[Synology] Attaque au compte admin depuis hier soir

[Choco]

Bonjour, je suis attaqué depuis hier soir sur mon NAS Synology par des bots qui tentent de se connecter sur mon compte Admin (qui est désactivé).
j'ai renforcé mon pare-feu pour bloquer toutes les IP externes temporairement.
J'ai bien entendu déjà appliqué les préco de cet article ->

NAS Synology - Attaques StealthWorker en cours... - Cachem

Hier, certains d'entre vous nous ont remonté des alertes étranges sur leurs NAS. Des pirates semblent faire des attaques de type brute-force sur les NAS

www.cachem.fr

Y a t il de nouvelles preco pour améliorer et faire taire ces attaques ?

 

[Dreambox]

Moi aussi je subis ces attaques depuis hier 20H00
quelqu'un à des nouvelles ?

 

[EVO]

Hello,
On m'en a effectivement parlé dans la nuit vers minuit /1h.
Ce sont principalement des IPs allemande ?

 

[Choco]

J'ai listé les IP qui m'ont attaqué, extraites du journal des connection de mon NAS, si ça peut aider.

L'attaque est tjr en cours mais bien plus eparse !

 

[EVO]

J'ai listé les IP qui m'ont attaqué, extraites du journal des connection de mon NAS, si ça peut aider.

Merci, je vois de la Chine, de la corée du sud, ... tu n'a pas de blocage géographique actif sur ton pare-feu ?

 

[Choco]

je l'ai rajouté ce matin

 

[Darksky]

Bonjour,

Idem chez moi depuis hier 19h.

Très longue liste, j'ai raccourcis les tentatives max dans le blocage déjà.

Je vais renforcer le pare-feu car cela provient de dizaines de pays différents en même temps.

J'ai carrément éteint le NAS de la nuit mais ça a repris ce matin dès que je l'ai redémarré.

Je suis preneur si jamais vous avez d'autres conseils/solutions

 

[Neo974]

Je suis preneur si jamais vous avez d'autres conseils/solutions

Personnellement j'ai bloqué tout les pays sauf France et USA ( le vpn du boulot localise parfois aux usa).

 

[Darksky]

Merci

J'ai songé au vpn, mais ce serait plus complexe pour les membres de la famille a utiliser.

Je vais quand même me plonger un peu dans ce que je peux faire.

 

[Neo974]

Je vais quand même me plonger un peu dans ce que je peux faire.

Dans les paramètres du pare-feu, tu peux bloquer tout les pays sauf la France.

 

[Darksky]

Dans les paramètres du pare-feu, tu peux bloquer tout les pays sauf la France.

J'ai déjà autorisé uniquement Belgique et France. J'ai bloqué certains pays "sensibles" mais pas tous car de mémoire y a un maximum dans une règle.

Ceci-dit dans les logs j'ai des attaques depuis des IP belges aussi (Allemagne, Australie, bref de partout).

Est-ce qu'il y a une règle générale qui permettrait de tout bloquer sauf XXX ou alors je dois en créer plusieurs pour toutes les bloquer?

 

[Neo974]

Est-ce qu'il y a une règle générale qui permettrait de tout bloquer sauf XXX ou alors je dois en créer plusieurs pour toutes les bloquer?

Tu peux a la fin mettre une règle qui bloque tout. ( tout ce qui n'aura pas été autorisé sur les lignes plus haut sera donc bloqué)


Attention Donc à ne pas bloquer les ip l'an pour que tu ne sois pas embêter.

 

[Darksky]

Tu peux a la fin mettre une règle qui bloque tout. ( tout ce qui n'aura pas été autorisé sur les lignes plus haut sera donc bloqué)


Attention Donc à ne pas bloquer les ip l'an pour que tu ne sois pas embêter.

Une MAJ de DSM est en train de se faire, je configure ça juste après

 

[Darksky]

J'ai renforcé (je crois...) le pare-feu:



Ici peut-être que les 2 dernières règles sont superflues vu que je bloque tout avant, mais c'était ma conf de départ du coup j'ai laissé en l'état.

Et puis dans le LAN1, dans le doute:



Ceci-dit, ça continue de tenter d'accéder au NAS, bien que plus faiblement on dirait. A voir d'ici quelques heures
Et sur le forum de Syno, cela semble relativement "général" comme attaque.

 

[MilesTEG]

Moi je simplifie la gestion des règles : tout dans "Toutes les interfaces" vu que je n'ai qu'une prise LAN utilisée.
@Darksky
Tes règles de refus de connexion sur certains pays ne sont pas super car il faut cocher plein de pays manuellement pour les refuser... alors que si tu n'autorises que ce qui est nécessaire, tu peux alors refuser à la fin tout de partout plus simple ^^

 

[Darksky]

Merci miles,

En effet comme je l'ai dit j'ai laissé ces règles mais juste avant, la règle "tous" a été ajoutée.

Je les ai laissées plus pour dire, en effet.
Édit: depuis ces réglages, je n'ai plus d'alertes. Croisons les doigts

 

[n0n0]

Bonjour,
Je confirme !
Ca a commencé chez moi le 10/10 vers 23h et ça s'est arrêté hier vers 12h hier.
En allant dans Panneau de configuration / Sécurité / Compte / Protection du compte et en mettant "Annuler la protection du compte" à 999 ça calme les attaques !

 

[Choco]

Et hop, c'est reparti !

 

[opossums]

j'ai aussi des tentatives de connexions en OPENVPN, dans le lot j'ai des IP Française, j'ai contacté la société qui les gères on va voir ce que ça donne

 

[Darksky]

Ah... Je vais aller contrôler du coup. Jusque-là pas de notifs

Édit: je confirme, depuis 11h26 c'est reparti