angriff auf ftp?

[macrozone]

Hab gerade mein ftp-verbindungsprotokol durchgesehen... da sind 38 seiten voll:

2007/08/10 13:04:02 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.
2007/08/10 13:04:02 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.
2007/08/10 13:04:01 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.

(nach whois aus australien)

hab den jetz auf die block-list getan... muss ich jetzt aber verunsichert sein? kann ich irgendwie verhindern, dass sowas mein protokol vollspamt? (bei 10 fehlversuchen gesperrt o.ä.)

 

[Trolli]

...dazu ist die "automatische IP Blockierung" da. Dabei wird die IP automatisch nach einigen Versuchen in die Block-List eingetragen.

-Trolli-

 

[macrozone]

...dazu ist die "automatische IP Blockierung" da. Dabei wird die IP automatisch nach einigen Versuchen in die Block-List eingetragen.

-Trolli-

ja, hab die jetzt auch entdeckt, danke

fand die beschreibung dazu ein wenig verwirrend

 

[flicflac]

... und solange alle diese Möchtegern-Hacker es mit "Administrator" als Konto-Namen für den Administrator versuchen, hast du bei Verwendung des Default von Synology auch dann nichts zu befürchten, wenn du die IP-Blockierung noch nicht eingeschalten hattest.

 

[T4B_]

... und solange alle diese Möchtegern-Hacker es mit "Administrator" als Konto-Namen für den Administrator versuchen...

Richtig, aber das kann sich auch schnell ändern. Weil es sind nicht alles Möchtegerne. Probiert man außer FTP auch noch einen anderen Dienst - wie z.B. Port 80 - und es ist erfolgreich, dann kann Möchtegern auch leicht auch eine DiskStation schließen, wenn dieses zum Beispiel auf der Website geschrieben steht. Und dann ist es doch ein Leichtes heraus zu finden, dass das root-Konto "admin" lautet...
Ich wäre dafür, dass man einstellen kann, ob das root-Konto auch von "außerhalb" erreichbar ist. Oder das man das Konto gänzlich umbenennen kann - zum Beispiel in nimda oder so ...

 

[Chrunchy]

Ich wäre dafür, dass man einstellen kann, ob das root-Konto auch von "außerhalb" erreichbar ist. Oder das man das Konto gänzlich umbenennen kann - zum Beispiel in nimda oder so ...

Kannst du, allerdings ist dazu ein Telnet-Zugang nötig.

einfach die Usernamen, die keinen Zugriff via ftp haben sollen in die Datei '/etc/ftpusers' mittels vi eintragen -> fertig.

BTW: Root ist gesperrt, admin allerdings nicht.

 

[T4B_]

Oh, sehr gut!

die keinen Zugriff via ftp haben sollen in die Datei '/etc/ftpusers' mittels vi eintragen -> fertig.

Die keinen Zugang haben sollen? Nicht umgekehrt? Würde mir jetzt logischer erscheinen...

 

[Chrunchy]

Die keinen Zugang haben sollen? Nicht umgekehrt? Würde mir jetzt logischer erscheinen...

Das war schon richtig. '/etc/ftpusers' ist als Blacklist zu sehen und beinhaltet pro Zeile genau einen Usernamen, der NICHT via ftp auf das System zugreifen kann.

Hättest du aber auch eben austesten können.

HTH

 

[T4B_]

Hättest du aber auch eben austesten können.

Neee, leider nicht. Weil ich hier bei der Arbeit keinen Zugriff auf die Technik daheim habe (Port 5000 ff gesperrt ). Dazu kommt, dass ich den Telnet-Patch bei der 509'er-FW noch nicht getestet/installiert habe...

 

[B767]

Hab gerade mein ftp-verbindungsprotokol durchgesehen... da sind 38 seiten voll:

2007/08/10 13:04:02 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.
2007/08/10 13:04:02 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.
2007/08/10 13:04:01 Administrator FTP client [Administrator] from [61.133.95.247] failed to log in the server.

(nach whois aus australien)

hab den jetz auf die block-list getan... muss ich jetzt aber verunsichert sein? kann ich irgendwie verhindern, dass sowas mein protokol vollspamt? (bei 10 fehlversuchen gesperrt o.ä.)

habe gerade die gleiche Erfahrung gemacht, bei mir ging es über Beijing Teletron Telecom Engineering Co., Ltd. Diese Angriffe scheinen wohl an der Tagesordnung zu sein, kann mich erinnern, die Tage ebenfalls solche Einträge gesehen zu haben.

der Tip mit der automatischen Blockierung hat hier auch geholfen, seit 5 Minuten hat das hektische Blinken der LAN Leuchte aufgehört, und das Protokoll wird nicht mehr zugemüllt. Gut, das hier Leute gibt, die diese Tipps auf Lager haben, so können sich auch Newbis wie ich in Sachen DS besser zurechtfinden.

Grüsse
B767

 

[Mexx]

hi
hat wer eine Ahnung wo man einstellen kann per telnet das gleich nach dem dritten versuch die IP geblockt wird ??

lg Mexx

 

[T4B_]

Leider habe ich für dich keinen Tip wo das steht. Ich denke aber, das 5x auch ok ist... Sollte schon mit dem Teufel zugehen, wenn einer von den Möchtegernen das beim dritten Mal schafft. Hast du denn so schwache Passwörter, dass du da Bedenken hast?

 

[Mexx]

nein habe keinen schwachen Passwörter, ist halt nur weil es normal Standard ist das nach dem dritten mal einer falsch eingabe das Konto bzw. die IP gesperrt wird.
lg Mexx

 

[orlando17]

meine Absicherungen für den admin

- habe dem admin gar keine Ordner-Freigaben gegeben (ist nur zum Konfigurieren des NAS da)
- PW ist nicht gerdaa einfach
- IP Blocking aktiviert

 

[elektrolurch]

Hallo Leute,

das Thema ist allerdings schon ziemlich alt und wurde schon vor fast 2 Jahren in einem anderen Forum , das sich mit den DS befasst, ausgiebig erörtert (da gab's auch schon die Administrator-Attacken).

Tatsache ist nun mal, dass ftp ein sehr unsicheres Protokoll ist, und das könnte jeder wissen, der seine DS über ftp erreichbar ins Netz stellt. Die Accountnamen und Passwörter werden schliesslich im Klartext übertragen und könnten problemlos von einem Sniffer aufgezeichnet werden.

Schliesslich gibt es genügend Auswahl an sicheren Verbindungen, selbst VPN ist via Fritzbox erschwinglich und unkompliziert geworden.

Also lasst den ftp-Server aus oder macht Euch nicht ins Hemd....

Gruß

 

[T4B_]

... und wurde schon vor fast 2 Jahren in einem anderen Forum , das sich mit den DS befasst, ausgiebig erörtert

Vor April2007 wusste ich noch nicht einmal, das Synology existiert...

Schliesslich gibt es genügend Auswahl an sicheren Verbindungen,

Ja, ganz recht. Und spätestens seit der FileStation ist - zumindest für mich - FTP absolut überflüssig geworden...

 

[kupferrafi]

Hallo,
ich habe seit kurzem auch die neue Firmware drauf (DS-207 / 0509).
Über das interne Netzwerk komme ich auf die Startseite und von dort zur File-Station.
Doch wie geht das direkt aus dem I-Net?
Photostation war ja => IP-DS/photo
Filestation => IP-DS/webfm (geht aber nicht)
Die gleiche Frage habe ich auch zur Audio-Station.
Ich komme zwar rein, aber es kommt immer die Meldung:
"Entschuldigung, die von Ihnen gesuchte Seite ist nicht vorhanden."

Gruß
Rafael

 

[Trolli]

Nach Deiner Schreibweise geht das mit: IP-DS:5000

 

[kupferrafi]

Hallo Trolli,

na klar geht das mit IP-DS:5000 oder IP-DS:5001.
Danke für die Rückkopplung, bei mir braucht es eben seine Zeit, die Zusammenhänge auch logisch nachzuvollziehen.
Und dann noch
- https
- Portumleitung
- kompliziertes PW
Ich denke das geht dann schon mit der Sicherheit.
Gruß
Rafael
__________________
DS 207
Firmware 510
4x500GB Samsung HD501LJ HDD, Raid0

 

[Humus]

Was meinst du mit Portumleitung im Bezug auf Sicherheit?
Was muss ich tun?