rodo37 Posté(e) le 28 novembre 2008 Partager Posté(e) le 28 novembre 2008 Bonjour, J'ai activé la DMZ vers mon Syno, je regarde ou en sont les téléchargements et je tombe sur ce dossier : HACKER -TURKIYE créé à 14h46 alors que je n'était même pas chez moi Le service FTP des Synos serait-il vulnérable aux attaques ? Je vais essayer de voir les logs. Lien vers le commentaire Partager sur d’autres sites More sharing options...
rodo37 Posté(e) le 28 novembre 2008 Auteur Partager Posté(e) le 28 novembre 2008 Bonjour, J'ai activé la DMZ vers mon Syno, je regarde ou en sont les téléchargements et je tombe sur ce dossier : HACKER -TURKIYE créé à 14h46 alors que je n'était même pas chez moi Le service FTP des Synos serait-il vulnérable aux attaques ? Je vais essayer de voir les logs. Je confirme, attaque démarrée à 00:29 fin à 16:12, la sécurité des Syno me fait un peu peur quand je vois qu'il a eu accès à TOUT mon disque dur ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Hydrogene Posté(e) le 28 novembre 2008 Partager Posté(e) le 28 novembre 2008 Ahem... *Va vite enlever la redirection NAT sur les ports FTP, HTTP et Telnet...* Lien vers le commentaire Partager sur d’autres sites More sharing options...
rodo37 Posté(e) le 28 novembre 2008 Auteur Partager Posté(e) le 28 novembre 2008 Ahem... *Va vite enlever la redirection NAT sur les ports FTP, HTTP et Telnet...* En fait, faut surtout désactiver le compte GUEST Apparement, c'est comme çà qu'ils seraient entrer sur mon NAS. Lien vers le commentaire Partager sur d’autres sites More sharing options...
WahJam Posté(e) le 28 novembre 2008 Partager Posté(e) le 28 novembre 2008 En fait, faut surtout désactiver le compte GUEST Apparement, c'est comme çà qu'ils seraient entrer sur mon NAS. Mieux vaut aussi désactiver le ftp anonyme dans les options ftp, si ce n'est pas déjà fait, je pense Pascal Lien vers le commentaire Partager sur d’autres sites More sharing options...
rodo37 Posté(e) le 28 novembre 2008 Auteur Partager Posté(e) le 28 novembre 2008 Mieux vaut aussi désactiver le ftp anonyme dans les options ftp, si ce n'est pas déjà fait, je pense Pascal Le FTP anonyme à toujours été désactivé, c'est pour çà que je ne comprend pas trop comment ils sont entrés. Surtout avec un compte GUEST et crée un répertoire, mais il n'ont rien fait d'autre à part visiter mon HDD. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrDiablo Posté(e) le 29 novembre 2008 Partager Posté(e) le 29 novembre 2008 EDIT : à ne pas prendre en compte, j'avais répondu à coté de la plaque, désolé Lien vers le commentaire Partager sur d’autres sites More sharing options...
fredlime Posté(e) le 29 novembre 2008 Partager Posté(e) le 29 novembre 2008 Bonsoir, Je pense que 'Guest' est une mauvaise piste. Même activé, ce compte ne permet pas une connexion FTP. Il doit y avoir autre chose ?? A+ Fred. Lien vers le commentaire Partager sur d’autres sites More sharing options...
WahJam Posté(e) le 29 novembre 2008 Partager Posté(e) le 29 novembre 2008 J'avais en tête que par défaut (à l'installation fraiche d'un firmware), tous les utilisateurs du groupe users (y compris guest) ont accès en lecture/écriture au répertoire public. Mais qu'à celui-là. Pascal Lien vers le commentaire Partager sur d’autres sites More sharing options...
fredlime Posté(e) le 29 novembre 2008 Partager Posté(e) le 29 novembre 2008 Bien disons que le compte 'guest' permet de s'affranchir des comptes utilisateurs (avec mot de passe) pour le partage des dossiers du SYNO en local (CIFS et Apple). A partir du moment ou l'on a déclaré le dossier en lecture / écriture pour le groupe 'users' Mais avec le FTP, le compte 'guest' ne fonctionne pas. Ni en local, ni de l'extérieur, enfin normalement Ou alors j'ai vraiment tout faux et il y a un moyen de faire sauter cette limitation ? Un bug ?? A+ Fred. Lien vers le commentaire Partager sur d’autres sites More sharing options...
WahJam Posté(e) le 29 novembre 2008 Partager Posté(e) le 29 novembre 2008 Mais avec le FTP, le compte 'guest' ne fonctionne pas. Ni en local, ni de l'extérieur, enfin normalement Tu as raison, je viens d'essayer en ftp et : Commande : USER guest Réponse : 530 User guest access denied. Il faut certainement chercher ailleurs... Pascal Lien vers le commentaire Partager sur d’autres sites More sharing options...
rodo37 Posté(e) le 30 novembre 2008 Auteur Partager Posté(e) le 30 novembre 2008 Je suis partis sur la piste du Guest car : Information 2008/11/28 16:12:50 guest Windows client [guest] from [HALO(IP:88.226.135.*)] accessed the shared folder [rodo37]. Information 2008/11/28 16:09:02 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [rodo37]. Information 2008/11/28 14:49:19 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [rodo37]. Information 2008/11/28 14:49:18 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [servor]. Information 2008/11/28 14:46:55 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [mirror_firmwares]. Information 2008/11/28 14:46:07 guest Windows client [guest] from [HOME(IP:78.160.123.*)] accessed the shared folder [mirror_firmwares]. Information 2008/11/28 11:34:57 guest Windows client [guest] from [HOME(IP:78.160.99.*)] accessed the shared folder [rodo37]. Information 2008/11/28 01:00:11 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [servor]. Information 2008/11/28 00:34:02 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [rodo37]. Information 2008/11/28 00:31:54 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [mirror_firmwares]. Information 2008/11/28 00:31:26 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [backup]. Information 2008/11/28 00:30:28 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [usbshare1]. Information 2008/11/28 00:30:17 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [servor]. Information 2008/11/28 00:29:45 guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder [eMule]. De plus, grâce au merveilleu script de fredlime, j'ai reçu ce matin dans ma boite email : 17h24.15 ftpd[15094]: Add IP [68.110.219.58] into FTP block list. 17h24.18 ftpd[2578]: tcp_wrapper.c (34) FTP refused connection from leawichita.com leawichita.com c'est Leading Edge Aerospace ! Que viennent-ils faire sur mon syno ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
fredlime Posté(e) le 30 novembre 2008 Partager Posté(e) le 30 novembre 2008 Bonjour, Oui, mais là, j'ai l'impression que sa passe part un PC sous Windows ? Non ? 'guest Windows client [guest] from [HOME(IP:78.160.120.*)] accessed the shared folder' Tu n'aurais pas une cochonnerie qui utiliserait ton PC comme passerelle. Installe SpyBot, et fais une recherche sur ta machine. Tu trouveras cette perle rare sur clubic.com A+ Fred. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ikeke Posté(e) le 30 novembre 2008 Partager Posté(e) le 30 novembre 2008 Ben à mon avis faut pas chercher très loin, à moins que j'ai mal compris la phrase "J'ai activé la DMZ vers mon Syno" Quand on active la DMZ sur un routeur vers le Syno, toutes les requêtes vers un port non NATé dans le routeur vont être redirigées vers le Syno. Le syno n'ayant pas de pare-feu, tous les ports sont ouverts. Donc il suffit qu'un mec fasse une requête d'accès à ton dossier partagé en tapant \\ton_adresse_ip_publique pour que le routeur, qui n'a pas de règle NAT pour les ports du partage windows, renvoie les requêtes vers le syno qui lui va se faire un plaisir de répondre vu que le compte Guest est activé. Les gens sont bien passés par ton partage SAMBA, les noms HOME et HALO qu'on voit dans les logs étant le nom NetBios des machines distantes ayant accèdée au Syno. Ici pas de faille de sécurité dans le Syno, juste une faille de sécurité dans la personne qui a configuré le réseau Je te taquine Rodo, mais je me souviens qu'on avait déjà abordé la question sur le forum il y a 1 an ou 2 et on avait dit qu'il y avait 2 choses à ne JAMAIS faire: - Activer une DMZ vers le syno car sinon de l'extérieur on accède a tout sans exception ou presque - Laisser le compte Guest activé car il represente un réel danger en cas de mauvaise configuration. On en a la preuve ici Lien vers le commentaire Partager sur d’autres sites More sharing options...
fredlime Posté(e) le 30 novembre 2008 Partager Posté(e) le 30 novembre 2008 Ha, j'avais zappé le DMZ du début Encore une fois, IKEKE est le meilleur Le SYNO en zone DMZ, c'est pas bon, mais vraiment pas bon du tout chef !! Ouvre lui les ports qu'il faut, c'est tout, sinon il reçoit toute la merdouille du net. Et a la longue, tu te feras avoir méchamment... A+ Fred. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ikeke Posté(e) le 30 novembre 2008 Partager Posté(e) le 30 novembre 2008 C'est clair, la DMZ n'est vraiment pas à utiliser sur le syno à moins d'avoir déjà installé installé et configuré un firewall genre iptable. Mais personnellement je prendrais pas le risque et ferait comme Fred le conseille, à savoir de n'ouvrir que les ports nécessaires. Lien vers le commentaire Partager sur d’autres sites More sharing options...
rodo37 Posté(e) le 1 décembre 2008 Auteur Partager Posté(e) le 1 décembre 2008 Ha, j'avais zappé le DMZ du début Encore une fois, IKEKE est le meilleur Le SYNO en zone DMZ, c'est pas bon, mais vraiment pas bon du tout chef !! Ouvre lui les ports qu'il faut, c'est tout, sinon il reçoit toute la merdouille du net. Et a la longue, tu te feras avoir méchamment... A+ Fred. En réalité c'est un peu plus complexe. Mon fournisseur m'autorise 4 sessions en PPPoE, donc mon routeur possède une IP internet (mes PC fixes des IP internes) et pour tester, mon Syno fait également une session PPPoE donc il a une IP internet et de ce fait; comme il n'y a pas de firewall, tout passe. Mais faut le faire pour accéder au partage SAMBA, surtout que j'ai des IP dynamiques donc ils passent leur temps à scanner Mais bon, je fait configurer un vrai firewall avec iptables pour éviter ce genre de problème à l'avenir. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Messages recommandés
Archivé
Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.