Aller au contenu

Analyse de connexion dans le conseiller de sécurité : ouille


Messages recommandés

Bonjour,

Je viens de mettre à jour le DSM et j'ai fait tourner le conseiller de sécurité.

A cette occasion j'ai été faire un tour dans la menu "Analyse de connexion". Je vois 3 résultats à gravité "élévé" dont la description relate 3 connexions. Une de la part d'un ami situé dans un pays d'Asie avec l'identifiant que je lui ai attribué. Donc ça c'est bon.

Mais il y a deux autres connexions avec l'identifiant du groupe administrateur. Déjà ce qui m'étonne c'est que l'anlayse de connexion ne donne que 3 résultats puisque je me suis connecté de nombreuses fois avec mon téléphone, à distance sur le NAS.

Concernant ces deux connexions à risque élevée. Le NAS les traces en jour et heure et notamment l'IP. Une est située en France près d'Orly (où je n'étais pas) et une autre aux Pays bas (sic !).

Je m'interroge donc :

- Pourquoi le conseiller de sécurité ne trace que 3 connexions ?

- A supposer que qqn se soit amusé à se connecter à mon NAS, comment peut-il connaitre mon nom identifiant d'administrateur. A ce titre quand je me connecte sur DSM, la page d'identification garde en mémoire une liste d'identifiant qu'elle propose quand on doit taper le sien. Savez vous comment faire en sorte que cette liste ne s'affiche pas ?

- Et enfin, est ce que cette connexion tracée signifie que la personne a voulu se connecter 'exemple id correct mais mdp faux) ou qu'elle s'est carrément connectée (id et mdp corrects) ? 😳

Lien vers le commentaire
Partager sur d’autres sites

Bonjour @firlin et @MilesTEG1

Merci pour le lien du tuto. En fait je l'ai lu au début et m'en suis bq servi. 😋 Il y a deux petites règles que je n'ai pas appliquées.

Je poste l'analyse du conseille de sécurité. La première ligne est la connexion de mon pote. Mais les 2ième et 3 ième m'intriguent.

J'ai masqué les utilisateurs. Sur la première ligne il s'agit du nom d'utilisateur de mon pote. Sur les 2ième et 3 ième il s'agit du nom d'utilisateur admin que j'ai créé.

J'ai masqué les IP, mais je peux remettre la copie d'écran avec les IP visibles des 2ième et 3 ième ligne. En faisant une recherche sur google , je localise  l'IP de la 2ième ligne au milieu de la Seine près du pont des arts à Paris (donc non pas aux Pays Bas), et le 3ième IP près d'Orly.

1818852759_Anlayseconseillersecurit.thumb.PNG.c6149de235a35b7bda9bc727de30bcf7.PNG

Lien vers le commentaire
Partager sur d’autres sites

Il y a 5 heures, kroumi a dit :

Bonjour @firlin et @MilesTEG1

Merci pour le lien du tuto. En fait je l'ai lu au début et m'en suis bq servi. 😋 Il y a deux petites règles que je n'ai pas appliquées.

Je poste l'analyse du conseille de sécurité. La première ligne est la connexion de mon pote. Mais les 2ième et 3 ième m'intriguent.

J'ai masqué les utilisateurs. Sur la première ligne il s'agit du nom d'utilisateur de mon pote. Sur les 2ième et 3 ième il s'agit du nom d'utilisateur admin que j'ai créé.

J'ai masqué les IP, mais je peux remettre la copie d'écran avec les IP visibles des 2ième et 3 ième ligne [url=https://www.rachat-credit-info.com/]rachat de credit immo[/url]. En faisant une recherche sur google , je localise  l'IP de la 2ième ligne au milieu de la Seine près du pont des arts à Paris (donc non pas aux Pays Bas), et le 3ième IP près d'Orly.

1818852759_Anlayseconseillersecurit.thumb.PNG.c6149de235a35b7bda9bc727de30bcf7.PNG

C'est peut être une defaillance au niveau de la carte réseau.

Lien vers le commentaire
Partager sur d’autres sites

Attention, les localités sont a prendres avec des pincettes. Autant entre pays je trouve cela précis, mais en France, notamment en 4g la localisation peut etre complément fausse ( jai déjà vu presque 500km d'ecard entre ma localisation estimé avec l'ip et ma localisation réelle.

Lien vers le commentaire
Partager sur d’autres sites

@kroumi

Bonjour,

Aux dates indiquées, tu n'avais pas par hasard, le port 22 et le service SSH d'activés/ouverts (que tu aurais ensuite plus tard fermés).

Saches que dès que le port 22 est ouvert et le service SSH activé, il faut très peu de temps pour constater des attaques en règle de l'extérieur, souvent issues de Roumanie, Tchékie, Chine, et autres ...

Cela pourrait être une origine de ces tentatives de connexions.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Il y a 17 heures, MilesTEG1 a dit :

Est-ce que les comptes utilisés sont pas "admin" ou "guest" ?

Si oui -> désactivation immédiate, et même si ce n'est pas ça, idem.
Ensuite, change les mots de passe des comptes de la capture.
Change les ports de connexion, et vérifie vraiment très souvent le journal de connexion.

@MilesTEG1 Oui ces comptes sont bien désactivés

@oracle7 Comme préconisé dans le tuto de sécurisation, j'ai activé le service SSH sur le port 22, mais je me rends compte que je n'ai pas bloqué les accès depuis internet comme préconisé. Mais si l'attaque vient de là , comment le pirate a pu connaitre le compte utilisateur à utiliser ? (celui que j'ai créé lors de la sécurisation du NAS) ?

Lien vers le commentaire
Partager sur d’autres sites

@kroumi

Bonjour,

il y a 11 minutes, kroumi a dit :

Mais si l'attaque vient de là , comment le pirate a pu connaitre le compte utilisateur à utiliser ?

Peut-être tout simplement en commençant avec l'Id "admin" et comme il est désactivé, il n'a pas pu aller plus loin. Mais la tentative de connexion a bel et bien été enregistrée et elle apparait dans le journal. Je l'explique comme cela mais je peux me tromper ...

Après, le malveillant, j'imagine, dispose d'une liste d'Id couramment utilisés et il les teste tous, jusqu'à ce qu'il y en ait un qui marche.

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

Le truc qui me chiffonne, c'est que dans sa capture c'était écrit : "Quelqu'un s'est connecté en tant que BLABLA...".
Ce n'est pas un echec de connexion...

Par exemple, j'ai tenté de me connecter via l'IP LAN sur le compte admin, avec n'importe quoi comme mot de passe, évidemment échec. Je le vois dans le Journal :
dOrDiDX.png

Alors que je n'ai rien qui apparait dans le conseiller de sécurité.

Si je refais  la même chose en passant par le ndd, j'ai les mêmes choses qui apparaissent dans les journaux de connexion, et j'ai une ligne qui apparait dans le conseiller sécurité :
oNdYsvc.png

 

Du coup, je pense vraiment que les connexions ont réussi sur son NAS.
Donc soit c'est lui ou sa connaissance qui a réellement accéder au NAS, soit c'est un pirate. On ne sait rien de la robustesse de son mot de passe... Il peut avoir mis un mot de passe à 6 caractères... facilement trouvable...
Bref, je changerais tous les mots de passe en plus de sécuriser les accès en changeant les ports, en mettant en place le pare-feu du nas...

 

PS : purée, je ne peux plus poster d'image via le forum... obligé de les héberger ailleurs avant de coller le lien...

Citation
Glisser ici les fichiers à joindre, ou choisir les fichiers…
Taille maximale totale: 1 Ko

 

Lien vers le commentaire
Partager sur d’autres sites

@MilesTEG1

Bonjour,

Je n'avais pas pousser l'analyse si loin. Tu as sûrement raison même si je pense que le message retourné "exagère" quelque peu l'action effective. Il faut quand même la conjonction de l'ID et du MDP pour que la connexion soit effective, non ? ET si tu refait la manip de puis l'extérieur avec le ndd.tld, tu peux vérifier ensuite en local si la connexion est effective ou non (sur le routeur via les utilisateurs connectés dans contrôle du trafic ou clients DHCP).

Pour les images aucune des deux solutions ne marchent ? Glisser /déposer direct ou "clic choisir les fichiers" ?. Parfois c'est le navigateur web lui même qui fout le b.... Essaies de le fermer après avoir vider le cache et relances-le. On ne sait jamais ...

Cordialement

oracle7😉

Lien vers le commentaire
Partager sur d’autres sites

il y a 10 minutes, oracle7 a dit :

ET si tu refait la manip de puis l'extérieur avec le ndd.tld, tu peux vérifier ensuite en local si la connexion est effective ou non (sur le routeur via les utilisateurs connectés dans contrôle du trafic ou clients DHCP).

Pas besoin de vérifier si la connexion est faite ou pas. 
Si la connexion s'est faite avec succès, il y a une alerte dans le Conseiller de sécurité ET une entrée dans les journaux de connexion.
Si la connexion est un échec, il n'y a pas d'alerte dans le Conseiller de sécurité, MAIS il y a une entrée dans les journaux de connexion.

Donc pour moi, il y a eu connexion réussie sur son NAS les 3 fois. Maintenant, est-ce que ces 3 connexions étaient voulues, intentionnelles de sa part ou pas... 

PS : pour mon soucis de pièces jointes, j'ai la même chose en ayant vidé le cache et redémarré mon navigateur, mais aussi la même chose avec un autre navigateur...

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...

Bonjour @MilesTEG1et @oracle7,

Je réponds encore des jours en retard. Aucun avertissement quand il y a un poste malgré l'activation. Ca doit mettre une notification sur le site mais ça envoie pas de mail.

En fait pdt ces périodes où le conseiller de sécurité a averti des 2 connexions (la 3ième est celle de mon pote à Singapour), je faisais moi même des tests via ndd. Mais ça ne peut pas être moi compte tenu de l'IP localisé aux Pays-Bas.

Ce que je ne comprends pas c'est pourquoi le conseiller de sécurité uniquement sur ces 3 connexions ? Pourquoi est ce qu'il n'avertit pas des autres connexions que j'ai pu faire à mon NAS via ndd ?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.