg.2af9aa0617b30978e83f28aecfa794c5.jpg

C'est ce que j'ai fait et lors de chaque attaque sur MailPlus Server (mais ça marche pour d'autres applications ouvertes à l'extérieur, y compris DSM) j'ai eu un mail d'avertissement donnant l'IP de l'attaquant ainsi que le nom d'utilisateur utilisé.

Cordialement

Audio

 

  • 3 mois après...
Posté(e)

Bonjour un petit déterrage 

Bon j'ai découvert comment on sait qu'on subit une attaque sur son NAS, en fait on reçoit une alerte de la part d'active insight qui vous signale des tentatives de connexions répétées. 

Je viens d'en faire les frais j'ai plusieurs tentatives venant de différentes adresses ip mais aussi de pays sur deux tranches horaires. 

Pour remédier a ça j'ai changé l'adresse par défaut du port HTTPS et HTTP ( ce que j'aurais du faire depuis le début) et j'ai fait les modifications sur ma box pour les ouvertures. J'ai aussi modifié le temps de latence avant de pouvoir accepter une nouvelle tentative. 

Depuis pas de nouvelles tentatives. 

 

Par contre ce matin a la suite d'un contrôle de sécurité mon NAS m'a recommandé de changer l'adresse du port SSH. 

A quoi sert ce port? Je veux bien le changer mais j'ai peur que ça bloque certaines fonctions comme plex en externe ou je ne sais quoi..

 

Dernière question qui n'a rien a voir avec les problèmes au dessus. Pour le contrôle programmé des HDD ( 1 fois par mois ou moi) vous recommandez quoi un check simple ou approfondi?

 

Merci 

Posté(e)

Le changement des ports par défaut est une solution, mais alors quelle complication pour se connecter ! Il faudrait faire plus confiance au pare feu du NAS. Une tentative de connexion ne reste qu'une tentative...

Je vous conseille vivement de lire et mettre en pratique le tuto sur la sécurisation de nos NAS.

Pour le port 22, c'est essentiellement l'accès SSH. Il ne faut surtout pas l'ouvrir vers l'extérieur et si vous n'en avez pas besoin vous pouvez le fermer. Cependant, il est parfois utile de pouvoir se connecter au NAS en mode terminal lorsque l'accès à DSM est bloqué. On parle aussi de la notification pour le port 22 dans le tuto.

Posté(e)

Bonjour

Merci a vous deux pour vos réponses je vais relire le tuto conseiller. Je m'en suis servi a l'origine pour sécuriser mon NAS sauf que je n'ai pas changer les ports par défaut pour ne pas " perturber" l'accès a certains services. 

Apres avoir changé ces ports http et https j'ai juste eu a ouvrir les ports correspondant dans ma box et a mettre a jour mes adresses de connexion depuis Synology mobile sur mon smartphone et tablette. Apparemment l'ensemble de mes services fonctionnent normalement.

Bonne journée

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.