Перейти к содержанию
Форум русской поддержки продукции Synology

Synology® расследует продолжающиеся брутфорс-атаки из ботнета.


Рекомендованные сообщения

Тайбэй, Тайвань—4 августа 2021 года—Synology PSIRT (Product Security Incident Response Team) недавно наблюдала и получала сообщения об увеличении числа брутфорс-атак на устройства Synology. Исследователи безопасности Synology считают, что ботнет в первую очередь управляется семейством вредоносных программ под названием "StealthWorker"." В настоящее время Synology PSIRT не видит никаких признаков того, что вредоносная программа использует какие-либо уязвимости программного обеспечения. 

Эти атаки используют ряд уже зараженных устройств, чтобы попытаться угадать общие административные учетные данные, и в случае успеха получат доступ к системе для установки вредоносной полезной нагрузки, которая может включать вымогателей. Зараженные устройства могут выполнять дополнительные атаки на другие устройства на базе Linux, включая Synology NAS.

Synology PSIRT работает с соответствующими организациями CERT, чтобы узнать больше об известных серверах C&C (command and control), стоящих за вредоносным ПО, и закрыть их. Synology одновременно уведомляет потенциально затронутых клиентов. 

Synology настоятельно рекомендует всем системным администраторам проверить свои системы на наличие слабых административных учетных данных, включить автоматическую блокировку и защиту учетных записей, а также настроить многоступенчатую аутентификацию, где это применимо. 

Системные администраторы, обнаружившие подозрительную активность на своих устройствах, должны немедленно обратиться в службу технической поддержки Synology.

Дополнительная информация:

Как добавить дополнительную безопасность к вашему NAS Synology

10 советов по безопасности для обеспечения безопасности ваших данных

 

 

Ссылка на сообщение
Поделиться на другие сайты

От себя добавлю.

Атака заключается в попытке подбора пароля к учетной записи admin методом перебора паролей.

Попытки осуществляются с разных IP и что примечательно - не более двух попыток с каждого IP. После двух попыток, IP меняется. По этой причине простая блокировка айпишников работает только если блокировать айпи сразу после первой неудачной попытки ввода пароля.

У меня два сервера попали под этот перебор. Около 1000 попыток в сутки.

Ссылка на сообщение
Поделиться на другие сайты

В связи с этим у меня опять возникает вопрос который я не могу решить уже долгое время.

Большинство мобильных приложений Synology для своей работы используют стандартные порты 5000 и 5001 на которых висит Web-сервер DSM. Та самая страница входа в DSM.

И если вы хотите из интернета подключится к NAS с помощью мобильного приложения (например DS Chat), вы ВЫНУЖДЕНЫ пробрасывать порты 5000 или 5001 на своем маршрутизаторе и таким образом делаете видимой в интернете ту самую страницу входа в DSM.

И этим успешно пользуется ботнет перебирающий пароли...

Можно-ли изменить порт по умолчанию для мобильного приложения? Отвязать порты приложений от портов DSM...

Ссылка на сообщение
Поделиться на другие сайты

В поддержке было что-то про порты в Портале Приложений, но я сама не пробовала, хотя возможно стоит. Также обратный прокси полезная в таких случаях штука, в статье ниже расписано.

https://kb.synology.com/ru-ru/DSM/help/DSM/AdminCenter/application_appportalias?version=6

Судя по тому, что тут пишут, должно и для мобильных приложений работать: https://www.synoforum.com/threads/if-i-change-dsm-default-ports-does-that-disable-the-default-port-access-for-mobile-apps.4931/

Ссылка на сообщение
Поделиться на другие сайты
В 09.08.2021 в 20:15, Radiohead сказал:

В связи с этим у меня опять возникает вопрос который я не могу решить уже долгое время.

Большинство мобильных приложений Synology для своей работы используют стандартные порты 5000 и 5001 на которых висит Web-сервер DSM. Та самая страница входа в DSM.

И если вы хотите из интернета подключится к NAS с помощью мобильного приложения (например DS Chat), вы ВЫНУЖДЕНЫ пробрасывать порты 5000 или 5001 на своем маршрутизаторе и таким образом делаете видимой в интернете ту самую страницу входа в DSM.

И этим успешно пользуется ботнет перебирающий пароли...

Можно-ли изменить порт по умолчанию для мобильного приложения? Отвязать порты приложений от портов DSM...

Ничего подобного, не вынуждены.

Я, к примеру, делаю так:

внешний порт 34567 пробрасываю на маршрутизаторе на внутренний 5000. И получаю что бы зайти на НАС набираю ***.***.***.***:34567 в адресной строке.

В штатных приложениях та же тема, ***.***.***.***:34567.

Проблем нет. Запросы ботосети оседают в фаерволе, а после +- часа запросов и вовсе пропали.

Ссылка на сообщение
Поделиться на другие сайты
  • 1 год спустя...
В 11.08.2021 в 00:05, Diafilm сказал:

Ничего подобного, не вынуждены.

Я, к примеру, делаю так:

внешний порт 34567 пробрасываю на маршрутизаторе на внутренний 5000. И получаю что бы зайти на НАС набираю ***.***.***.***:34567 в адресной строке.

В штатных приложениях та же тема, ***.***.***.***:34567.

Проблем нет. Запросы ботосети оседают в фаерволе, а после +- часа запросов и вовсе пропали.

Скажите пожалуйста, какие настройки файрвола рекомендуете поставить, заранее спасибо

Ссылка на сообщение
Поделиться на другие сайты

с 1 сентября начался перебор с учеткой admin на нескольких устройствах (( с разными внешними IP и портам для входа.

Ссылка на сообщение
Поделиться на другие сайты

Двухфакторную авторизацию включить, если кто под админом все настраивал. Ну и число попыток входа до 1 ограничить. И пускай долбятся )))

Ссылка на сообщение
Поделиться на другие сайты

насколько я понял, если пользователь admin отключен, то и атаки сходят на нет. так?

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Фикс сказал:

так?

Нет, конечно. Вас атакует не живой человек, а бот по заданному диапазону адресов и паролей, Он не анализирует причины отказов доступа, а просто тупо переходит к следующему адресу/паролю. Просто с отключенным дефолтным аккаунтом вероятность успешности атаки равно 0.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в этой теме...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Загрузка...
×
×
  • Создать...