Serveur Ftp Vuln

[rodo37]

Bonjour,

J'ai activé la DMZ vers mon Syno, je regarde ou en sont les téléchargements et je tombe sur ce dossier : HACKER -TURKIYE créé à 14h46 alors que je n'était même pas chez moi

Le service FTP des Synos serait-il vulnérable aux attaques ? Je vais essayer de voir les logs.

[rodo37]

Bonjour,

J'ai activé la DMZ vers mon Syno, je regarde ou en sont les téléchargements et je tombe sur ce dossier : HACKER -TURKIYE créé à 14h46 alors que je n'était même pas chez moi

Le service FTP des Synos serait-il vulnérable aux attaques ? Je vais essayer de voir les logs.

Je confirme, attaque démarrée à 00:29 fin à 16:12, la sécurité des Syno me fait un peu peur quand je vois qu'il a eu accès à TOUT mon disque dur !

[Hydrogene]

Ahem...

*Va vite enlever la redirection NAT sur les ports FTP, HTTP et Telnet...*

[rodo37]

Ahem...

*Va vite enlever la redirection NAT sur les ports FTP, HTTP et Telnet...*

En fait, faut surtout désactiver le compte GUEST

Apparement, c'est comme çà qu'ils seraient entrer sur mon NAS.

[WahJam]

En fait, faut surtout désactiver le compte GUEST

Apparement, c'est comme çà qu'ils seraient entrer sur mon NAS.

Mieux vaut aussi désactiver le ftp anonyme dans les options ftp, si ce n'est pas déjà fait, je pense

Pascal

[rodo37]

Mieux vaut aussi désactiver le ftp anonyme dans les options ftp, si ce n'est pas déjà fait, je pense

Pascal

Le FTP anonyme à toujours été désactivé, c'est pour çà que je ne comprend pas trop comment ils sont entrés.

Surtout avec un compte GUEST et crée un répertoire, mais il n'ont rien fait d'autre à part visiter mon HDD.

[MrDiablo]

EDIT : à ne pas prendre en compte, j'avais répondu à coté de la plaque, désolé

[fredlime]

Bonsoir,

Je pense que 'Guest' est une mauvaise piste. Même activé, ce compte ne permet pas une connexion FTP.

Il doit y avoir autre chose ??

A+

Fred.

[WahJam]

J'avais en tête que par défaut (à l'installation fraiche d'un firmware), tous les utilisateurs du groupe users (y compris guest) ont accès en lecture/écriture au répertoire public. Mais qu'à celui-là.

Pascal

[fredlime]

Bien disons que le compte 'guest' permet de s'affranchir des comptes utilisateurs (avec mot de passe) pour le partage des dossiers du SYNO en local (CIFS et Apple). A partir du moment ou l'on a déclaré le dossier en lecture / écriture pour le groupe 'users'

Mais avec le FTP, le compte 'guest' ne fonctionne pas. Ni en local, ni de l'extérieur, enfin normalement

Ou alors j'ai vraiment tout faux et il y a un moyen de faire sauter cette limitation ?

Un bug ??

A+

Fred.

[WahJam]

Mais avec le FTP, le compte 'guest' ne fonctionne pas. Ni en local, ni de l'extérieur, enfin normalement

Tu as raison, je viens d'essayer en ftp et :

Commande : USER guest

Réponse : 530 User guest access denied.

Il faut certainement chercher ailleurs...

Pascal

[rodo37]

Je suis partis sur la piste du Guest car :

Information 2008/11/28 16:12:50 guest Windows client [guest] from [HALO(IP:88.226.135.*)] accessed the shared folder [rodo37].

Information 2008/11/28 16:09:02 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [rodo37].

Information 2008/11/28 14:49:19 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [rodo37].

Information 2008/11/28 14:49:18 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [servor].

Information 2008/11/28 14:46:55 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [mirror_firmwares].

Information 2008/11/28 14:46:07 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [mirror_firmwares].

Information 2008/11/28 11:34:57 guest Windows client [guest] from [HOME(IP:78.160.99.*)] accessed the shared folder [rodo37].

Information 2008/11/28 01:00:11 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [servor].

Information 2008/11/28 00:34:02 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [rodo37].

Information 2008/11/28 00:31:54 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [mirror_firmwares].

Information 2008/11/28 00:31:26 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [backup].

Information 2008/11/28 00:30:28 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [usbshare1].

Information 2008/11/28 00:30:17 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [servor].

Information 2008/11/28 00:29:45 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [eMule].

De plus, grâce au merveilleu script de fredlime, j'ai reçu ce matin dans ma boite email :

17h24.15 ftpd[15094]: Add IP [68.110.219.58] into FTP block list.

17h24.18 ftpd[2578]: tcp_wrapper.c (34) FTP refused connection from leawichita.com

leawichita.com c'est Leading Edge Aerospace ! Que viennent-ils faire sur mon syno !

[fredlime]

Bonjour,

Oui, mais là, j'ai l'impression que sa passe part un PC sous Windows ? Non ?

'guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder'

Tu n'aurais pas une cochonnerie qui utiliserait ton PC comme passerelle.

Installe SpyBot, et fais une recherche sur ta machine.

Tu trouveras cette perle rare sur clubic.com

A+

Fred.

[ikeke]

Ben à mon avis faut pas chercher très loin, à moins que j'ai mal compris la phrase "J'ai activé la DMZ vers mon Syno"

Quand on active la DMZ sur un routeur vers le Syno, toutes les requêtes vers un port non NATé dans le routeur vont être redirigées vers le Syno. Le syno n'ayant pas de pare-feu, tous les ports sont ouverts.

Donc il suffit qu'un mec fasse une requête d'accès à ton dossier partagé en tapant \\ton_adresse_ip_publique pour que le routeur, qui n'a pas de règle NAT pour les ports du partage windows, renvoie les requêtes vers le syno qui lui va se faire un plaisir de répondre vu que le compte Guest est activé.

Les gens sont bien passés par ton partage SAMBA, les noms HOME et HALO qu'on voit dans les logs étant le nom NetBios des machines distantes ayant accèdée au Syno.

Ici pas de faille de sécurité dans le Syno, juste une faille de sécurité dans la personne qui a configuré le réseau

Je te taquine Rodo, mais je me souviens qu'on avait déjà abordé la question sur le forum il y a 1 an ou 2 et on avait dit qu'il y avait 2 choses à ne JAMAIS faire:

- Activer une DMZ vers le syno car sinon de l'extérieur on accède a tout sans exception ou presque

- Laisser le compte Guest activé car il represente un réel danger en cas de mauvaise configuration. On en a la preuve ici

[fredlime]

Ha, j'avais zappé le DMZ du début

Encore une fois, IKEKE est le meilleur

Le SYNO en zone DMZ, c'est pas bon, mais vraiment pas bon du tout chef !!

Ouvre lui les ports qu'il faut, c'est tout, sinon il reçoit toute la merdouille du net.

Et a la longue, tu te feras avoir méchamment...

A+

Fred.

[ikeke]

C'est clair, la DMZ n'est vraiment pas à utiliser sur le syno à moins d'avoir déjà installé installé et configuré un firewall genre iptable. Mais personnellement je prendrais pas le risque et ferait comme Fred le conseille, à savoir de n'ouvrir que les ports nécessaires.

[rodo37]

Ha, j'avais zappé le DMZ du début

Encore une fois, IKEKE est le meilleur

Le SYNO en zone DMZ, c'est pas bon, mais vraiment pas bon du tout chef !!

Ouvre lui les ports qu'il faut, c'est tout, sinon il reçoit toute la merdouille du net.

Et a la longue, tu te feras avoir méchamment...

A+

Fred.

En réalité c'est un peu plus complexe. Mon fournisseur m'autorise 4 sessions en PPPoE, donc mon routeur possède une IP internet (mes PC fixes des IP internes) et pour tester, mon Syno fait également une session PPPoE donc il a une IP internet et de ce fait; comme il n'y a pas de firewall, tout passe.

Mais faut le faire pour accéder au partage SAMBA, surtout que j'ai des IP dynamiques donc ils passent leur temps à scanner

Mais bon, je fait configurer un vrai firewall avec iptables pour éviter ce genre de problème à l'avenir.