Aller au contenu

attaque permanente sur mon NAS depuis MAJ DSM 7.2-64570 Update 1


JDG

Messages recommandés

Le 02/10/2023 à 6:05 PM, Audio a dit :

Merci pour la recette @PiwiLAbruti

J'ai appliqué tout ça, je reviendrais sur le forum pour donner les résultats.

Une autre question: dans quel log de MailPlus Server et à quel emplacement peut-on avoir l'historique des tentatives de connexion ?

Merci

Bonjour,

Comme dit précédemment je reviens sur le forum pour donner un bilan de l'application de la recette de @PiwiLAbruti. Les attaques semblent avoir cessé depuis le 13 novembre.

J'ai fait un suivi précis des IP blacklistées au fur et à mesure des attaques (une tentative de login ratée = IP blacklistée pour toujours), du 2 octobre au 12 novembre voir la répartition dans le temps et la répartition par pays. J'ai quand même été amené à mettre des règles dans le pare-feu de mon routeur venant de certains pays (Chine, Brésil, Inde, Corée du Sud et d'autres) pour les tentatives sur les ports utilisés par MailPlus Server.

Comme quoi lorsqu'on est aux prises avec un botnet, mieux vaut être patient ! En tout cas encore merci @PiwiLAbruti.

IP-Blacklist-Par jour.jpg

IP-Blacklist-Pays.jpg

Lien vers le commentaire
Partager sur d’autres sites

Merci pour le retour d'expérience @Audio 👍

Laisse encore le blocage automatique à 1 tentative échouée = 1 blocage. Si au bout de 7 jours consécutifs il n'y a aucun blocage, tu peux configurer des paramètres de blocage moins drastiques (blocage au bout de 3 tentatives échouées par mois, par exemple).

Lien vers le commentaire
Partager sur d’autres sites

OK pour l'instant j'ai laissé le réglage à 1 tentative = 1 blocage. J'attends encore avant de revenir aux réglages initiaux, y compris sur le pare-feu du routeur.

Audio

Lien vers le commentaire
Partager sur d’autres sites

  • 1 mois après...

Bonjour,

Effectivement dans le Centre des journaux à la rubrique Notification on peut mettre une notification d'erreur de connexion au NAS (authorization failure) comme suit:

 

Notification-CentreJournaux.thumb.jpg.2af9aa0617b30978e83f28aecfa794c5.jpg

C'est ce que j'ai fait et lors de chaque attaque sur MailPlus Server (mais ça marche pour d'autres applications ouvertes à l'extérieur, y compris DSM) j'ai eu un mail d'avertissement donnant l'IP de l'attaquant ainsi que le nom d'utilisateur utilisé.

Cordialement

Audio

 

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.