synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУправление Системой › Атаки на dsm

Атаки на dsm

sampaul · 24.08.2020

Здравствуйте!

Помогите, разобраться, пожалуйста. Имею много лет старый DS213j, со всеми обновлениями. Где-то полгода назад обратил внимание в системном журнале, что временами кто-то пытается зайти с разных ай пи. У меня настроена блокировка ай пи, после 2-х неудачных попыток и нас с этим успешно борется. Когда-то пробрасывал порты на роутере для доступа из web, но потом после большого количества подобных запросов я отключил эту возможность, но запросы продолжаются время от времени. НАС используется только в локальной сети, но иногда пару раз в месяц запускаю download station, после завершения работы с программой закрываю её и ничего не качает и не раздаёт.

Вот так выглядит пример отчёта в журнале событий:

Host [139.162.31.252] was blocked via [DSM].

Host [111.9.161.197] was blocked via [DSM].

kucher · 25.08.2020

Здравствуйте.

Активно обсуждалось, примерно с год назад.

Коротко - на роутере закрыть для NAS лишние и не использовать стандартные порты типа 5000-5001, отключить учётки admin и guest, использовать устойчивые пароли.

sampaul · 25.08.2020

Спасибо!

Это всё уже сделано. Учетка admin отключена, но именно по ней и пытаются войти. Поэтому НАС всё время в состоянии отражения атак и стал чаще выходить из режима сна. Порты сменил, буду наблюдать.

ishtvan · 26.08.2020

Еще можно через панель управления в брандмауэре запретить заход с диапазона адресов по странам. Хотя по совести, не особенно это помогает - "хак-пионэры" всё-одно долбятся под админом, рутом, веб-ом и тп.Неизбежное зло - забить!

 

Diafilm · 26.08.2020

Какие порты проброшены из вне на НАС?

А то странно, web закрыт, а всё равно долбят. Обычно как раз в 5000/5001 порты бьют.

Нужно понимать по какому порту долбят...

JayDee89 · 15.09.2020
Какие порты проброшены из вне на НАС?

А то странно, web закрыт, а всё равно долбят. Обычно как раз в 5000/5001 порты бьют.

Нужно понимать по какому порту долбят...

Молодцы, закрыли, изменили, только это не поможет, перманентно блочить по CIDR

Ребят не будьте наивными на Шодан заходите хотя бы раз в месяц, там вся инфа по вашему НАСу есть: какие службы запущены, какие порты открыты и тп

Tirex · 15.09.2020
Молодцы, закрыли, изменили, только это не поможет, перманентно блочить по CIDR

Ребят не будьте наивными на Шодан заходите хотя бы раз в месяц, там вся инфа по вашему НАСу есть: какие службы запущены, какие порты открыты и тп

Что такое "Шодан"?

 

Up: Всё спасибо, разобрался.

freewind · 16.09.2020
Молодцы, закрыли, изменили, только это не поможет, перманентно блочить по CIDR

Ребят не будьте наивными на Шодан заходите хотя бы раз в месяц, там вся инфа по вашему НАСу есть: какие службы запущены, какие порты открыты и тп

И? Зашел. Увидел список из 4 открытых портов, хотя открыто более 20. Даже порты управления не указаны. Да к тому же я увидел это по динамическому белому ip который постоянно провайдером меняется.

Что дальше? Информации по насу я не увидел...

kindick · 16.09.2020
И? Зашел. Увидел список из 4 открытых портов, хотя открыто более 20. Даже порты управления не указаны. Да к тому же я увидел это по динамическому белому ip который постоянно провайдером меняется.

Что дальше? Информации по насу я не увидел...

Потом баг критический какой-нибудь появится(или уже есть) и сломают. Повесят туда бота какого-нибудь...

Шодан это поисковик. Он по критериям может искать. Пройдитесь по адресам своим nmap-ом в разных режимах. Картина будет более полная

freewind · 17.09.2020
Потом баг критический какой-нибудь появится(или уже есть) и сломают. Повесят туда бота какого-нибудь...

Шодан это поисковик. Он по критериям может искать. Пройдитесь по адресам своим nmap-ом в разных режимах. Картина будет более полная

Я рад за то что какой нибудь баг когда нибудь появится и т.п.

 

"Ребят не будьте наивными на Шодан заходите хотя бы раз в месяц, там вся инфа по вашему НАСу есть" - поясните эти слова. Я пока на данном ресурсе не увидел ничего ново предоставляемого этим ресурсом, за все время когда на нево заходил. Кстати про то что у меня НАС, там вообще ничего не написано.

 

О.. теперь вы еще nmap приплели и? Я понимаю красивое название сказать то что хотели? Что nmap смотреть то? Тем более на кой мне тогда shodan вообще?

kindick · 18.09.2020
Я рад за то что какой нибудь баг когда нибудь появится и т.п.

 

"Ребят не будьте наивными на Шодан заходите хотя бы раз в месяц, там вся инфа по вашему НАСу есть" - поясните эти слова. Я пока на данном ресурсе не увидел ничего ново предоставляемого этим ресурсом, за все время когда на нево заходил. Кстати про то что у меня НАС, там вообще ничего не написано.

 

О.. теперь вы еще nmap приплели и? Я понимаю красивое название сказать то что хотели? Что nmap смотреть то? Тем более на кой мне тогда shodan вообще?

 

Нмап покажет все 20 открытых портов и ещё попробует выдать что это за девайс (не пробовал). В шодан можно написать например: Synology. Он выдаст список айпишников. Этот список можно скормить ботнету и он будет работать по нему.

 

 

freewind · 18.09.2020
Нмап покажет все 20 открытых портов и ещё попробует выдать что это за девайс (не пробовал). В шодан можно написать например: Synology. Он выдаст список айпишников. Этот список можно скормить ботнету и он будет работать по нему.

1. Прям так сам покажет? Все открытые порты из 65536? Штатная блокировка сработает намного раньше. Чем будут отсканированы даже штатные порты. Целевой список покажет все тебе самые 80, 443, 554 и dht. Nmap определит что сервер nginx, но это и браузер покажет - любой. Что ещё даст сканирование nmap?

2. Конечно покажет. Причем список адресов со всего мира и в хаотичном порядке. И что дальше. Можно уклрмиься боту ими. Обычно во всех исследовавшихся мной образцах вредоносного по есть отдельный модуль сканирования сети, модуль выявления уязвимостей (причем обычно не один), детектор заражённых машин, блок получения команд и т.д. списков машин обычно нет. Стартовые загрузки делают через отдельный модул распространения вручную ботов никто не запускает, это автоматически раскроет злоумышленника.

 

Если очень нужно посмотреть обмен на определенной машине, то логичнее использовать не nmap, а снифер с адресом целевого объекта, вот им можно получить и порты и службы и не быть забаненым. НО. За такие фишки может забанить провайдер.

Nmap, можно проверить только наличие строго известных портов на большом количестве машин. А если прикрутить какой нибудь анализатор ответов, то ещё и определить что за машина и с какими сервисами.

 

 

kindick · 18.09.2020
Nmap scan report for *.*.*.*

Host is up (0.0083s latency).

Not shown: 988 closed ports

PORT STATE SERVICE VERSION

22/tcp open ssh OpenSSH 7.4 (protocol 2.0)

80/tcp open http nginx

139/tcp open netbios-ssn Samba smbd 4.6.2

443/tcp open ssl/http nginx

445/tcp open netbios-ssn Samba smbd 4.6.2

3260/tcp open iscsi Synology DSM iSCSI

3261/tcp open winshadow?

5000/tcp open http nginx

5001/tcp open ssl/http nginx

5510/tcp open secureidprop?

5566/tcp open synobtrfsreplicad Synology Snapshot Replication shared folder

49160/tcp open upnp Portable SDK for UPnP devices 1.6.21 (Linux 4.4.59+; UPnP 1.0)

Service Info: OS: Linux; Device: storage-misc; CPE: cpe:/o:linux:linux_kernel:4.4.59%2B

 

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 154.20 seconds

 

Много чего выдаёт. Устройство с открытыми портами выставлять без необходимости наверное не стоит.

Микротик мой с белым адресом постоянно пытались залогинить. и шодан прям подробно выдавал где находится, что за устройство и тд.

 

 

freewind · 18.09.2020
Много чего выдаёт. Устройство с открытыми портами выставлять без необходимости наверное не стоит.

Микротик мой с белым адресом постоянно пытались залогинить. и шодан прям подробно выдавал где находится, что за устройство и тд.

Скажите спасибо криворуким разработчикам микротик. А по мне, при прямом указании ip не выдает ничего, кроме того что это ростелеком москва (что уже не корректно) и 4 порта из 20 реально открытых 2 nginx, 554 rtsp и dht 65000 какой-то и все. А nmap извне вообще ничего не посмотреть. А изнутри мне и так известны открытые порты...

Diafilm · 19.09.2020

Проверил на шодане 2 своих белых ИП, поиск оба даже не находит.