Standard-Admin-Zugang deaktivieren
Synology warnt vor koordinierten Hackerangriffen
Nach QNAP meldet nun auch Synology, dass Hacker gerade koordinierte Angriffe auf über das Internet erreichbare NAS-Systeme fahren. Ziel ist offenbar, die Kontrolle über die Geräte zu erlangen, vermutlich um die Nutzer dann mithilfe von Erpressungstrojanern zu Bitcoin-Zahlungen aufzufordern.
Den uns bislang vorliegenden Informationen zufolge versuchen die Hacker automatisiert, sich über den Standard-Admin-Zugang der Systeme anzumelden. Wer diesen bei der Installation seiner Synology deaktiviert hat, ist fein raus. Sofern dies noch nicht geschehen ist, solltet ihr das unbedingt nachholen. Besser ist es, einen eigenen Admin-Zugang mit entsprechend komplexem Passwort anzulegen.
Wer seine Synology nach außen dicht gemacht hat, ist auf der sicheren Seite. Das Deaktivieren des Standard-Admins empfehlen wir jedoch völlig unabhängig vom Einsatzbereich. Ebenso solltet ihr die von Synology angebotene Möglichkeit zur zweistufigen Authentifizierung nutzen.
Synology empfiehlt Nutzern, die bereits betroffen sind, unmittelbar alle Backup-Aufgaben zu stoppen, das NAS zu resetten und von einer älteren Backup-Version wiederherzustellen. Wir rechnen damit, dass der Hersteller in Kürze noch umfassende Infos nachliefert, bislang gibt es nur einen knappen Facebook-Post zum Thema.
Danke ;)
Es reicht, dem Konto „admin“ ein sicheres Passwort zu geben – oder?
An sich schon, aber somit kennen Sie den Benutzernamen, wenn du einen anderen hast, müssen sie zusätzlich den Benutzernamen rausfinden.
2FA aktivieren und SSH ausschalten und gut isses… auch mit Admin Passwort
ssh muss man nicht ausschalten sondern nur nicht nach außen durchreichen
D.h. die DSM-Loginseite und QuickConnect sind nicht angreifbar, nur SSH?
Danke für euer Update bezüglich der Bilder im Artikel. Funktioniert nun wieder. :)
Leicht OT: wann gibt es denn mal neue NAS von Synology? Die derzeit angebotenen Modelle sind ja schon etwas älter. Da hat sich mittlerweile schon einiges getan in Sachen Leistung und Effizienz.
Alle Modelle mit *19 in der Bezeichnung sind aktuelle Modelle. So zum Beispiel das 1019+
Das bringt der Komfort eben mit sich. Meine Synology ist nur via VPN erreichbar. Man muss sich zwar für den ein oder anderen Usecase ein Workaround einfallen lassen, aber passt schon.
Vielleicht ist ja auch nicht jeder Benutzer ein semi professioneller IT-ler.
Bei mir haben sie es heute mach um 01:40 versucht.
Russland. Ip: 92.37.220.74 – wurde nach mehrmaligen Versuchen von meiner DSM geblockt. HATTE den Zugang aktiviert, aber immer lange generierte Passwörter mit Sonderzeichen verwendet.
Scheint sich ja gelohnt zu haben :-)
Danke für die Info
*heute Nacht / heute Morgen
Bei mir ebenfalls die selbe IP. Hat nur nichts gebracht da ich unter anderem auch 2FA und GeoIP gesetzt habe.
So macht man es richtig. IP nach drei Versuchen gesperrt. Und Tschüss.
Hihi bei uns werden IPs aus dem Ausland gar nicht erst reingelassen.
Danke für die IP, gleich mal manuell der Blocklist hinzugefügt :)
Kann mir jemand sagen, wo ich die Logs für Anmeldeversuche einsehen kann?
Habe zudem auch 2FA aktiviert
Ich kann den Admin Benutzer nicht deaktivieren, Passwort ändern geht
Kann hier jemand helfen
Man kann nicht den Admin deaktivieren, wenn damit angemeldet ist. Zweites Benutzerkonto erstellen und Admin deaktivieren. OmG Leute gibts
Du legst einen neuen Benutzer an (kann jeden Namen haben), vergibst ein langes Passwort (z.B. 32 Stellen mit Sonderzeichen), vergibst dem neuen Benutzer Adminrechte. Danach kannst du in Systemsteuerung > Benutzer den User admin deaktivieren, nicht löschen. Ich würde auch unbedingt den User „guest“ deaktivieren.
Danke
Du musst erst einen neuen Admin Account erstellen den du z.B. Bernd nennst. Sonst würdest du dich selbst aussperren wenn du mir den Admin deaktivierst.
Ein neues Konto erstellen das nicht Admin oder Administrator heißt dann 2FA aktivieren und nur die Ports öffnen die man auch wirklich braucht. Besser wäre aber ein VPN Zugang vor der Syno.
Gehts nur mir so? Ich lese auf dem ersten Blick nur was von Syntology und überfliege es dann erst recht :)
Es geht nur dir so.
Mir auch… ;-)
Als ich noch mein QNAP hatte (und my QNAP Cloud aktiviert) hatte ich so unfassbar viele Anmeldeversuche mit den Namen Admin, Pi, raspberry, user und all so nem Kram. Am häufigsten natürlich Admin. Wenn man das NAS tatsächlich über die Standardports über http und sah erreichbar haben will/muss sollte man wirklich aufpassen. Admin hab ich immer sofort deaktiviert und nur eigene User genutzt. Admin muss man dann allerdings immer mal wieder aktivieren, wenn man root braucht. Das ging bei QNAP nur über den Standard Admin user
Kann jemand überhaupt ohne „Externer Zugriff“ aktiviert zu haben, darauf zugreifen, der Router ist ja noch davor, also 2 mal Passwort gesichert, oder?
Ich habe seit Anbeginn jeden Tag Zugriffe auf mein NAS mit Loginversuchen. Nach zweimaligen falschen Eingeben des Passworts ist die IP dauerhaft gesperrt. Das beingt aber auf Dauer nicht viel. Macht es nur umständlicher für die Angreifer.
Man kann nicht den Admin deaktivieren, wenn damit angemeldet ist. Zweites Benutzerkonto erstellen und Admin deaktivieren. OmG Leute gibts
….und wenn ihr schon dabei seid, dann benutzt doch auch den eingebauten „Sicherheitsberater“ eurer Synology.
Ein wirklich hilfreiches kleines Tool, dass euch „an die Hand nimmt“ um eure Synology DS abzusichern.
Der aktiviert aber nicht die Firewall und auch nicht die Ddos-Attacken, ich musste es manuell aktivieren
Ich habe in der Synology- Firewall alle Zugriffe aus dem Ausland dekativiert. Ich hatte vorher oft Angriffsversuche aus Afrika und China. Jetzt habe ich keine mehr.
Wie das geht :
SYSTEMSTEUERUNG – Firewall – Regeln bearbeiten
Dort dann bei Deutschland „erlauben“ eintragen und dann jedes existierende Land manuell eintragen und dann auf „Verweigert“ setzten.
Das kann für deine Use Case funktionieren. Es gibt jedoch durchaus Leute, die oft aus dem Ausland darauf zugreifen müssen. Außerdem ist eine deutsche IP zu bekommen wohl das geringste Problem für Angreifer.
Ich habe jetzt deinem Rat folgend unter Systemsteuerung/Sicherheit/Firewall ein neues Firewall-Profil angelegt. In dem habe ich als Quell-IP nur Deutschland zugelassen. Ist das korrekt? Funktioniert damit überhaupt noch Quick-Connect?
Musst du halt dran denken wenn du Urlaub machst und Bilder hochladen willst z.b.
Besser ist es 2FA zu nutzen und sperren bei Fehlversuch, das reicht dicke für alle aus.
Ich habe mehrere Nutzer, zb. einen für das iphone. einen Media für Apple usw.
Müssen die alle 2FA haben oder reicht es wenn der Admin das hat?
Richtet ein Fritzbox VPN und Dial in von Profil auf dem iPhone ein, das ist das sicherste.
Wie kann ich denn vom Windows PC über VPN auf die Fritzbox mit angeschlossenem Synology NAS zugreifen? Daran ist es wegen der Kompatibilität der Windows Protokolle immer gescheitert bisher… Einziger Grund, warum die Synology nach außen offen ist bei mir…
VPN auf der Fritz box einrichten. Auf den Seiten von AVM gibt es auch Anleitungen für eine Win PC VPN Software. Funktioniert bei mir problemlos
Meiner Ansicht nach muss man da nichts machen, denn in der Grundeinstellung führen 10 fehlerhafte Logins zur permanenten Sperrung der IP.
Im Minimalfall am Besten nach Ländern IPs sperren, die zugreifen dürfen. Im Bestfall DynDNS o.ä. deaktivieren. Ich greife nur noch über VPN auf meine Synology von aussen zu.
Gibt es da eine kostenlose Variante. Im Moment schaffe ich es DDNS gar nicht einzurichten. Versuche es alle paar Wochen mal wieder aber leider klappt das nicht.
Über die fritz box!
ich habe einfach alle „gefährlichen“ länder geblockt