Einbruchs versuche die ich nicht verstehe

Status
Für weitere Antworten geschlossen.

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Moin,

Ich verzeichne ein Geduldigen Angreifer der versucht auf mein SSH zu kommen.
Blöd nur, das dieser nur für das Lokale netz freigegeben ist, daher wie kann der angreifer dennoch versuchen sich einzuloggen, wenn die Ports nach außen hin gar nicht geöffnet sind und per Firewall bestimmte Länder u.a auch gesperrt wurden und der Benutzer "admin" ist eh von mir deaktiviert genauso wie guest.
Genauso ist SSH / FTP nur aktiviert, wenn ich es wirklich brauche zumal FTP brauche ich nicht, da die Laufwerke eh in meinem Netzwerk eingebunden sind.

Preisfrage ist wie kann der Angreifer connecten, wenn die Dienste überhaupt nicht laufen?
Ports die wirklich offen sind ist Mailserver + Webseite + TS3

atacke.jpg
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Naja, ich behaupte mal, irgendeine Form von SSH wird nach aussen hin offen sein. Welche Dienste gibst du denn frei per Port?

"Connected" hat sich ja offenbar niemand, da die Zugangsdaten nicht stimmen.
Und auch wenn der admin selbst deaktiviert ist, hindert das ja niemanden daran, sich mit diesem versuchen zu verbinden.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Wenn IP's gescannt werden und jemand findet geöffnete Ports, kann darauf der login versuch durchgeführt werden. Die logs besagen ja nur, dass es jemand über ssh versucht auf DSM zuzugreifen. Wenn dein Geo Blocking nicht greift behaupte ich mal, dass entweder das Land nicht mitinbegriffen ist oder die FW falsch konfiguriert ist. Du verwendest auch kein IP Blocking so wie es aussieht.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Hier mal die Einstellungen:

Fritzbox Freigabe:

fritzbox.JPG

Hier werden nur bestimmte dienste erlaubt. trift keine Regel zu Verweigern:

firewall2.JPG

Die Dienste die aktiviert sind.
firewall1.jpg

*edit*

Die neusten Sicherheitsupdates von DSM sind natürlich auch installiert worden.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Bin ich auch zunächst drauf reingefallen. Tut er aber wohl: s. oberste Zeile im Screenshot. ;)

Oh, stimmt. Dann aber mit mehr als 5 Versuchen.

Ich sehe hier kein Geo Blocking. Du lässt alles zu was von aussen anfrägt! Port 80 ist offen und ein unverschlüsselter Mailport, die werden gerne gescannt. :)
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Oh, stimmt. Dann aber mit mehr als 5 Versuchen.

Ich sehe hier kein Geo Blocking. Du lässt alles zu was von aussen anfrägt! Port 80 ist offen und ein unverschlüsselter Mailport, die werden gerne gescannt. :)

Port 80 muss ja offen sein sonst läuft ja meine Webseite nicht.
Und port 25 muss offen sein, weil sonst kommen keine Mails bei mir an wie ich festgestellt habe.

Wenn man das anders lösen kann bin ich gern für vorschläge offen :)
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Und was ist jetzt genau der Schmerz?

Ports sind einige offen, es gibt Anmeldeversuche ... Ganz normales Grundrauschen.
Wenn du explizit den dargestellten Angreifer über die Firewall abfiltern willst, solltest du - entgegen deiner Aussage - Geoblocking aktivieren. Hier dann wohl min. Lettland.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Eine Website kann doch auch über https (443) erreicht werden, genauso der Mailserver (SSL). Ist auch egal. Sobald Ports offen sind, können diese beim scannen gefunden werden. Ergo kann auch ein Login Versuch stattfinden. Das ist auch nicht weiter schlimm, das passiert auf tausenden Servern weltweit. Du musst nur dafür sorgen, dass der Versuch erfolglos bleibt. Also alles Sicherheitsrelevante umsetzen, was technisch machbar ist.
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Und was ist jetzt genau der Schmerz?

Ports sind einige offen, es gibt Anmeldeversuche ... Ganz normales Grundrauschen.
Wenn du explizit den dargestellten Angreifer über die Firewall abfiltern willst, solltest du - entgegen deiner Aussage - Geoblocking aktivieren. Hier dann wohl Lettland.

Das obwohl die SSH Ports gar nicht offen sind dennoch versucht werden kann auf SSH zu connecten zumal auch nichtmal der Standardport verwendet wird.
wenn ich mit meiner öffentlichen IP versuche zu connecten ein "Network Error Connection Timeout" bekomme mit putty.
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Eine Website kann doch auch über https (443) erreicht werden, genauso der Mailserver (SSL). Ist auch egal. Sobald Ports offen sind, können diese beim scannen gefunden werden. Ergo kann auch ein Login Versuch stattfinden. Das ist auch nicht weiter schlimm, das passiert auf tausenden Servern weltweit. Du musst nur dafür sorgen, dass der Versuch erfolglos bleibt. Also alles Sicherheitsrelevante umsetzen, was technisch machbar ist.

Ok das mit der Webseite ist klar werd ich mal testen.
Aber beim Mailserver ist ja SSL aktiv aber das komische ist wenn port 25 nicht freigegeben ist kommen keine Mails an von außen, obwohl ja auch die SSL / TLS Ports offen sind.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ich weiß nicht genau, welche der von dir angebotenen Dienste SSH (oder ggf. SSL) verwenden, insb. beim Teamspeakserver kenne ich mich nicht aus.

Anhand des Logs kannst du aber wohl davon ausgehen, dass jemand über die offenen Ports gegangen sein muss.
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.594
Punkte für Reaktionen
1.173
Punkte
254
Da kann ich leider nicht behilflich sein. Mit Mailserver kanne ich mich nicht wirklich gut aus.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
...kommen keine Mails an von außen, obwohl ja auch die SSL / TLS Ports offen sind.

Betreibst du die DS denn tatsächlich als eigenständigen Mailserver? Oder rufst du mit ihr lediglich Mailkonten ab (via POP3)?
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Betreibst du die DS denn tatsächlich als eigenständigen Mailserver? Oder rufst du mit ihr lediglich Mailkonten ab (via POP3)?

Wird als eingenständiger Mailserver.
Versendet wird auch über mein Mailserver dieser wird aber dann über ein mailrelay weiter geleitet, da das reine versenden mit Dynamischer IP ja nicht geht.

Hab auch eine Richtige Domain dort sind auch die MX einträge für mein Mailserver eingetragen + Backup MX, falls mein Mailserver mal offline sein sollte sowie SPF, DKIM & DMARC einträge.
DNS wird sauber vorwärts und rückwärts aufgelöst. Mein Dynamische IP wird auch in meinem DNS als A record geführt.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ok, dann bin ich an der Stelle aber auch raus, weil einen eigenständigen Mailserver habe ich noch nicht in Eigenregie betrieben.
Warum dort Port 25 allerdings offen sein muss, erschließt sich mir auch nicht. Ich denke, es sollte auch ohne gehen.
 

Heaven1976

Benutzer
Mitglied seit
25. Nov 2018
Beiträge
124
Punkte für Reaktionen
0
Punkte
16
Ok, dann bin ich an der Stelle aber auch raus, weil einen eigenständigen Mailserver habe ich noch nicht in Eigenregie betrieben.
Warum dort Port 25 allerdings offen sein muss, erschließt sich mir auch nicht. Ich denke, es sollte auch ohne gehen.

Das versenden und Abrufen läuft verschlüsselt über SSL, aber der eigentliche weiter transport über port 25.

calim:
Über die Ports 25 (smtp) und 587 (submission) wird zwar jeweils SMTP gesprochen, sie dienen aber unterschiedlichen Zwecken.
Auf Port 25 liefern fremde E-Mail-Server (z.b. Googlemail) E-Mails für Deine Domain ein. Port 587 ist für E-Mail-Ersteinlieferungen durch Deine User gedacht, die einen Account auf dem Server haben. (Früher wurde dafür ebenfalls Port 25 benutzt.) Wenn Du einen vollwertigen E-Mail Server betreiben willst, brauchst Du folgende Ziel-Ports in der Firewall offen:
25/tcp eingehend für den Empfang von E-Mails von anderen E-Mail-Anbietern
25/tcp ausgehend für den Versand von E-Mails an andere E-Mail-Anbieter

587/tcp eingehend für die Annahme von E-Mails von Endbenutzer-E-Mail-Programmen

Quasi betreibt man einen vollständigen E-Mail Server muss auch port 25 offen sein.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Geoblocking anwerfen, Versuche runtersetzen, Zeit verkürzen, Verfall höher setzen und falls eine IP danach noch immer dauerhaft auftauchen sollte, diese einfach zusätzlich dauerhaft sperren (ggf. Anbieter des Netzes raussuchen und die kompletten Netze sperren). Wird höchst unwahrscheinlich sein, dass man z.B. von einem Hostingserver auf das NAS zugreifen wird. Wahrscheinlicher ist aber eher, dass sich dieser ggf. mal was einfängt und dann wird er irgendwann auch in der Liste stehen... Zu beachten wäre allerdings auch, dass IP-Adressen bzw. ganze IP-Netze auch gehandelt werden.

Falls die Ports nicht nach aussen offen sind, wurde vermutlich über einen anderen Dienst entsprechendes initiiert. Je nachdem, was es für ein Router/Firewall ist, kann es natürlich auch noch sein, dass das Ding schon uralt ist und dann wäre u.U. sogar noch anderes möglich... Damit ihr alle ruhiger schlafen könnt, hinterlass ich euch mal das hier... *klick* :p
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Ich würde probehalber mal Teamspeak abschalten. Alles in allem sieht das schon komisch aus. Leider sagt die DS nur "SSH" und nicht welcher Port.
Kannst du mal einen Portscan von außen machen?

MfG Matthieu
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Interessant wären ja auch mal die eingesetzte Version, ggf. existieren dafür ja schon entsprechende Exploits. Synology hat ja auch erst die Tage ordentlich rumgemailt bzgl. den aktuellen Sicherheitslücken :eek:

EDIT: Ich reich mal entsprechendes nach:

Synology-SA-18:62
Synology-SA-18:64
Synology-SA-18:65

Sollte also alles - was direkt aus dem Netz erreichbar - ist entspechend geupdated werden :)
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat