Что делать если ваш Synology NAS взламывают

Всем привет!!!

Знаете как обнаружить, что ваш Synology NAS пытаются взломать? Как защититься от подбора пароля? В этой статье я расскажу как это можно настроить.

Так уж завелось в интернете, что в этой глобальной сети обитают не только сервера, ПК и телефоны, но еще и огромная куча зловредных ботов. Задача этих ботов найти уязвимое место и бить туда пока не пробьют дыру в вашей защите. А мы все знаем, что Synology NAS покупают именно для того, что бы он был личным облаком доступным с любой точки мира, где есть интернет. И поэтому наш NAS становится лакомым кусочком, который хотят оттяпать.

Так было и с моем Synology NAS, когда я обнаружил многочисленные попытки подбора пароля. И тут я расскажу ответ как я это узнал. А все дело в том, что в DSM есть приложение “Центр Журналов”, в котором можно увидеть все логи, все попытки и все удачные и неудачные входы.

В этом центре журналов достаточно перейти на пункт “Журналы” затем выбрать “Подключение” как показано на скриншоте выше и отобразятся все попытки входа. В моем случаи попытки авторизации были неудачными и они продолжались бесконечно и постоянно с разных IP адресов.

Конечно можно зайти в брандмауэр и заблокировать все эти IP адреса. Но как часто вы будите это делать? И сколько времени будет уходить у вас на такую работу? А если не успеете и пароль подберут? В DSM можно автоматизировать этот процесс.

Для этого переходим в панель управления, безопасность и защита. Включаем автоматическую блокировку и выставляем более суровые значения, чем стоят по умолчанию:

Я выбрал для себя такие: если с одного IP адреса будет сделано 3 неудачных попытки входа в течении суток, то заблокировать этот IP адрес на 30 дней. Это сугубо мое решения, возможно такие значения для вас будут неприемлемыми. Обычно я всем рекомендую ставить 4 неудачные попытки входа в течении часа и блокировать на сутки. Но как видите в моем случаи пришлось делать по другому.

В результате за ночь получил кучу уведомлений о блокировке:

Список заблокированных начал заполняться нежелательными IP адресами:

Этим адресам можно сделать экспорт, а затем импорт и в результате заблокировать их навсегда.

Так же нужно подстраховаться. Внутри вашей локальной сети вы должны быть уверены, что зловредов нет. Соответственно не блокировать IP адреса из вашей локальной сети настроив список разрешенных сетей, которые никогда не будут заблокированы:

Вот такими не хитрыми настройками можно автоматизировать процесс блокировки ботов, которые пытаются подобрать пароль к вашему Synology NAS.

Дополнительно нужно настроить брендмауэр. Как это сделать я уже рассказывал.

Защита от подбора паролей очень важна, но еще важно периодически обновляться. Так как в обновления закрывают уязвимости, через которые можно проникнуть на ваш NAS даже не зная логина и пароля.

Что бы получать такие обновления автоматически, переходим в панель управления, обновление и восстановление, нажимаем настройки обновления и устанавливаем автоматически устанавливать важные обновления, как это и рекомендует Synology.

Еще рекомендую зайти в панель управления, пользователи и группы, на вкладке дополнительно включить галочки как показано ниже и установить минимальную длину пароля от 8. Это повысит защищенность вашего Synology NAS.

Все действия в статье не хитрые, но сделать их нужно, так как в интернете с каждым годом становиться все опаснее и опаснее. Берегите себя и ваши данные!!!

У этой записи 23 комментариев

  1. sergo

    Нафига выставлять морду в сеть, скрой за VPN или за обратным прокси с авторизацией, или ты это все специально для острых ощущений?

    1. Уважаемый her@tebe.ru вы говорите правильно, если речь идет про DSM, а если про другие сервисы например почта, фотографии, облачные сервисы и обмен файлами, причем это не полный список, то VPN становится дико неудобным, а в случаи с почтовым сервером вообще лишним, поэтому такой подход как вы предлагаете подойдет не всем.

      1. sergo

        Вижу проблему только с почтовым сервером, все остальное лечиться вышеуказанным способом.

        1. почти все, еще ссылки общего доступа не лечатся, всем же не дашь свой впн и это жутко неудобно, за безопасность нужно чем-то платить.

  2. Столкнулся с такой же проблемой. Почему то брендмауэр не отрабатывает. Вход разрешён только с России, сыпет попытками с других регонов.

  3. Роман

    А у меня вообще все входящие определяются как шлюз роутера. и не знаю где копать.

    1. Александр

      Часто так маскируются боты. Заблокировать в фаерволе ип адрес шлюза роутера не поможет, так как реально трафик идет не с него. На линуксе я модифицировал систему логов, что бы показывало реальный ип из заголовка пакета, как на сино не знаю это сделать. У вас стоят все необходимые обновления?

  4. Anton

    Добрый день. Подскажите, а можно ли как то отслеживать, кто вообще к моему NAS обращается, помимо входа в DSM. Например я делюсь фотографиями/альбомами через Photos Synologу. Где можно посмотреть кто-во открытий альбомов, загрузок и т.д. Тоже самое и с общедоступными файлами. Можно где-то информация отслеживать ?

    1. Ну либо в центре журналов, либо в драйве в журнале есть, но только по драйву. Вообще в этом тут проблема, но для успокоения скажу, что в других вендорах все еще хуже.

      1. Anton

        Да вот в центре журналов, только входы в ds показывает ( больше информации не нашел.

  5. Nick

    Аналогично очень много попыток влезть в MailPlus Server с подбором паролей и на разные адреса имайлов, часто на не существующие.
    Кроме как на MailPlus Server других попыток входа нет судя по логам.
    На NAS стоит DNS сервер, и Web станция, прикручен сайт.
    Стоит блокировка по IP, если одна неверная попытка и вечный бан.
    Пару месяцев назад возросла активность взлома до несколько сотен в день. Обычно было несколько попыток в неделю.
    Пароль стоит достаточно сложный, + двухфакторная идентификация.
    Возможно как то прикрутить капчу, чтобы усложнить задачу боту, который обычно лезет на MailPlus Server?

    1. Они лезут по SMTP, а к этому ничего не прикрутить. Банить массово по подсетям на фаерволе.

      1. Nick

        Ну да, лезут через 25-й порт на SMTP. Некоторые страны у меня забанены из которых нет и не предвидится клиентов и слишком много попыток влезть. Многое сети предоставляющие proxy и vpn тоже забанены.
        Иногда включаю VPN с IP другой страны, чтобы зайти на какие то сайты… потом захожу на NAS, ввожу данные для входа, а он говорит что с этого IP было слишком много попыток неправильного логина или пароля.,… забанен.
        Думал что за ерунда, Вроде не делал несколько попыток. Ладно, меняю IP захожу в NAS смотрю IP, проверяю его в черном списке блокировок. А он оказывается был заблокирован уже очень давно.
        Ну в общем понял, что я пытался зайти с IP. который когда-то использовал БОТ для взлома.
        Ну раз ничего не прикрутить, то пусть разрастается черный список с блокировкой.

        1. 25 порт клиенты не используют, это SMTP протокол для отправки писем и получения, например от гугла или яндекса. Я пытался найти страны, в которых у гугла почтовые сервера, что бы ограничить, но так и не нашел.

  6. Nick

    SMTP – использует порт 25 по умолчанию. Он также может использовать порт 587 и порт 465
    То есть 25-й порт нужен для получения и отправления почты.
    У меня в клиенте MailPlus настроено отправление почты по 587 порту.
    А вот получение, как и у всех по 25-му. Других портов пока не придумали. Ну разве что можно пробовать 2525. Пробовал прописать в MailPlus Server 2525 порт, пробросил его в роутере, входящую почту не смог получить. Но и БОТ не стучится на порт 2525. Так что вернулся на 25-й.
    Если я отключаю проброс 25-го порта в роутере. То БОТ оказывается за бортом и влезть не может, тишина полная. Ну естественно и входящей почты нет. Как проброс включаю, то сразу вижу работу БОТа.
    У меня были несколько раз блокировки IP принадлежащие гуглу /иногда просматриваю данные IP программе SmartWhois ради интереса/.
    Вот например:
    209.85.220.69
    209.85.128.0 – 209.85.255.255
    Google LLC
    1600 Amphitheatre Parkway
    Mountain View
    CA
    94043
    Соединенные Штаты Америки
    Google LLC
    +1-650-253-0000
    arin-contact@google.com
    +1-650-253-0000
    network-abuse@google.com
    GOOGLE
    Создан: 2000-03-30
    Обновлен: 2019-10-31
    Источник: whois.arin.net

    1. Добавлю, что 25 нужен для получения и отправки почты между серверами, а клиенты отправляют по защищенному порту, что бы не светить пароли в открытом виде.

  7. Андрей

    А что означает в жарнале такая запись – Host [203.56.228.178] failed to connect via [SMB] due to [SMB1 not permitted].
    Таких событий очень много.
    Еще security advisor пишет что к службам локальной сети можно получить доступ через интернет, отключите переадресацию порта для SMB или включите запрет через брандмауэр, но у меня нет ни каких переадресаций

    1. Это значит что к вашему серверу подключаются использую протокол первого поколения, а он у вас отключен, так как небезопасен. Еще это значит что служба smb доступна из интернета, а это еще более не безопасно. Срочно закройте порты из интернета для службы smb, мой вам совет.

      1. Андрей

        А как это сделать? Как отключить SMB для интернета?

        1. Порт для службы SMB не прокидывать на роутере изивне. Если включена дмз зона то отключить.

          1. Андрей

            Спасибо, была включена дмз зона, не понятная штука, зачем-то была включена)

Добавить комментарий

один × три =