NAS sotto attacco, consigli

buntu · Messaggio da **buntu** » 11 dic 2020, 13:05

Buongiorno a tutti, da stamattina ho questa situazione nel mio NAS 219P+

Registro eventi sistema

Registro connessioni del sistema

Ho già disabilitato il servizio SSH che ho aperto su una porta non di default per utilizzare app di sincronizzazione sullo smartphone.
Ho chiuso per sicurezza anche altre porte che al momento non utilizzavo (es. server VPN).
Non ho nulla pubblicato tra i servizi e ho disattivato Cloud Link.

Capisco gli attacchi da SSH ma non mi piacciono invece quei tentativi con utente System da localhost, adesso faccio una scansione da Malware Remover.
I log postati sono solo una piccola parte, l'elenco è ben più lungo.
Consigli?

wozxyz · Messaggio da **wozxyz** » 11 dic 2020, 14:02

Imposta il blocco degli ip dopo n tentativi di accesso falliti.

buntu · Messaggio da **buntu** » 11 dic 2020, 14:09

wozxyz ha scritto: ↑11 dic 2020, 14:02 Imposta il blocco degli ip dopo n tentativi di accesso falliti.

Il blocco era già impostato, difatti gli IP che hanno tentato l'accesso in SSH sono stati bannati. Non capisco dove il NAS "archivi" invece gli IP bannati che sono nella scheda "registro eventi sistema"

wozxyz · Messaggio da **wozxyz** » 11 dic 2020, 14:16

Mi pare che gli ip bannati siano nella stessa scheda dove imposti la protezione.

buntu · Messaggio da **buntu** » 11 dic 2020, 14:30

wozxyz ha scritto: ↑11 dic 2020, 14:16 Mi pare che gli ip bannati siano nella stessa scheda dove imposti la protezione.

Ce ne sono solo 3 in quella lista nonostante nei registri invece siano molti di più

__________________________

UPDATE: come non detto, gli IP c'erano tutti, era solo poco visibile la barra di scorrimento.
Quello che vorrei capire però è il legame SYSTEM e LOCALHOST. Mentre mi è chiaro il tentativo di accesso in SSH non capisco invece quelli "locali"

buntu · Messaggio da **buntu** » 11 dic 2020, 14:39

Credo di aver capito come funzionano i registri. Nell'elenco "registro eventi sistema" il NAS mi sta dicendo che l'utenza interna SYSTEM ha bannato l'indirizzo IP XXXXXX che, come vedo nel Registro connessioni, ha tentato l'accesso in SSH per 5 volte prima di essere bannato.

Ha senso inserire gli indirizzi IP bannati dal NAS all'interno di una black list del modem?

wozxyz · Messaggio da **wozxyz** » 11 dic 2020, 19:59

Male non fa...

buntu · Messaggio da **buntu** » 11 dic 2020, 20:13

Comunque non appena riaprivo sul modem la porta del servizio SSH ricominciavano i tentativi di collegamento. E' bastato rinnovare l'IP pubblico del modem per risolvere.

Per ulteriore sicurezza ho creato un account dedicato al solo servizio SSH

Ma per mia curiosità e conoscenza personale. Come fanno ad utilizzare IP diversi nel giro di pochi secondi? Passano da IP cinesi a russi, americani, ecc

rollerine · Messaggio da **rollerine** » 29 dic 2020, 00:18

successo anche a me ieri sera. Avevo aperto la connessione ssh per un problema che avevo... chiusa subito!

QNAP Club Italia

NAS sotto attacco, consigli

NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli

Re: NAS sotto attacco, consigli