attaque permanente sur mon NAS depuis MAJ DSM 7.2-64570 Update 1

[Audio]

Le 02/10/2023 à 6:05 PM, Audio a dit :

Merci pour la recette @PiwiLAbruti

J'ai appliqué tout ça, je reviendrais sur le forum pour donner les résultats.

Une autre question: dans quel log de MailPlus Server et à quel emplacement peut-on avoir l'historique des tentatives de connexion ?

Merci

Bonjour,

Comme dit précédemment je reviens sur le forum pour donner un bilan de l'application de la recette de @PiwiLAbruti. Les attaques semblent avoir cessé depuis le 13 novembre.

J'ai fait un suivi précis des IP blacklistées au fur et à mesure des attaques (une tentative de login ratée = IP blacklistée pour toujours), du 2 octobre au 12 novembre voir la répartition dans le temps et la répartition par pays. J'ai quand même été amené à mettre des règles dans le pare-feu de mon routeur venant de certains pays (Chine, Brésil, Inde, Corée du Sud et d'autres) pour les tentatives sur les ports utilisés par MailPlus Server.

Comme quoi lorsqu'on est aux prises avec un botnet, mieux vaut être patient ! En tout cas encore merci @PiwiLAbruti.

[PiwiLAbruti]

Merci pour le retour d'expérience @Audio 👍

Laisse encore le blocage automatique à 1 tentative échouée = 1 blocage. Si au bout de 7 jours consécutifs il n'y a aucun blocage, tu peux configurer des paramètres de blocage moins drastiques (blocage au bout de 3 tentatives échouées par mois, par exemple).

[Audio]

OK pour l'instant j'ai laissé le réglage à 1 tentative = 1 blocage. J'attends encore avant de revenir aux réglages initiaux, y compris sur le pare-feu du routeur.

Audio

[Stephanecdg2]

Bonsoir

 

Je suis tombé sur ce thread par hasard, c'est intéressant mais ça fait aussi peur. Étant totalement néophyte la question peut sembler bête mais quelqu'un peut me dire comment on voit que son NAS est attaqué?

 

Merci

[Lelolo]

En fonction des infos dans le centre des journaux ?

[Audio]

Bonjour,

Effectivement dans le Centre des journaux à la rubrique Notification on peut mettre une notification d'erreur de connexion au NAS (authorization failure) comme suit:

 

C'est ce que j'ai fait et lors de chaque attaque sur MailPlus Server (mais ça marche pour d'autres applications ouvertes à l'extérieur, y compris DSM) j'ai eu un mail d'avertissement donnant l'IP de l'attaquant ainsi que le nom d'utilisateur utilisé.

Cordialement

Audio

 

[Stephanecdg2]

Merci 

[Stephanecdg2]

Bonjour un petit déterrage 

Bon j'ai découvert comment on sait qu'on subit une attaque sur son NAS, en fait on reçoit une alerte de la part d'active insight qui vous signale des tentatives de connexions répétées. 

Je viens d'en faire les frais j'ai plusieurs tentatives venant de différentes adresses ip mais aussi de pays sur deux tranches horaires. 

Pour remédier a ça j'ai changé l'adresse par défaut du port HTTPS et HTTP ( ce que j'aurais du faire depuis le début) et j'ai fait les modifications sur ma box pour les ouvertures. J'ai aussi modifié le temps de latence avant de pouvoir accepter une nouvelle tentative. 

Depuis pas de nouvelles tentatives. 

 

Par contre ce matin a la suite d'un contrôle de sécurité mon NAS m'a recommandé de changer l'adresse du port SSH. 

A quoi sert ce port? Je veux bien le changer mais j'ai peur que ça bloque certaines fonctions comme plex en externe ou je ne sais quoi..

 

Dernière question qui n'a rien a voir avec les problèmes au dessus. Pour le contrôle programmé des HDD ( 1 fois par mois ou moi) vous recommandez quoi un check simple ou approfondi?

 

Merci 

[PiwiLAbruti]

Pour commencer, il est urgent d'appliquer ce tutoriel : https://www.nas-forum.com/forum/topic/77493-tuto-pas-à-pas-sécurisation-du-nas-pour-dsm-7/

 

[Mic13710]

Le changement des ports par défaut est une solution, mais alors quelle complication pour se connecter ! Il faudrait faire plus confiance au pare feu du NAS. Une tentative de connexion ne reste qu'une tentative...

Je vous conseille vivement de lire et mettre en pratique le tuto sur la sécurisation de nos NAS.

Pour le port 22, c'est essentiellement l'accès SSH. Il ne faut surtout pas l'ouvrir vers l'extérieur et si vous n'en avez pas besoin vous pouvez le fermer. Cependant, il est parfois utile de pouvoir se connecter au NAS en mode terminal lorsque l'accès à DSM est bloqué. On parle aussi de la notification pour le port 22 dans le tuto.

[Stephanecdg2]

Bonjour

Merci a vous deux pour vos réponses je vais relire le tuto conseiller. Je m'en suis servi a l'origine pour sécuriser mon NAS sauf que je n'ai pas changer les ports par défaut pour ne pas " perturber" l'accès a certains services. 

Apres avoir changé ces ports http et https j'ai juste eu a ouvrir les ports correspondant dans ma box et a mettre a jour mes adresses de connexion depuis Synology mobile sur mon smartphone et tablette. Apparemment l'ensemble de mes services fonctionnent normalement.

Bonne journée