Angriffe aus dem Netz

[Freddy3108]

Hallo Zusammen,
ich habe seit geraumer Zeit immer mal wieder versuche das sich jemand auf der DS einloggen möchte.
Nun wird aber jeder Versuch nach dem ersten Fehlversuch geblogt.
Netterweise hinterlassen die netten Damen oder Herrn ihre IP Adresse.
Interessanterweise kommen alle aus dem asiatischen Raum.
Ich hab mal aufgelistet wer mich in den letzten 2 Wochen versucht hat zu kontaktieren (wolllen wir es mal so ausdrücken).
IP-Adresse: 58.115.242.234
Provider: Hoshin MultiMedia Center Inc.
Region: Taipei (TW)

IP-Adresse: 58.176.123.90
Provider: City Telecom (H.K.) Ltd.
Region: Central District (HK)

IP-Adresse: 1.195.216.70
Provider: CHINANET henan province network
Region: Zhongyuan (CN)

IP-Adresse: 203.74.0.206
Provider: CHTD, Chunghwa Telecom Co., Ltd.

IP-Adresse: 120.33.215.109
Provider: CHINANET FUJIAN PROVINCE NETWORK
Region: Beijing (CN)


IP-Adresse: 114.108.113.141
Provider: Tbroad Suwon Broadcating Corporati
Region: Suwon (KR)

IP-Adresse: 218.146.228.201
Provider: Korea Telecom
Region: Changwon (KR)

Ehrlich gesagt geht mir das ein wenig auf den Geist und zum anderen finde ich es interessant, da ich eigentlich meinen DYNDNS Name nirgendwo bekannt gemacht habe (nicht das ich wüsste)

3 Fragen dazu :
1. Hat jemand in der letzten Zeit auch versuchte Besuche gehabt?
2. Kann man die IP's sperren, am besten ganze IP Bereiche wie z.B. der von CHINANET henan province network 1.192.0.0 - 1.199.255.255
3. Ist es möglich über welchen Port man sich zugang verschafft hat zu ermitteln?

Irgendwie stimmt mich das ganze ein wenig bedenklich.

Gruß
Freddy

 

[rauppe31]

Das ist ganz normal. Bei mir werden pro Tag ca. 5 IP-Adressen geblockt.

 

[raymond]

Alles vollkommen nochmal, worde auch hier schon ein paar mal besprochen. Gerade Port 21 (FTP) und Port 22 (SSH) wird ständig automatisiert abgescannt (vermutlich auch noch Telnet auf Port 23).

Welcher Port betroffen ist (worde hier auch schonmal diskutiert) kann man bisher nicht ermitteln. Der Vorschlag ist bei Synology aber schon eingegangen dies einzubauen. Ebenso, dass nur bestimmte IP-Bereiche nur zugelassen werden (bzw. Länder oder kein admin/root Login per öffentliche IP-Adresse) ist schon bei Synology eingegangen.

 

[jahlives]

zu 2) du musst zur IP die sogenannte CIDR Notation des Subnetzes suchen und kannst dann auf der Konsole (am Bsp deines Chinanet) manuell eine Blockregel für das gesamte Subnetz machen

iptables -A INPUT -s 1.0.0.0/8 -j DROP

die CIDR Notation für das Subnet habe ich von hier (http://whois.domaintools.com/1.195.216.70)

3) den kriegst du nur mit wenn dir der Autoblock diese Info mitschickt.

1) vollkommen normal. Diese Anzahl habe ich an "guten" Tagen im Minutentakt ;-)

 

[crick]

Wo hast du denn deine dynamische Adresse registriert? DynDNS, Selfhost, Synology, .. ?

 

[Freddy3108]

Bei Dyndns!

G
Freddy

 

[Freddy3108]

Alles vollkommen nochmal, worde auch hier schon ein paar mal besprochen. Gerade Port 21 (FTP) und Port 22 (SSH) wird ständig automatisiert abgescannt (vermutlich auch noch Telnet auf Port 23).

Welcher Port betroffen ist (worde hier auch schonmal diskutiert) kann man bisher nicht ermitteln. Der Vorschlag ist bei Synology aber schon eingegangen dies einzubauen. Ebenso, dass nur bestimmte IP-Bereiche nur zugelassen werden (bzw. Länder oder kein admin/root Login per öffentliche IP-Adresse) ist schon bei Synology eingegangen.

Ich glaub da könnte ich helfen, bei mir sind nur 3 Ports offen bzw. werden weiter geleitet:
5001
1194
und
23
Sollte also die Frage nach 21, 22, 23 aufkommen , bei mir ist nur der 23er weitergeleitet.

Gruß
Freddy

 

[Freddy3108]

zu 2) du musst zur IP die sogenannte CIDR Notation des Subnetzes suchen und kannst dann auf der Konsole (am Bsp deines Chinanet) manuell eine Blockregel für das gesamte Subnetz machen

iptables -A INPUT -s 1.0.0.0/8 -j DROP

die CIDR Notation für das Subnet habe ich von hier (http://whois.domaintools.com/1.195.216.70)

3) den kriegst du nur mit wenn dir der Autoblock diese Info mitschickt.

1) vollkommen normal. Diese Anzahl habe ich an "guten" Tagen im Minutentakt ;-)

Danke für die schnelle Unterstützung !
Die CIDR Notation habe ich auch rausbekommen, schön wäre es ja wenn man das in der Systemeinstellung blocken könnte

Allerdings noch eine Frage:

Wie hebe ich die Blockregel wieder auf?

Gruß
Freddy

 

[raymond]

Ich glaub da könnte ich helfen, bei mir sind nur 3 Ports offen bzw. werden weiter geleitet:
5001
1194
und
23
Sollte also die Frage nach 21, 22, 23 aufkommen , bei mir ist nur der 23er weitergeleitet.

Gruß
Freddy

Port 23, also Telnet würde ich nie und nie und nochmals nie heutzutage nehmen. Jeder wird dir sicherlich SSH (Port 22) empfehlen, ich auch
Für Windows gibt es den Putty Client. Warum in Windows immer noch kein SSH Server und Client eingebaut ist, werde ich glaub ich nie verstehen.

 

[karolinb]

Also seit ein paar Wochen versuchen sich irgendwelche Leute auch auf meiner DS einzuloggen. Ich habe die "automatische Blockierung" aktiviert, die die IP nach 5 Versuchen und innerhalb von 5 Minuten blockiert. Würde ich auch jedem empfehlen.

Ich habe nur die SSL bzw. geschützen Ports offen also kein 5000 etc.

 

[ubuntulinux]

Diese Angriffe sind normal, schaltet einfach die Mailbenachrichtigung ab, sonst wird's nervig Bei mir sind an einem einzigen Server an die 400 IP-Adressen blockiert, allein für SSH.

 

[jahlives]

Wie hebe ich die Blockregel wieder auf?

iptables -D INPUT -s 1.0.0.0/8 -j DROP

-D löscht eine Regel, -I fügt eine Regel vorne an und -A fügt eine Regel ans Ende der Kette an

 

[in2NAS-Welten]

Vielleicht bin ich ja paranoid, aber ich habe mir angewöhnt, nur bei Bedarf ports zu öffnen.

Gelegentlich checke ich via Shields UP!!, ob was z.B. wg. UPnP geöffnet ist: https://www.grc.com/x/ne.dll?bh0bkyd2

 

[ubuntulinux]

Vielleicht bin ich ja paranoid

Nein, bist du nicht Ist bei mir genau so.

 

[Nightxx]

Ich hatte die DS immer mit DYNDNS laufen da mein Router das nicht konnte. Jetzt habe ich einen Router mit DynDns. Also habe ich das über den Router eingerichtet und an der DS ausgestellt. Daraufhin hat mich Dyn DNS immer wieder gesperrt weil angeblich zu viele Anfrage über neue Aktualisierung. Habe das immer wieder (4 Tage lanG) deaktiviert. In dem Zeitraum hatte ich pro Tag 3-8 Angriffe von außen. Nachdem ich die Blockierung von Dyndns nun drin lasse (Zugriff funzt trotzdem) habe ich keinen einzigen Angriff mehr gehabt.

 

[Freddy3108]

So nun noch einige Erfahrungen aus den letzten Wochen.
1.) Ich hatte im Router nur die Ports 5001, 1194 und 6690 freigeschaltet
2.) In der DS Firewall hatte ich aber auch weitere Ports freigeschaltet, so unter anderem auch den 443 und 22

Ich hab mich nun gewundert, das ich trotz der 3 Ports welche weitergeschaltet wurden immer wieder die netten IP-Sperren hatte.
Parallel hatte ich den SSH - Putty mit dem Script ohne Passwort nur mit Keys installiert (versucht)
Komischewrweise hatte ich festgestellt das obwohl keine Weiterleitung des Port 22 eingestellt war die Anfragen immer wieder an die DS gelangten.
Ich habe darauf versucht den Port umzuleiten, das war aber nur von mässigem Erfolg :-(
Nun hab ich den Port 22 in der Firewall deaktiviert und über Putty einen frei erfundenen verwendet, mit Key zum einloggen.
Und nun hab ich Ruhe. Allerdings find ich es immer noch merkwürdig das ohne Portforwording der Port 22 an die DS geschickt wurde.
Die Frage ist nun könnte man die Webanwendung, wie zum Beispiel Mediawiki auch über einen anderen Posrt laufen lassen, sprich könnte man den 443 auch irgendwie umbiegen? Bei der SSH Anwendung ging das in der SSH_config. Wo geht das für die Webanwendung, hat da jemand eine Idee?

Grüße
Freddy

 

[jahlives]

ohne Portweiterleitung wurde sicher nichts an den ssh der DS geschickt. Aus welchem Grund auch immer muss dein Router noch eine Regel dafür gehabt haben. Das "Verstecken" der Ports bringt keine wirkliche zusätzliche Sicherheit (http://de.wikipedia.org/wiki/Security_through_obscurity). Gerade bei ssh bringt es nicht viel weil ssh ein tcp-basiertes Protokoll ist. Offene tcp Ports findet man aber sehr schnell

 

[bishop2k]

hi jungs,

seit ich bei mir auch ssh auf die DS gelinkt hab, hab ich auch fleissig besuch von bots.
ip blocker ist recht scharf eingestellt.

nun hab ich die moeglichkeit noch eine 2te DS im rechenzentrum aufzustellen,
so das ich eine entfernte DS mit fetter anbindung haette und entspr. bandbreite um auch entfernt bei voller qualy zu streamen uswusw.

meine home DS wuerde ich dann als backupsklaven missbrauchen

nun kann man natuerlich nicht mal so eben im rechenzentrum reinspazieren wenn was klemmt usw.
gibts da ne empfehlenswerte strategie wie ich die kiste absichern sollte bei gleichzeitiger erreichbarkeit fuer div. dienste?

ich dachte mal an ne 213+ fuers RZ da scheint mir preis/prozessorleistung noch recht interessant.
oder wuerdet ihr unbedingt was anderes empfehlen?

OT:
ist es machbar die home DS mit der RZ DS so zu syncen das zb alle indexierungsarbeiten(plex,photo usw) von der home DS gemacht werden
und das ergebnis dann auf die RZ DS kopiert wird, so das die prozessorlast der RZ DS moeglichst gering bleibt?

 

[Freddy3108]

ohne Portweiterleitung wurde sicher nichts an den ssh der DS geschickt. Aus welchem Grund auch immer muss dein Router noch eine Regel dafür gehabt haben. Das "Verstecken" der Ports bringt keine wirkliche zusätzliche Sicherheit (http://de.wikipedia.org/wiki/Security_through_obscurity). Gerade bei ssh bringt es nicht viel weil ssh ein tcp-basiertes Protokoll ist. Offene tcp Ports findet man aber sehr schnell

Hi ,
ich habe bis jetzt ruhe vor zugriffen von aussen.
Allerdings erst nachdem ich eine kleine Stolperfalle aus der Firewall des DS beseitigt habe
Ich habe schön die Firewall eingerichtet und da nie den Standarthaken verändert.
Der der da sagt : Wenn keine Regel zutrifft : Zugriff erlauben Zugriff verweigern.
Standart ist Zugriff erlauben und somit sind alle einstellungen in der Firewall adapsordum geführt.
Nach der Änderung auf Zugriff verweigern war entgültig Ruhe.

Aber auch das Ändern mit einem Key zugriff über Putty und das Ändern des Ports haben die Zugriffversuche deutlich reduziert.

Und nun ist absolute Ruhe!

Gruß
Freddy

 

[Dave]

Kann es sein, dass es blockierte Zugriffe geben kann obwohl der Dienst (SSH) nicht aktiviert ist und der Port auch nicht weitergeleitet wird?