Pagina 1 di 1
NAS sotto attacco, consigli
Inviato: 11 dic 2020, 13:05
da buntu
Buongiorno a tutti, da stamattina ho questa situazione nel mio NAS 219P+
Registro eventi sistema
Registro connessioni del sistema
Ho già disabilitato il servizio SSH che ho aperto su una porta non di default per utilizzare app di sincronizzazione sullo smartphone.
Ho chiuso per sicurezza anche altre porte che al momento non utilizzavo (es. server VPN).
Non ho nulla pubblicato tra i servizi e ho disattivato Cloud Link.
Capisco gli attacchi da SSH ma non mi piacciono invece quei tentativi con utente System da localhost, adesso faccio una scansione da Malware Remover.
I log postati sono solo una piccola parte, l'elenco è ben più lungo.
Consigli?
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 14:02
da wozxyz
Imposta il blocco degli ip dopo n tentativi di accesso falliti.
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 14:09
da buntu
wozxyz ha scritto: ↑11 dic 2020, 14:02
Imposta il blocco degli ip dopo n tentativi di accesso falliti.
Il blocco era già impostato, difatti gli IP che hanno tentato l'accesso in SSH sono stati bannati. Non capisco dove il NAS "archivi" invece gli IP bannati che sono nella scheda "registro eventi sistema"
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 14:16
da wozxyz
Mi pare che gli ip bannati siano nella stessa scheda dove imposti la protezione.
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 14:30
da buntu
wozxyz ha scritto: ↑11 dic 2020, 14:16
Mi pare che gli ip bannati siano nella stessa scheda dove imposti la protezione.
Ce ne sono solo 3 in quella lista nonostante nei registri invece siano molti di più
__________________________
UPDATE: come non detto, gli IP c'erano tutti, era solo poco visibile la barra di scorrimento.
Quello che vorrei capire però è il legame SYSTEM e LOCALHOST. Mentre mi è chiaro il tentativo di accesso in SSH non capisco invece quelli "locali"
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 14:39
da buntu
Credo di aver capito come funzionano i registri. Nell'elenco "registro eventi sistema" il NAS mi sta dicendo che l'utenza interna SYSTEM ha bannato l'indirizzo IP XXXXXX che, come vedo nel Registro connessioni, ha tentato l'accesso in SSH per 5 volte prima di essere bannato.
Ha senso inserire gli indirizzi IP bannati dal NAS all'interno di una black list del modem?
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 19:59
da wozxyz
Male non fa...
Re: NAS sotto attacco, consigli
Inviato: 11 dic 2020, 20:13
da buntu
Comunque non appena riaprivo sul modem la porta del servizio SSH ricominciavano i tentativi di collegamento. E' bastato rinnovare l'IP pubblico del modem per risolvere.
Per ulteriore sicurezza ho creato un account dedicato al solo servizio SSH
Ma per mia curiosità e conoscenza personale. Come fanno ad utilizzare IP diversi nel giro di pochi secondi? Passano da IP cinesi a russi, americani, ecc
Re: NAS sotto attacco, consigli
Inviato: 29 dic 2020, 00:18
da rollerine
successo anche a me ieri sera. Avevo aperto la connessione ssh per un problema che avevo... chiusa subito!