Angriff von außen ? Konsequenzen

[Maarthok]

Ich habe mich grad gewundert, daß auf einmal meine Diskstaion DS207+ angesprunden ist, und alles wie wild geblinkt hat. Zunächst habe ich mir nichts dabei gedacht (kann ja evtl. nen Freund auf die Photo-Station zugreifen), aber dann mal im System-Verbindungsprotokoll nachgesehen.

Dort stand folgendes:

Warning 2008/06/13 21:48:31 guest FTP client [guest] from [67.18.229.146] was rejected to log in the server

Das ging dann ca. 2 Minuten so (3 bis 4 Meldungen pro Sekunde)

Danach kam diese Meldung:

Warning 2008/06/13 21:49:54 User FTP client [User] from [67.18.229.146] failed to log in the server.

Wiederum ca. 3 bis 4 Versuche/Meldungen pro Sekunde

Ich hab dann die IP automatisch blocken lassen

Information 2008/06/13 21:57:32 admin Add host IP [67.18.229.146] to blocking list by [system].

Was hat das zu bedeuten ?

Die IP von der der "Angriff" kam, war eine Adresse aus Houston/TX.

Die Sache ist nur die, meinen Server kennen eigentlich nur so ca. 5 Leute.

Ergänzend noch: Mein Router leitet alle Ports auf die Diskstation um. Auf der Diskstion ist eigentlich alles aktiviert. Anonymos FTP für einen Ordner (derzeit leer). Ansonsten alles mit Passwort.

 

[T4B_]

Hi Maarthok

Ich hab dann die IP automatisch blocken lassen

Ja, das sollte man schon tun! Und wenn du in ein paar Tagen mal in die Logdatei schaust, wirst du dich wundern, was sich da so angesammelt hat.

Was hat das zu bedeuten ?

Genau das was du vermutest: ein Angriff von außen.

Die IP von der der "Angriff" kam, war eine Adresse aus Houston/TX.

Die kommen von über all her. Oftmals auch aus Asien...

Die Sache ist nur die, meinen Server kennen eigentlich nur so ca. 5 Leute.

Sobald du einen Server im Netz hast, kann ihn quasi jeder sehen - auch wenn ihn sonst niemand kennt. Dafür werden sogenannte Portscanner verwendet. Die schauen (ganz automatisch) welche IP-Adressen "aktiv" sind und prüfen dann, welche Dienste darauf zu erreichen sind.

Ach so: Konsequenzen??? Ja, was soll das schon für Konsequenzen haben? Willste die Leute verklagen?? Du kannst nur hoffen, das sie nicht schon früher mal bei dir eingebrochen sind und sich Daten mitgenommen haben, die dich in eine unangenehme Situation bringen könnten...

 

[itari]

@maarthok,

wahrscheinlich hat T4B_ mit seiner Analyse recht, dass es sich um einen Angriff handelt, wobei 'Angriff' nicht unbedingt gleichzusetzen wäre, dass dich jemand stören will. Manchmal wollen die Leute nur sehen, was du für Daten hast (Medienkonzerne, Sicherheits-Fans, Suchmaschinen ...). Gelegentlich wird man auch ein Opfer einer 'Verlinkung' (jemand hat deine Adresse auf seiner Homepage, im Blog oder sonstwo und das wurde per Suchmaschine gefunden). Manchmal wird man Opfer einer Verwechselung: Dynamische DNS wurde nicht korrekt registriert bzw. verworfen; deine (temporäre) IP-Adresse, die du von deinem Provider zugeteilt bekommen hast, hatte jemand registriert, der vielleicht annahm, das sie eine permanente wäre, und versucht nun per IP-Nummer (auf eigentlich einen anderen Host) zuzugreifen und landet nun fälschlicherweise bei dir.

Oder es sind - wie T4B_ schon erklärt hat - Leute, die per IP/Port-Scanner auf der Suche nach irgendwas sind (irgendwas = sie wollen bei dir etwas installieren, damit sie vielleicht ihr Geschäft besser machen können , z. B. damit du für sie Mails versendest oder ihre Statistiken über Sicherheitslöcher einer breiteren Basis zuführen oder oder oder).

Zu den Konsequenzen:

Neben der eher lustig gemeinten Verklagung allen Übels, kannst du 'Beschwörungen' vornehmen (Woodoo wäre ganz gut ). Zum Beispiel könntest du deinen Router 'verhexen', so dass er nicht mehr alle Port-Adressen auf deine DS umleitet. Für den Fall, dass dein Router sich gegen solch Hexenwerk als resistent erweist, sollst du ihn entsorgen und dir einen neuen Weiterleitungs-Knecht zulegen, der deinen Wünschen ohne zu Murren folgt, sprich: eine Firewall enthält und dir bei deinem stillen Kreuzzug gegen die Bösen im Internet zur Seite steht.

Spaß beiseite: Wie haben alle mit dem Problem zu tun und versuchen durch geschickte Sicherungsmaßnahmen was dagegen zu tun. Aber ein Restrisiko bleibt. Deshalb auch hier nochmal der Ratschlag: ein am öffentlichen Netz hängendes Teil sollte keinesfalls Daten enthalten, die man nicht auch auf eine Postkarte schreibt, ansonsten müssen sie verschlüsselt werden oder am besten gar nicht erst drauf. Und mach Sicherungen, damit dir bei einem Ausfall der DS (auch das könnte das Ergebnis eines Angriff sein), die Daten nicht total verloren gehen.

 

[Maarthok]

Gut daß ich nun dieses "Auto-Blocken" aktiv hab.

Vergeht eigentlich kein Tag, an dem nicht jemand versucht auf den ftp-Service zuzugreifen und dann nach ein paar Versuchen geblockt wird.

Gibt es sonst noch Tips, wie man die Diskstation weiter absichern kann ?

 

[T4B_]

Gibt es sonst noch Tips, wie man die Diskstation weiter absichern kann ?

Ja! Das gilt aber nicht nur für die DS: benutze immer ein starkes Passwort!.
Und: benutze, wenn möglich, immer den sicheren Kanal:
Web => HTTPS-Verbindung aktivieren => Die Internetverwaltung automatisch zu einem sicheren Kanal umleiten.
FTP => Nur SSL/TLS-Verbindung erlauben

 

[Maarthok]

Ich hab den Router (Firewall) nun so konfiguriert, daß alles was von außen kommt, ausschließlich zur DS umgeleitet wird. Der Rest des Netzwerks (1 PC, 1 Laptop, 1 iPod und 1 iPhone ^^) sollten damit eigentlich sicher sein. Auf den PCs läuft sowieso noch eine weitere Firewall/Virenscanner.

Wenn müßte man bei mir also über die DS gehen.

Wenn da nicht jemand das Passwort rausbekommt (das ist einigermasen "stark"), sollte eigentlich nichts passieren oder ?

Sorry daß ich manchmal so "dumm" frage, aber das ist alles neu für mich ^^. Bisher war der Router halt komplett zu nach außen hin und ich hab mich da nicht weiter drum gekümmert bis ich nun die Ds gekauft und installiert habe :>

 

[T4B_]

Eine Firewall kann geknackt werden. Trojaner auf Laptop&Co. öffnen Tür und Tor. Virenscanner machen schon mal Falschmeldungen. Genau so können sie auch schon mal was übersehen...

Dumme Fragen sehen anders aus. Die gibt es hier auch. Würde ich aber auch nicht drauf antworten....

 

[itari]

Ich würde nicht "alles" von dem Router auf die DS umleiten, sondern nur die Ports, die du auch auf der DS bedienen willst. Zur Erläuterung: über die Portnummer gelangen die Netzwerkdatenpakete zu dem jeweiligen Dienst (ftpd, httpd, telnetd ...) und du willst sicher nicht, dass jemand von draußen deinen telnetd benutzt. Schau einmal in die Datei /etc/services (more /etc/services), da sind die Portnummern den Diensten/Servern zugeordnet. Man kann sich auch auf der DS (telnet) mit dem Kommando: netstat -an ansehen, welche Dienste auf Datenpakete warten. Nicht erschrecken, das sind mehr als man denkt.

Der Laptop sollte auch eine Firewall und einen Virenscanner spendiert bekommen .

Ja und den Router sollte man so einstellen, dass man ihn nur von lokalen Netz aus administrieren kann (ich hoffe, der hat auch ein starkes Passwort)

Und zuletzt noch ein Hinweis zu den Passworten: nicht nur stark sollen sie sein, sondern sie wollen auch häufig gewechselt werden. Aber wem erzähl ich das, das machst bestimmt schon: Nach dem Baden am Samstag die üblichen Dinge tun, wie Cookies aufräumen, Platten scannen und danach einfach die Kennworte auf allen Systemen wechseln

 

[Supaman]

Gibt es sonst noch Tips, wie man die Diskstation weiter absichern kann ?

- nach "außen" einen anderen ftp-port verwenden, z.b. port 2021 den du im router auf intern 21 weiterleitest
- sofern möglich ftp für allgemein bekannte user guest, admin, administrator etc sperren
- gute passwörter die nicht im wörterbuch stehen

 

[knox]

Gut daß ich nun dieses "Auto-Blocken" aktiv hab.

Vergeht eigentlich kein Tag, an dem nicht jemand versucht auf den ftp-Service zuzugreifen und dann nach ein paar Versuchen geblockt wird.

Gibt es sonst noch Tips, wie man die Diskstation weiter absichern kann ?

Und ich dachte ich wäre der Einzige... alle 2 Tage ist mindestens eine neue IP im Block drin....

so ein Mist! Hab keinen Bock, dass da was geknackt wird!!!!

 

[B767]

Und ich dachte ich wäre der Einzige... alle 2 Tage ist mindestens eine neue IP im Block drin....

so ein Mist! Hab keinen Bock, dass da was geknackt wird!!!!

bei mir war das auch so, seitdem ich FTP nur noch über SSL erlaube, ist Ruhe, man kommt zwar nur noch über ein FTP Programm ran, aber für die gelisteten User ja kein Problem.

Ob es mit der fehlenden Zugriffsmöglichkeit per Browser zusammenhängt?

Grüsse
B767

 

[itari]

@knox

cool bleiben ... das sind sicher nur DS aus fremden Ländern, die sich langweilen und mal mit deiner DS ein Schwätzchen halten wollen. DS sind auch nur Menschen

 

[T4B_]

DS sind auch nur Menschen

Liebe deine Maschine! (der komplette Beitrag würde hier besser passen, ist aber leider nicht online)

 

[itari]

@T4B_,

ähm ... ertappt? Als Pokomon-Fan kann ich nur sagen: pass auf, dass deine DS nicht in ein PPR (Partner Personal Robot) mutiert. Als alter MMORPGamer kann ich nur sagen, pass auf, dass du deinen Mitspielern nicht zu nahe kommst, sie besuchen dich sonst im RL (realen Leben) und das muss nicht immer schön sein

 

[crick]

Das kenne ich von meinem dedicated Root Server. Jetzt kamen auch die ersten Versuche auf der NAS..

Warning	2008/06/21 12:22:28	Administrator	FTP client [Administrator] from [200.55.42.234] failed to log in the server.
Warning	2008/06/20 19:27:56	Administrator	FTP client [Administrator] from [192.188.58.174] failed to log in the server.

Letzteres ist eine interessante HP: http://192.188.58.174/
Warscheinlich ein gehackter Root, wo jetzt die Bots laufen..

Ich kann nur jedem empfehlen, sichere Passwoerter zu benutzen und diese monatlich zu aendern. (Englische) Woerter, Namen, etc. sind absolutes Tabu! Eine IP wuerde ich erst in die Blacklist setzen, wenn diese dauerhaft den Bruteforce ausuebt. Bisher ging bei meiner NAS alles an den FTP (Port 21) - wer allerdings SSH-trys abkriegt, sollte diesen Dienst deaktiviert lassen - ausser man muss mal eben einloggen.

 

[flicflac]

Ich kann eure Befürchtungen nicht teilen. Wenn der Hackversuch nicht den euch allen geläufigen und nicht veränderbaren Namen des Administrators anpeilt, seid ihr sicher nicht das Ziel des Angreifers. Trotz Tausender solcher Logzeilen bei mir in den letzten drei Jahren war nicht ein einziger erfolgreich. Und seit man ja die IP-Adressen von Angreifern automatisch blockieren lassen kann, sind auch einfache Pssswörter kein Problem mehr. Denn dadurch sind die bei 0000 beginnende und bei 9999 endende (frühere Router liessen nur solche Passworte zu) Versuche zum Scheitern verurteilt. Mein Passwort habe ich übrigens in den letzten drei Jahren nie geändert. Natürlich ist das keine Empfehlung an andere Benutzer.

 

[Eismaus]

Interessante Infos, daher klinke ich mich mal in diesen Thread mit ein.

Ich habe seit gestern eine DS-108j und bin noch nicht so weit, das ich sie nach aussen öffnen kann/möchte. Aber gut zu wissen, worauf man achten muß.

Etwas habe ich allerdings noch nicht verstanden.
Was ist eine SSL/TLS-Verbindung?

Danke für eine Antwort.
Eismaus

 

[itari]

eine verschlüsselte Verbindung ... sowas, was man bei Internet/Home-Banking benutzt

ssl = secure socket layer | tsl = transport security layer ... im Internet unterhält man sich mittels Datenpaketen. Diese werden wie Briefe in Umschläge (layer=Definition, wie ein Umschlag beschaffen ist) verpackt. Stell dir vor, der eine Umschlag ist wasserdicht, der andere Umschlag lässt keine Röntgen-Strahlen durch ... oki

 

[Eismaus]

Nette verbildlichung. Und verständlich.
Danke.

 

[Krypton]

mit der einschränkung:

FTP via SSL verschlüsselt lediglich das Passwort / die Login info.

Dh dein wasserdichter Umschlag durchquert den Ozean und fordert Daten an. Diese werden dann gut sichtbar mit Leuchtfeuer und Megafon geliefert.