Loginversuch auf FTP von Unbekannt

Status
Für weitere Antworten geschlossen.

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
hab gestern FTP freigeschaltet und heute dies im Protokoll

FTP LoginVersuch.JPG

vermultich ein bot der einen Login-Versuch unternommen hat.

Grund, sich Gedanken zu machen?
Wie kann man sich schützen?

Hab den FTP-Port im router erstmal wieder zu gemacht ....
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
sowas passiert immer wieder. Warum nutzt du FTP und nicht SFTP???
Wenn du den Port nicht brauchst immer zulassen, nur öffnen was notwendig ist!
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
5.525
Punkte für Reaktionen
1.360
Punkte
234
Grund, sich Gedanken zu machen?
Ach was, warum? Da versucht doch nur einer mit einer Brechstange an deiner Haustür zu hebeln. Da muss man sich doch keine Gedanken machen. (ironie-off)

Wie kann man sich schützen?
So wenig Haustüren wie möglich. Und Haustüren nicht an bekannten Orten (z.B. Port 21 für FTP), sondern ruhig weiter oben (z.B. Port 32721), einfach da, wo weniger (!) gesucht wird.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Wie schon im anderen Thread kurz geschrieben.

Überleg dir, wer Zugriff haben soll? Wenn wenige oder nur du, wäre VPN die sicherste Lösung. Auch dort werden es Böse mit der Brechstange probieren, aber der Angriffsvektor ist weit geringer.

Wenn du Ports öffnest, wird es Angriffe geben. Das lässt sich nicht verhindern.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
ok danke, ich dachte FTP funktioniert nur mit Port 21, jedenfalls konnte ich bei meinem alten NAS das irgendwie nur mit dem Port machen.

Wie würde ich vorgehen?
1. Portweiterleitung in der FB von 21 an 55000
2. in der DS FTP auf Port 55000 laufen lassen
3. im FTP client-Programm den Port 55000 eingeben

Zur Erinnerung, die FritzBox hat einen eingebauten FTP-Server, der auch auf 21 läuft.

Und noch was:
Port 21 alleine reicht nicht, automatisch werden auch noch die Porst 55536-55543 frei gegeben.
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
874
Punkte
268
wenn du zwei Server hast die beide auf dem gleichen Port hören, dann geht es sowieso nicht.

Du kannst den FTP in DS halt auf 55000 stellen und den Port 55000 dann im Router zu der DS weiterleiten und im FTP Client natürlich auch so angeben.
Die passiv Ports müssen dann natürlich auch entsprechend auf die DS geleitet werden.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Nochmal Bezug nehmend auf Post#2. Warum kein sichereres SFTP? Hier genügt die Freigabe eines beliebigen Ports.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
wenn ich von aussen zugreifen will, geht nur FTP
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Warum?
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
k.A. evtl. Proxy Server im office?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
ok danke, ich dachte FTP funktioniert nur mit Port 21, jedenfalls konnte ich bei meinem alten NAS das irgendwie nur mit dem Port machen.

Wie würde ich vorgehen?
1. Portweiterleitung in der FB von 21 an 55000
2. in der DS FTP auf Port 55000 laufen lassen
3. im FTP client-Programm den Port 55000 eingeben

........
Genau anders herum wird ein Schuh draus:
Du versteckst den (S)FTP Port an der Fritzbox nach aussen, in der DS bleibt alles so wie es ist.
Beispiel:
Internet>44812 in der Fritz
Fritz>Portweiterleitung 44812 auf 22 (SSH/SFTP) der DS

Die UDP Ports von FTP steuern den Datenverkehr bei FTP Übertragungen. SSH nutzt diese nicht, daher können diese Ports bei SFTP zu sein.
Den nach aussen zeigenden Port solltest du dir genau aussuchen, nicht dass du durch Zufall auf einem landest, der gerne gescanned wird weil bekannt durch andere Hardware oder Software.
 

HHE3eich

Benutzer
Mitglied seit
27. Jun 2014
Beiträge
502
Punkte für Reaktionen
16
Punkte
44
jetzt mal konkret wenn ich FTP (nicht SFTP) einrichten will:

1. in der DS unter Systemsteuerung - Dateidienste - FTP eintragen:
[x] FTB aktivieren
Zeitlimit 300
Port: 21
Port passiver FTP = Standard (55536-55543)

2. in der FB
[X] Portfreigabe aktiv für andere Anwendung
Protokoll: TCP
von Port 21 bis Port 21
an Computer: Diskstation
an Port 21

3. in meinem FTP-Programm (FreeCommander)
meine DynDNS Adresse und Port 21

damit funktioniert der Zugriff.

So, jetzt ändere ich die rot geschriebenen Zahlen von 21 in 44812

Läuft leider nicht, Error: timeout
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
99
Punkte
134
Wenn du von 21 auf 44812 änderst, musst du das in Einstellungen (also in deinem Beitrag 4. Zeile) ebenfalls diese neue Port eingeben.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
3.979
Punkte für Reaktionen
516
Punkte
174
Es geht darum nach Aussen von Port 21 weg zu kommen. Daher in der Fritz Port 44812 bis 44812 an Computer: DS Port 21
Wenn du dann von Aussen zugreifen willst musst du im FTP Client den Port 44812 vorgeben. Das ist alles.
Grundsätzlich sind die typischen Ports wie FTP, WebDav aber auch die 5000 und 5001 etc der Syno Standard Ports, die von Aussen immer wieder gescannt werden. Daher würde ich niemals diese Ports 1:1 nach Aussen öffnen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.826
Punkte für Reaktionen
46
Punkte
74
Port passiver FTP = Standard (55536-55543)

Und nicht vergessen, die passiven Ports in der Fritzbox ebenso freizugeben!
Versteh immer nicht, wieso ihr das Prozedere hinter den Portweiterleitungen nicht begreift! Deshalb hier nochmal das Ganze als Geschichte:


Wenn irgendwer an Deiner Wohnung (Deinem Anschluss) vor der Tür steht, dann sieht der -statt ner Haustür- eine Fritzbox. Und dort fragt er erstmal "Ich möchte FTP auf Port 44812 verbinden - mach ma!!!" Darauf sagt die Fritzbox dann "Iss okay!" und guckt dabei in ihrer Liste (der Portweiterleitungen) wohin das Signal dann weitergehen soll! Merkt irgendwann "Ehh DiskStation, da iss jemand für Dich an der Tür und will auf Deiner 21 kommunizieren! Mach ma auf!"
Darauf die DiskStation "Ja okay, lass rein! Bin bereit!" Darauf kloppt der Neuankömmlich dann an die Tür der DiskStation (auf 21 - ohne das selbst zu wissen, er weiss nur 44812) und die DiskStation gibt über einen der passiven Ports Bescheid "Ja hallo hier DiskStation, Sie wünschen bitte?!"
Das bekommt die Fritzbox dann wieder ab und merkt, dass da auf -sagen wir- Port 55536 was von der DiskStation gefaselt wird und gibt das (sie guggt wieder in ihre Liste - "aah ja 55536 soll auf 55536 nach draußen weitergeleitet werden") zum vor der Tür Stehenden auf Port 55536 weiter.
Der vor der Tür sagt darauf dann wieder "Ja hallo hier Client XYZ, ich würde gern den FTP Server auf Port 44812 nutzen!" zu Fritzbox. Letztere gibt das an die DiskStation weiter (auf Port 21) und die antwortet wieder an die Fritzbox "Frach den ma nach'm Benutzernamen!"
Die Fritzbox daraufhin zu dem vor der Tür: "Benutzername!!!! Zack Zack!"
Der vor der Tür: "Client XYZ!"
Fritzbox zur DiskStation: "Er sagt Client XYZ!"
DiskStation zur Fritzbox: "Ja, passt und was fürn Passwort???"
Fritzbox zur Tür: "Passwort?????"
Vor der Tür: "Passwort ist 12345678!"
Fritzbox zur DiskStation: "12345678!"
DiskStation zur Fritzbox: "Alles klar, kann weitermachen, ich schick jetzt mal den Verzeichnisinhalt über Port 55539"
Fritzbox denkt sich: "Port 55539??? Ach ja - weiterleiten auf 55539 aussen an der Tür!"
...und zur Tür: "Ja passiern und hier noch der Verzeichnisinhalt!!! Bitte!"
Tür: "Danke...glotz glotz"

Und jetzt denk Dir einfach mal, was passiert wenn eine der Portweiterleitungen nicht richtig gesetzt ist....!
Das schöne an den Weiterleitungen ist, dass der Draußen nicht weiss, welche Ports innerhalb benutzt werden, weil Fritzbox dem nicht sagt, wie sie nach innen an die Geräte labert.
Somit ist zwar draußen weltweit bekannt dass FTP auf Port 21 passiert, aber die Fritzbox geht dort nicht ran, weil sie ja nur auf Port 44812 reagiert! Das weiss aber draußen kein Schwein!
Und ein Schwein probiert halt (aus Zeitgründen) immer erstmal die bekannten Ports 21, 22, 80, 443, usw. um irgendwo einzubrechen!
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat