Как защитить Synology от взлома

[Шурави 0]

Решил создать тему которая думаю будет актуальна для многих, не только для меня.

Использую 916+ уже 6 лет с белым постоянным IP, на нем вебсайт, DNS сервер, FTP, MailPlus Server и так далее.

Немножко пред истории.

В общем все знают что периодически горе хакеры пытаются влезть в систему по FTP и MailPlus Server подбирая логины, пароли. Об этом сигнализирует NAS в журналах показывая логи.

У меня в настройках безопасности раньше стояло блокировать таких при 10-и неудачных попытках подключения /думаю у всех так по умолчанию/. Были попытки 1-2 в неделю, а то и реже. В последний год участились, снизил порог до 3-х попыток. С февраля, не знаю связано это с войной или нет, количество попыток влезть на NAS увеличилось в несколько раз. Снизил порог до 1-й попытки /нефиг им давать шансы/. В день по несколько попыток взлома с разных стран.

Смотря логи вижу, что имена логинов и юзеров даже близко не соответствуют моим. Пароли конечно я не вижу которые они используют. Но со вчерашнего вечера по логам вижу что лезут в MailPlus Server с именем юзера который у меня есть, причем с разными именами моих юзеров /у меня пару десятков имайлов с моим доменом для разных задач/.

Так вот эти имайлы используются в разных местах. Не так что какой то форум взломали, украли базу данных юзеров и потом шерстят, причем нужно знать куда применить этот логин /имайл/.

Видимо взломщику /думаю он один, хоть и лезет с разных IP, стран/ удалось как то получить имена имайлов с Synology.

Сменить имена в большинстве имайлов не представляется возможным, так как очень много форумов, сайтов, интернет ресурсов на которых они зарегистрированы и менять их работа еще та. Есть конечно имайлы которые я использую только для работы с клиентами, я могу их сменить, но тогда потеряется /обратная/ связь с клиентами с которыми уже был контакт.

А теперь что я делал чтобы снизить атаки/видимость Synology в Интернете.

- В роутере /у меня Asus/ через который NAS сидит в Интернете включил OpenVPN и захожу на NAS только через VPN /посоветовали на форуме 4pda/.

- Отключил в роутере UPnP.

- Включил в роутере NAT.

- Перенастроил фаирвол в NAS, заблокировав страны которым запрещено подключаться к определенным приложениям.

- Отключил Quick Connect, подключаюсь к NAS по DDNS.

Количество попыток резко сократилось.

Но вот вчерашняя угроза меня сильно беспокоит, хоть и нет IP страны для которой разрешено использование MailPlus Server, и поэтому все попытки взлома отсекаются и блокируются. Но ведь как то злоумышленник получил список моих имайлов.

Хоть и не было ни разу в попытках взлома IP моей страны за все годы использования NAS, меня эта ситуация сильно беспокоит.

*** Давайте обсудим как снизить видимость NAS в Интернете и усилить безопасность.

[padla 0]

6 часов назад, Шурави сказал:

Но ведь как то злоумышленник получил список моих имайлов.

 

6 часов назад, Шурави сказал:

Сменить имена в большинстве имайлов не представляется возможным, так как очень много форумов, сайтов, интернет ресурсов на которых они зарегистрированы и менять их работа еще та.

 

6 часов назад, Шурави сказал:

DNS сервер

Какова вероятность, что инфа о мыло на форуме засветилось в открытом доступе (профиль и т.д.)? По имени сервера дальше с этим мылом враги и стучаться...

6 часов назад, Шурави сказал:

Давайте обсудим как снизить видимость NAS в Интернете и усилить безопасность.

FTP: перейти на SFTP с доступом по ключам

По мыловарне не подскажу.

[Шурави 0]

15 часов назад, padla сказал:

Какова вероятность, что инфа о мыло на форуме засветилось в открытом доступе (профиль и т.д.)? По имени сервера дальше с этим мылом враги и стучаться...

В открытом доступе имайлы никогда не даю. Имайлы только в профиле. Если нужно дать имайл в открытом доступе как например на своем канале в ютуб для просящих в комментариях, регистрирую временный на специальных серверах и выдаю.

15 часов назад, padla сказал:

FTP: перейти на SFTP с доступом по ключам

Попробую. Так как часто даю доступ клиентам на скачивание программ. Даю им логин с их именем и генерирую пароль с доступом на месяц, потом естественно удаляю которые отключились по срокам.

Но по FTP не лезут, очень редко. Только к MailPlus Server пытаются подключиться.

За сегодняшнюю ночь два десятка попыток подключения. Причем использовались иногда имена имайлов которых у меня нет.

Я не знаю может eBay взломали. У меня было несколько аккаунтов на eBay они заброшены с 2018 года, остался один и тот я переименовал и сменил все данные.

Так вот эти заброшенные аккаунты на eBay имели имайлы имена по которым стучатся, а так же имайлы которые были связаны с ними на доступ к PayPal.

Но думаю что с eBay всё в порядке всё таки, иначе бы я получил уведомление, что кто-то вошел в аккаунт, да PayPal. тоже заистерил бы он не любит когда с другого IP заходят в аккаунт.

*** Если так пойдет, то за год в моем черном списке, заблокированными будут все IP VPN сервисов и прокси 

 не было бы так смешно если бы не было так грустно.

А лезут с целью сделать рассылку и использовать мой сервер как отправитель, так как получаю вот эту надпись в логах: 

Failed to send email. (554 5.7.1 <unknown[192.168.1.1]>: Client host rejected: Access denied).

«Ошибка сервера: отказ в доступе к ретрансляции 554 5.7.1»  возникает по двум основным причинам. Первая причина в том, что ваш сервер исходящей почты (SMTP) не позволяет отправлять электронные письма без аутентификации пользователя, а другая причина в том, что ваш адрес электронной почты помечен в списках спама как источник спама. 

Ну в спам листах я не числюсь, поэтому так как включена идентификация, отослать письма без доступа невозможно. Но взломщик упорно пытается это сделать. Хорошо, что сделал блокировку IP с одной неудачной попытки, усложнив жизнь взломщику.

В общем в дальнейших поисках рекомендаций по защите Synology.

[padla 0]

Port Knocking не поможет? Или пользователей много и они неквалифицированны?

[Шурави 0]

Пользователей не много, они только по FTP имеют доступ к некоторым файлам на скачивание /клиенты купившие программы/. По FTP очень редки попытки подключиться анонимно или по какому то логину.

К другим сервисам и доступ к NAS только у меня.

И как применить Port Knocking к MailPlus Server на который ломятся?

У меня в файрволе стоит запрет к MailPlus Server из всех стран кроме как из моей страны. Попыток подключиться подобрав пароль с моей страны не было.

Меня мучает вопрос, ну нафига ломиться, если они видят что им обламывается подключение, идет сразу блокировка по IP? Неужели думают что смогут подобрать сложный пароль? Идите ломайте другие более доступные сервера.

[QwertRob 0]

1 час назад, Шурави сказал:

Меня мучает вопрос, ну нафига ломиться

Вы персонифицируете обычные боты. Ничего они не "видят", просто отрабатывают заложенный алгоритм.

[padla 0]

2 часа назад, Шурави сказал:

И как применить Port Knocking к MailPlus Server на который ломятся?

Поставить через opkg

padla@ds:~$ /opt/bin/opkg list | grep knock
knock - 0.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking client.
knockd - 0.8-1 - It listens to all traffic on an ethernet (or PPP) interface, looking for special "knock" sequences of port-hits. A client makes these port-hits by sending a TCP (or UDP) packet to a port on the server. This port need not be open -- since knockd listens at the link-layer level, it sees all traffic even if it's destined for a closed port. When the server detects a specific sequence of port-hits, it runs a command defined in its configuration file. This can be used to open up holes in a firewall for quick access. This package contains the port-knocking server.
padla@ds:~$ 

Как минимум в репозитории для DSM 7.0, как видим, имеется. Пример настройки.

 

2 часа назад, Шурави сказал:

У меня в файрволе стоит запрет к MailPlus Server из всех стран кроме как из моей страны. Попыток подключиться подобрав пароль с моей страны не было.

Ну в таком случае сделайте белый список, вместо черного.

2 часа назад, Шурави сказал:

Меня мучает вопрос, ну нафига ломиться, если они видят что им обламывается подключение, идет сразу блокировка по IP? Неужели думают что смогут подобрать сложный пароль? Идите ломайте другие более доступные сервера.

Ничего они не видят. Это лишняя информация для ботнета. Стандартно один запрос с одного ip.

Если из 10 млн. запросов один проканает - ужо отлично. Не в ручную ж они перебирают.

[QwertRob 0]

23 минут назад, padla сказал:

Стандартно один запрос с одного ip.

Да как настроят, хоть сотню.

[Шурави 0]

5 часов назад, padla сказал:

Поставить через opkg

Для  меня это тёмный лес, команды. Пробовал как делать не смог подключиться к серверу. Тем более что нужно быть в локалке, а я нахожусь в другом городе.

5 часов назад, padla сказал:

Ничего они не видят. Это лишняя информация для ботнета. Стандартно один запрос с одного ip.

Если из 10 млн. запросов один проканает - ужо отлично. Не в ручную ж они перебирают.

Когда стояла блокировка на 10 попыток, то проверяя логи, видел, что использовались все 10 попыток.

Да и подключения идут с разным интервалом, видимо бот либо в ручную запускают на какое то время, либо всё таки ручками.

Так как бывают несколько попыток в течении часа, естественно с разных IP и стран, то с перерывом в 2-3 часа одна попытка, потом спустя 15 часов попытка...

С такими успехами у меня соберётся обширная база черных IP /VPN и прокси серверов/ а подобрать пароль так и не смогут. Я его с клавиатуры то набрать не могу, там куча специфических символов, только copy/paste.

Сильно доставал один диапазон адресов, по 3-5 попыток в день, сейчас угомонился, до 1-й попытки в день. 

Это:

77.40.0.0 - 77.40.127.255

xDSL dynamic pools
Russian Federation

Vasiliy Golovin
VolgaTelecom Mari El branch
Sovetskaya 138
424000 Yoshkar-Ola
phone: +78362664526

Konstantin A Maryshev
Sovetskaya 138
424000 Yoshkar-Ola
phone: +7-8362-664404
phone: +7-8362-231719

MARI-VOLGATELECOM
Source: whois.ripe.net

Писал Росстелекому, предоставив логи, чтобы приняли меры, но получил стандартный автоматический ответ автоответчика и на этом всё.

Пошерстив Интернет, нашел что с этого диапазона IP бтутосят многих, иностранцы пишут на различных сайтах, вносят в чёрный список.. но как говорится - а воз и ныне там. 

5 часов назад, padla сказал:

Ну в таком случае сделайте белый список, вместо черного.

Белый список тоже есть.

[QwertRob 0]

Так заблокируйте весь cidr 77.40.0.0/17

[Шурави 0]

19 часов назад, QwertRob сказал:

Так заблокируйте весь cidr 77.40.0.0/17

Не понял как это и где применить.

Но за идею спасибо, в брандмауре добавил правило заблокировав все порты и все приложения введя диапазон адресов: 77.40.0.0 - 77.40.127.255

[QwertRob 0]

2 часа назад, Шурави сказал:

заблокировав все порты и все приложения введя диапазон адресов

Так это то же самое, просто разная нотация 

[Шурави 0]

После всех блокировок и периодических блокировок диапазонов IP адресов стали меньше лезть на MailPlus Server.

Но уже лезут с логинами /именами имайлов моего домена/ которые не существуют.

Закрыл выходящие порты на MailPlus Server для всех кроме меня. Стало еще меньше попыток взлезть, почти нет, 2-3 в сутки.

На FTP редко лезли по стандартному протоколу на 21 порту, 1-2 попытки в сутки.

Новых клиентов уведомил, что подключение к файлам теперь через SFTP по протоколу SSH только.

- отключил обычный FTP на 21 порту /заблокировал порт в фаирволе на NAS и удалил 21 порт из проброса в роутере/.

- пробросил на роутере порт 22 через которой NAS выходит в сеть, иначе подключение по SSH не работает.

И что вы думаете?

Полезли как тараканы. Только за сегодняшнюю ночь более 20 попыток залезть по SSH. Используют как правило имена: admin, root, support /такие логины я никогда не использую, admin вообще отключен/.

Видимо пока был FTP на 21 порту это их практически не интересовало. Как FTP стал идти по SFTP на 22 порту, всем стало интересно.

 

[Accelerator 0]

3 часа назад, Шурави сказал:

пробросил на роутере порт 22 через которой NAS выходит в сеть, иначе подключение по SSH не работает.

Сделайте перенаправление из порта типа 2022 или какого-то еще более нестандартного на 22 порт в NAS и количество попыток опять уменьшится.

[Шурави 0]

26 минут назад, Accelerator сказал:

Сделайте перенаправление из порта типа 2022 или какого-то еще более нестандартного на 22 порт в NAS и количество попыток опять уменьшиться.

я тоже об этом подумал, сейчас сделал проброс с нестандартного порта на 22