Radiohead 0 Опубликовано 9 августа 2021 Жалоба Рассказать Опубликовано 9 августа 2021 Тайбэй, Тайвань—4 августа 2021 года—Synology PSIRT (Product Security Incident Response Team) недавно наблюдала и получала сообщения об увеличении числа брутфорс-атак на устройства Synology. Исследователи безопасности Synology считают, что ботнет в первую очередь управляется семейством вредоносных программ под названием "StealthWorker"." В настоящее время Synology PSIRT не видит никаких признаков того, что вредоносная программа использует какие-либо уязвимости программного обеспечения. Эти атаки используют ряд уже зараженных устройств, чтобы попытаться угадать общие административные учетные данные, и в случае успеха получат доступ к системе для установки вредоносной полезной нагрузки, которая может включать вымогателей. Зараженные устройства могут выполнять дополнительные атаки на другие устройства на базе Linux, включая Synology NAS. Synology PSIRT работает с соответствующими организациями CERT, чтобы узнать больше об известных серверах C&C (command and control), стоящих за вредоносным ПО, и закрыть их. Synology одновременно уведомляет потенциально затронутых клиентов. Synology настоятельно рекомендует всем системным администраторам проверить свои системы на наличие слабых административных учетных данных, включить автоматическую блокировку и защиту учетных записей, а также настроить многоступенчатую аутентификацию, где это применимо. Системные администраторы, обнаружившие подозрительную активность на своих устройствах, должны немедленно обратиться в службу технической поддержки Synology. Дополнительная информация: Как добавить дополнительную безопасность к вашему NAS Synology 10 советов по безопасности для обеспечения безопасности ваших данных Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 9 августа 2021 Автор Жалоба Рассказать Опубликовано 9 августа 2021 От себя добавлю. Атака заключается в попытке подбора пароля к учетной записи admin методом перебора паролей. Попытки осуществляются с разных IP и что примечательно - не более двух попыток с каждого IP. После двух попыток, IP меняется. По этой причине простая блокировка айпишников работает только если блокировать айпи сразу после первой неудачной попытки ввода пароля. У меня два сервера попали под этот перебор. Около 1000 попыток в сутки. Цитата Ссылка на сообщение Поделиться на другие сайты
Radiohead 0 Опубликовано 9 августа 2021 Автор Жалоба Рассказать Опубликовано 9 августа 2021 В связи с этим у меня опять возникает вопрос который я не могу решить уже долгое время. Большинство мобильных приложений Synology для своей работы используют стандартные порты 5000 и 5001 на которых висит Web-сервер DSM. Та самая страница входа в DSM. И если вы хотите из интернета подключится к NAS с помощью мобильного приложения (например DS Chat), вы ВЫНУЖДЕНЫ пробрасывать порты 5000 или 5001 на своем маршрутизаторе и таким образом делаете видимой в интернете ту самую страницу входа в DSM. И этим успешно пользуется ботнет перебирающий пароли... Можно-ли изменить порт по умолчанию для мобильного приложения? Отвязать порты приложений от портов DSM... Цитата Ссылка на сообщение Поделиться на другие сайты
Melody Nelson 0 Опубликовано 9 августа 2021 Жалоба Рассказать Опубликовано 9 августа 2021 В поддержке было что-то про порты в Портале Приложений, но я сама не пробовала, хотя возможно стоит. Также обратный прокси полезная в таких случаях штука, в статье ниже расписано. https://kb.synology.com/ru-ru/DSM/help/DSM/AdminCenter/application_appportalias?version=6 Судя по тому, что тут пишут, должно и для мобильных приложений работать: https://www.synoforum.com/threads/if-i-change-dsm-default-ports-does-that-disable-the-default-port-access-for-mobile-apps.4931/ Цитата Ссылка на сообщение Поделиться на другие сайты
Diafilm 0 Опубликовано 10 августа 2021 Жалоба Рассказать Опубликовано 10 августа 2021 В 09.08.2021 в 20:15, Radiohead сказал: В связи с этим у меня опять возникает вопрос который я не могу решить уже долгое время. Большинство мобильных приложений Synology для своей работы используют стандартные порты 5000 и 5001 на которых висит Web-сервер DSM. Та самая страница входа в DSM. И если вы хотите из интернета подключится к NAS с помощью мобильного приложения (например DS Chat), вы ВЫНУЖДЕНЫ пробрасывать порты 5000 или 5001 на своем маршрутизаторе и таким образом делаете видимой в интернете ту самую страницу входа в DSM. И этим успешно пользуется ботнет перебирающий пароли... Можно-ли изменить порт по умолчанию для мобильного приложения? Отвязать порты приложений от портов DSM... Ничего подобного, не вынуждены. Я, к примеру, делаю так: внешний порт 34567 пробрасываю на маршрутизаторе на внутренний 5000. И получаю что бы зайти на НАС набираю ***.***.***.***:34567 в адресной строке. В штатных приложениях та же тема, ***.***.***.***:34567. Проблем нет. Запросы ботосети оседают в фаерволе, а после +- часа запросов и вовсе пропали. Цитата Ссылка на сообщение Поделиться на другие сайты
Oleg_Tihoplav 0 Опубликовано 6 сентября Жалоба Рассказать Опубликовано 6 сентября В 11.08.2021 в 00:05, Diafilm сказал: Ничего подобного, не вынуждены. Я, к примеру, делаю так: внешний порт 34567 пробрасываю на маршрутизаторе на внутренний 5000. И получаю что бы зайти на НАС набираю ***.***.***.***:34567 в адресной строке. В штатных приложениях та же тема, ***.***.***.***:34567. Проблем нет. Запросы ботосети оседают в фаерволе, а после +- часа запросов и вовсе пропали. Скажите пожалуйста, какие настройки файрвола рекомендуете поставить, заранее спасибо Цитата Ссылка на сообщение Поделиться на другие сайты
vkog 0 Опубликовано 6 сентября Жалоба Рассказать Опубликовано 6 сентября с 1 сентября начался перебор с учеткой admin на нескольких устройствах (( с разными внешними IP и портам для входа. Цитата Ссылка на сообщение Поделиться на другие сайты
SDL2000 0 Опубликовано 7 сентября Жалоба Рассказать Опубликовано 7 сентября Двухфакторную авторизацию включить, если кто под админом все настраивал. Ну и число попыток входа до 1 ограничить. И пускай долбятся ))) Цитата Ссылка на сообщение Поделиться на другие сайты
QwertRob 0 Опубликовано 8 сентября Жалоба Рассказать Опубликовано 8 сентября 19 часов назад, SDL2000 сказал: И пускай долбятся ))) Особенно, если эта дефолтная учетка отключена Цитата Ссылка на сообщение Поделиться на другие сайты
Фикс 0 Опубликовано 9 сентября Жалоба Рассказать Опубликовано 9 сентября насколько я понял, если пользователь admin отключен, то и атаки сходят на нет. так? Цитата Ссылка на сообщение Поделиться на другие сайты
QwertRob 0 Опубликовано 9 сентября Жалоба Рассказать Опубликовано 9 сентября 3 часа назад, Фикс сказал: так? Нет, конечно. Вас атакует не живой человек, а бот по заданному диапазону адресов и паролей, Он не анализирует причины отказов доступа, а просто тупо переходит к следующему адресу/паролю. Просто с отключенным дефолтным аккаунтом вероятность успешности атаки равно 0. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.