- Mitglied seit
- 15. Apr 2013
- Beiträge
- 114
- Punkte für Reaktionen
- 0
- Punkte
- 16
Habe meine Diskstation gestern mit mit dem Internet verbunden und daher auch eine Portweiterleitung aktiviert. Klappt alles wunderbar. Heute morgen sehe ich im Verbindungsprotokoll über 500 Zugriffsversuche von fremden IPs auf die Diskstation. Insgesamt waren es vier unterschiedliche IPs, von denen die Angriffe kamen. Die IPs stammen alle aus Südkorea. Vermutlich hat dort irgendein pubertierendes Kind mit Zahnspange und vielen Pickeln aufgrund der Freude über sein erstes Sackhaar zuviel Testosteron im Blut und versucht sich jetzt als kleiner Hacker
Habe meine Diskstation nun so so eingestellt, dass mehrfache fehlerhafte Einloggversuche zu einer dauerhaften Blockade der entsprechenden IP führt. Besagtes asiatisches Kind befindet sich also zwischenzeitlich auf der Blacklist.
Mir ist aufgefallen, dass für die Einwahlversuche teilweise unterschiedliche Usernamen probiert wurden, was aber mathematisch gesehen recht wenig Sinn macht. Aus diesem Grund erfolgen die meisten Versuche dann auch mit dem Usernamen "admin" oder "root". Dies ist ja auch der Hauptgrund, weshalb man den User "admin" umgehend in der Diskstation deaktivieren sollte, nachdem man einen anderen User mit Adminrechten eingerichtet hat. Denn nur so muss ein Angreifer mittels Bruteforce nicht nur das Passwort erraten, sondern eben auch den Usernamen.
Da User "admin" ja identisch ist mit dem User "root", habe ich folgende Frage: ist mit der Deaktivierung des Users "admin" auch der User "root" deaktiviert? Falls nein: wie kann ich auch Zugriffsversuche, die mit dem Usernamen "root" erfolgen, von vorneherein blockieren?
Habe meine Diskstation nun so so eingestellt, dass mehrfache fehlerhafte Einloggversuche zu einer dauerhaften Blockade der entsprechenden IP führt. Besagtes asiatisches Kind befindet sich also zwischenzeitlich auf der Blacklist.
Mir ist aufgefallen, dass für die Einwahlversuche teilweise unterschiedliche Usernamen probiert wurden, was aber mathematisch gesehen recht wenig Sinn macht. Aus diesem Grund erfolgen die meisten Versuche dann auch mit dem Usernamen "admin" oder "root". Dies ist ja auch der Hauptgrund, weshalb man den User "admin" umgehend in der Diskstation deaktivieren sollte, nachdem man einen anderen User mit Adminrechten eingerichtet hat. Denn nur so muss ein Angreifer mittels Bruteforce nicht nur das Passwort erraten, sondern eben auch den Usernamen.
Da User "admin" ja identisch ist mit dem User "root", habe ich folgende Frage: ist mit der Deaktivierung des Users "admin" auch der User "root" deaktiviert? Falls nein: wie kann ich auch Zugriffsversuche, die mit dem Usernamen "root" erfolgen, von vorneherein blockieren?