Angriff via SSH trotz abgeschalteten SSH?

Datensammler

Benutzer
Mitglied seit
04. Aug 2012
Beiträge
477
Punkte für Reaktionen
9
Punkte
24
Ich bekomme gerade wieder ein paar Mails, dass IP-Adressen blockiert werden, weil jemand versucht sich via SSH auf meiner DiskStation einzuloggen und an den Passwörtern scheitert.

Doch als der letzte Angriff lief (#1) habe ich SSH abgeschaltet und bisher nicht wieder eingeschaltet.

Wie kann das passieren? Und wie kann ich SSH wirklich abschalten?

Danke!
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Klingt so, wie wenn der Port noch offen steht.

Wenn du ssh nicht mehr verwendest, kannst du doch auch den Port dicht machen ?! Wenn Standard dürfte das der 22 sein, der auf dem Router offen ist und noch zu Angriffen einlädt.
 

Datensammler

Benutzer
Mitglied seit
04. Aug 2012
Beiträge
477
Punkte für Reaktionen
9
Punkte
24
Ja, die Portweiterleitung war noch aktiv, da ich noch eine eine Reaktivierung gedacht habe. Es war noch nicht einmal auf dem Standardport.
Abe trotzdem: Warum fragt ein abgeschalteter SSH-Dienst nach Passwörtern?
 

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.099
Punkte für Reaktionen
539
Punkte
154
Moinsen,
Nur aus Interesse... Hast du dich denn seitdem nochmal versucht per SSH einzuloggen? Kommt da auch die Passwort Abfrage? Wenn ja, kannst du dich damit einloggen?
 

Datensammler

Benutzer
Mitglied seit
04. Aug 2012
Beiträge
477
Punkte für Reaktionen
9
Punkte
24
Also ich habe inzwischen auch die Portweiterleitung deaktiviert. Einloggen kann ich mich nicht, da kein login prompt erscheint, wenn ich es via ssh aus dem lokalen Netz versuche.

Doch trotz abgeschalteten SSH und abgeschalteter Portweiterleitung habe ich schon wieder eine Nachricht erhalten, es hätte jemand versucht sich via SSH anzumelden und wurde blockiert. Irgendetwas stimmt doch da nicht!
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
1) Wenn du benachrichtigt wirst, kommt offenbar etwas durch
2) Was das ist, und wodurch es verursacht wird, kannst nur du selbst wissen. Irgendwas muss nach wie vor offen stehen.

Bei mir sind die Ports dicht, ssh ist inaktiv, und Nachrichten bekomme ich keine. Alles wie es soll ...
 

Datensammler

Benutzer
Mitglied seit
04. Aug 2012
Beiträge
477
Punkte für Reaktionen
9
Punkte
24
Werden diese Login-Versuche irgendwo geloggt? Und wie kann ich diese Logs abrufen (ohne mich via SSH einloggen zu müssen)?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Ohne es zu wissen, würde ich auf der DS im Protokollcenter nachschauen. Mein Netzwerk ist nach außen dicht, bis auf VPN-Zugänge. Und da die nicht auf der DS laufen, bekommt die davon nichts mit, selbst wenn jemand am VPN anklopfen würde.

Nur ist die DS bei dir zwar das Ziel, aber nicht die Ursache für diese Anklopferei. Irgendwas ist an deinen Routereinstellungen nach wie vor nicht ganz sauber. Sonst dürfte da nichts durchgehen, tut es aber offenbar.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Es gibt auch andere Dienste auf der DS die SSH benutzen, z.B. SFTP. Ich habe solche Meldungen früher auch des Öfteren bekommen, obwohl ich SSH selbst nie nach aussen offen hatte.
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
Sobald irgendein Port zur DS offen ist, besteht die Möglichkeit, das jemand mittels SSH dort anklopft.
Genau dies und nix anderes passiert hier. Dabei ist es egal, ob ein Türchen für SSH konfiguriert ist, oder eben nicht.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Immer dieser Moment, wo die Leute dachten, dass sie wüssten was sie tun ("Hey krass, ich bin voll der Admin und so!") und dann doch (ggf. schmerzlich) merken mussten, dass dem nicht so war... ? Aber hey, ist doch alles gaaaaaaaaanz einfach! ?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Na, weil es eben nicht so einfach ist kommt es eben oft hier zu solch leidigen Diskussionen. Die Themen sind für reine Anwender einfach dann doch zu komplex. Nicht mal die vermeintlichen Experten blicken da immer ganz durch, sonst würden sie sich ja nicht so oft gegenseitig widersprechen. ;-)
Wie bei Anwälten, oder Ärzten, oder ... Frag 3 davon und schon hast du 4 Meinungen.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Sorry, aber die "Experten" sind sich - zumindestens was die Grundlagen angeht - mit 1001%iger Sicherheit ziemlich einig (was einfach an den "best-practice"-Dingen liegt), wo der 0815-User eben keinen Schimmer von hat (nicht umsonst hat man sowas gelernt und zig Jahre Erfahrung in bestimmten Segmenten). "Irgendwie machen" kann man sicherlich vieles, aber ob das eben nach "best practice" ist, ist dann wieder ein ganz anderes Thema (ist halt der dicke Theorie-Brocken auf den der normale Anwender schon von Grund auf keine Lust hat, "hauptsache es funktioniert"). Was die Produktauswahl angeht, hast Du sicherlich recht... Frag 5 Langzeit-Administratoren und Du kriegst sicherlich mindestens 3 verschiedene Meinungen (nur 3, weil "so" groß ist die (etablierte) Auswahl dann auch wieder nicht - muss aber auch so sein, ansonsten wäre es ja auch langweilig) ?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.981
Punkte für Reaktionen
619
Punkte
484
Ja, Grundlagen, Bits und Bytes, aber wesnn es ans Eingemachte geht relativiert sich das ganz schnell.
Es gibt ja noch IT Experten ausserhalb dieses Synology-Forum Universums. Da erlebe ich eben Tag für Tag, dass die nicht unbedingt einer Meinung sind. Alleine hier im Unternehmen streiten sich mehr als ein Dutzend davon.
Ich nehme mal an, dass alle dasselbe studiert haben, seltsamerweise kommen dennoch andere Ansichten dabei heraus. Das willst du jetzt nicht wirklich wegdiskutieren...
Falls doch: hier ist nicht der Platz dafür und zumindest ich für meine Person habe da auch keinen weiteren Diskussionsbedarf. Was ich sehe und erlebe ist mir völlig ausreichend für meine Einstellung zu dem Thema.
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.103
Punkte
248
Wenn wir von "Experten" reden, reden wir mit Sicherheit nicht von Leuten aus einem NAS-Forum ;) An einem "best practice" gibt es auch "nichts" zu diskutieren, denn da haben sich schon weitaus mehr als ein Dutzend Fachleute Gedanken zu gemacht und das i.d.R. auch weltweit, wenn da jetzt "ein Dutzend interner" den wilden Mack machen wollen, ok, die "Welt" sieht das dann doch "etwas" anders... Im Prinzip läuft es aber auch immer auf das gleiche hinaus - mach es so, wie Du es für richtig hälst und "leb mit den möglichen Konsequenzen". Die "best practice"-Dinge dienen auch nur als Empfehlung - heisst nicht, dass es zwingend so gemacht werden "muss" (manchmal ist es so auch garnicht möglich - je nach Umgebung).

Ich nehme mal an, dass alle dasselbe studiert haben

Da würde ich nicht zwangsläufig von ausgehen... nebst "IT"-Studium (und da gibt es div. Studiengänge bzgl. der IT - und das ist dann auch nur nackte Theorie) ist eben auch der persönliche Erfahrungsschatz eines jeden einzelnen relevant - i.d.R. je länger dabei, desto größer das Wissen). Je mehr Fachleute da sind, desto größer die Summe der Erfahrungen. Sicherlich gehen da die Meinungen auseinander (dennoch nicht bei den Basics und/oder best practice), aber sicherlich in der konkreten Umsetzung und ganz besonders bei Dingen wie die Auswahl eines Herstellers ?

seltsamerweise kommen dennoch andere Ansichten dabei heraus. Das willst du jetzt nicht wirklich wegdiskutieren...

Das hat auch niemand behauptet, oder? Ich sprach von den Grundlagen, nicht von irgendwelchem anderen Kram...

habe da auch keinen weiteren Diskussionsbedarf

Dann würde ich damit auch erst garnicht anfangen - aber gut, dass wir drüber gesprochen haben - ich nämlich auch nicht ?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat