Jump to content
XPEnology Community
  • 0

Попытки взлома открытых наружу NAS


lliax

Question

Сегодня случайно обнаружил в журнале что меня какой-то товарищ, одного IP, уже 2 недели пытается ломануть.

Обратите внимание на лог ниже. Пытается делать по 2 попытки, с перерывами по 7 минут. Использует популярные видимо имена пользователей. Пробует разные протоколы. При этом попытки о неудачном входе у меня не отражаются из-за того что лимиты неудачных попыток за заданное время не превышаются.

Имейте это ввиду. Советую исключить из пользователей любые имена из подобного списка. Проверить лимиты количества попыток и времени на неудачный вход. Я себе выставил несколько попыток с одного IP за месяц. Теперь не проскочит.

image.thumb.png.78b5eaaec3daea4f4a6a03bf5d947565.png

Link to comment
Share on other sites

11 answers to this question

Recommended Posts

  • 1

Несколько раз такое было и лично я лечил это запуском приложения EZ-internet

Видимо приложуха что то перенастраивает, но уже месяцев семь Китайцы (их Айпишники ) меня не беспокоят

Link to comment
Share on other sites

  • 1
В 01.12.2022 в 14:07, Olegin сказал:

1. Никогда не пробрасывайте 22 порт.

2. Пользуйтесь reverse-proxy и используйте только 443 порт

ну вот у меня он и не проброшен а из моего лога видно что попытки на ssh идут, на самом сино вообще ssh и телнет вырублены

и как понять по логам на какой порт они ломились?

виновник найден - SFTP. если открыть доступ к серверу по SFTP на любой порт, в моем случае это был 2022, то putty легко иницирует ssh подключение и в логах появляется попытка конекта

Edited by -iliya-
Link to comment
Share on other sites

  • 0
В 28.11.2022 в 23:19, lliax сказал:

Сегодня случайно обнаружил в журнале что меня какой-то товарищ, одного IP, уже 2 недели пытается ломануть.

Обратите внимание на лог ниже. Пытается делать по 2 попытки, с перерывами по 7 минут. Использует популярные видимо имена пользователей. Пробует разные протоколы. При этом попытки о неудачном входе у меня не отражаются из-за того что лимиты неудачных попыток за заданное время не превышаются.

Имейте это ввиду. Советую исключить из пользователей любые имена из подобного списка. Проверить лимиты количества попыток и времени на неудачный вход. Я себе выставил несколько попыток с одного IP за месяц. Теперь не проскочит.

image.thumb.png.78b5eaaec3daea4f4a6a03bf5d947565.png

у меня таких уже 19 000 ip набралось - которые пытаются бомбить мой сервер.

часть Ip отсеивает микротик по приманкам, часть я ежедневно по 50-100шт добавляю сам из тех что сино показывает в логе

56730311_.thumb.png.b14aab5239370b6d77c59de5a223f800.png

вот часть только за 2 дня

Link to comment
Share on other sites

  • 0
1 час назад, i926 сказал:

Несколько раз такое было и лично я лечил это запуском приложения EZ-internet

Видимо приложуха что то перенастраивает, но уже месяцев семь Китайцы (их Айпишники ) меня не беспокоят

а разве в новых DSM есть EZ-internet - у меня не в комплекных ни в пакетах его нет

Link to comment
Share on other sites

  • 0
59 минут назад, -iliya- сказал:

а разве в новых DSM есть EZ-internet - у меня не в комплекных ни в пакетах его нет

ffcf5ff36f733497769887c96e613c12.jpg

e9bcb722faa095e3eeae7969f8058f50.jpg

 

https://kb.synology.com/ru-ru/DSM/tutorial/How_to_host_a_website_on_Synology_NAS#x_anchor_id4

 

По сути, аналог EZ-Internet, только обзывается по другому и расположен в ином месте

 

Link to comment
Share on other sites

  • 0
13 минуты назад, i926 сказал:

ffcf5ff36f733497769887c96e613c12.jpg

e9bcb722faa095e3eeae7969f8058f50.jpg

 

https://kb.synology.com/ru-ru/DSM/tutorial/How_to_host_a_website_on_Synology_NAS#x_anchor_id4

 

По сути, аналог EZ-Internet, только обзывается по другому и расположен в ином месте

 

понятно - это на самом деле не очень хорошая штуковина.
1.  он для известных ему роутеров пробрасывает все свои порты
2. или пытается Upnp пробросить что еще хуже.

 262561541_.thumb.png.1d93683a61a31cc88cfcb33ddb73b62b.png

такое количество портов может пробросить - что совсем не безопасно

в роутере лучше всего отрубить upnp и пробросить только нужные порты наружу от сино, + еще и поменять стандартные на что то другое

Edited by -iliya-
Link to comment
Share on other sites

  • 0
3 минуты назад, -iliya- сказал:

такое количество портов может пробросить

Ну так там же можно и вручную пробрость то, что необходимо. Но это уже в рамках обсуждения функционала этой приблуды.

Я же упомянул приложение относительно полезности блокировки лезущих к нам китайцев. Мне реально помогло.

А то ведь тоже имел отчёты по попыткам взлома объёмом, сравнимым с Войной и Миром

Link to comment
Share on other sites

  • 0

Для быстрой проверки лучше использовать Security Advisor, он стоит по умолчанию в DSM 7.

Порты приложений желательно менять от стандартных, особенно к DSM и размещать переадресацию на роутере вручную. У меня частенько после перезапуска роутера порты upnp не поднимаются сразу автоматом.

Link to comment
Share on other sites

  • 0
Вопрос в этой ветке был отвечен и решение найдено. Ветка закрыта. Если есть дополнительные вопросы, пожалуйста откройте новую ветку.
Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...