Toggle sidebar

Hunderte Zugriffsversuche aus China; Muß ich mich fürchten?

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
A

ahab

Benutzer
Registriert
17. Mai 2011
Beiträge
21
Reaktionspunkte
0
Punkte
1
Ich kam gerade von einer Urlaubsreise zurück. Nun habe ich einen ftp-Server eingerichtet, um allen von unserer Gruppe zu ermöglichen, ihre Fotos und Filme untereinander auzutauschen. Ich habe einen eigenen Ordner angelegt, und jedem einen eigenen Zugang eingerichtet. Alle haben explizit nur denn Zugriff auf diesen Ordner (und dessen Unterordner). Es scheint soweit alles gut zu funktionieren (zwei der Gruppenmitglieder haben sich schon "bedient").

Heute am Morgen schaute ich ins Verbindungsprotokoll der DS und ich sah ca. 160 folgende Einträge: "FTP client [admin] from [115.168.35.11] failed to log in the server."

Davor gabe es ca. 165 Einträge "FTP client [Administrator] from [115.168.35.11] failed to log in the server.".

Das alles spielte sich so im 1-Sekunden-Takt ab, insgesamt während 4 Minuten.

Es scheint sich um eine chinesische IP-Adresse zu handeln, und ich glaube nicht, dass einer der Gruppenteilnehmer einen chinesischen Provider hat;).

War das ein Hackerangriff?
Wenn ja, kann ich was dagegen machen (IP-Adressen blockieren?)?
Es scheint, dass die Versuche keinen Schaden angerichtet haben, aber muß ich fürchten, dass ein anderer Angriff "erfolgreicher" sein könnte?

Könnte jemand, der es schafft, sich unberechtigterweise einzuloggen, auch Zugriff auf andere Ordner der DS erlangen?
 
Das nennt man eine Brute-Force-Attacke. Es werden so viele Passwörter ausprobiert wie geht. Dafür braucht man aber meist einige Tausend Versuche. Kontrolliere mal alle Logs auf eventuelle Zugriffe von dieser IP. Und ja, wenn das Passwort stimmt und der Hacker einen Treffer landet, ist der Zugang frei. Es hat schon sehr vereinzelte Berichte davon gegeben.
Die DS kennt eine Gegenmaßnahme: Die "Automatische Blockierung". Aktivieren und wenn du magst ein wenig anpassen. Findet sich in "Bedienfeld".

MfG Matthieu
 
Einfach die automatische Blockierung anmachen.
Nach 3 Versuchen in einer Stunde sperren und nach 24 Stunden wieder löschen.

Da wird einfach wild rumprobiert, ob man irgendwo reinkommt.
 
Ich hätte eine kleine Frage zur automatischen Blockierung. Ich hab's bei mir so eingestellt, dass man 3 Versuche in 24 Stunden hat und die IP danach gesperrt bleibt. Da meine Passwörter alle über 50 Zeichen lang sind, sollte das doch reichen, oder?
 
Kleiner Tipp am Rande:

Nicht unbedingt den Standardport nach aussen benutzen!
Man kann auch z.B. den ext. Port 55321 im Router an den Port 21 der Syno leiten.

Das verhindert zumindest einen Teil der Botscans, die meistens nur die Standardports nach offenen oder schlecht gesicherten Zugängen absuchen.
 
Gut, dass du das ansprichst. Genau das habe ich gemacht. z.B. ext.Port 9053 auf 21 für FTP umgeleitet.
Kann nun jemand von außen feststellen, dass auf Port 21 umgeleitet wird und daraus schließen, dass es sich um einen FTP Zugang handelt und einen eventuellen Angriff erfolgreicher ausführen? Würe es also Sinn machen, den FTP-Port in der DS auf z.B. 50 zu legen?
 
Wo der interne Port liegt, ist egal.
Theoretisch kann man alle Ports abscannen, wird meist aber nicht gemacht.

Und mit ausreichend sicheren Passwörtern und der automatischen Blockierung sollte auch nichts passieren.
 
Ne, den internen Port zu verstellen bringt gar nichts, da dein Port 9053 ja immer richtig weiterleitet.
Aber wenn es so schon ist, dann ändere doch einfach mal über den Router deine externe IP-Adresse.
Wenn dann der Scan wieder kommt, kann ja nur jemand deine DynDNS-Adresse kennen und möglicherweise ist es ja doch ein Bekannter der zufällig einen chinesischen Proxy benutzt!?
 
Danke an alle! Ich werde es nun (vorläufig) nur mit der automatischen Blockierung (10 Versuche in drei min) versuchen. Die anderen dürften alle keine PC-Spezialisten sein, und wenn ich jetzt noch mit anderen ports komme, dann kommen sie gar nicht mehr zurecht. Die beiden, die sich bis jetzt "bedient" haben, brauchten mehrere Versuche, bis sie eingeloggt waren.
 
Stell die Zeitspanne auf mindestens eine Stunde. Sonst hat derjenige alle 3 Minuten 9 Versuche, ehe er blockiert wird.
 
24 Stunden ist ein guter Wert weil man danach eh ne neue IP hat.
Und damit es die Anfänger denn doch schaffen ggf 10 statt 3 Versuche
 
Habe da auch eine Frage: Ich habe gelesen man soll dem admin die FTP Berechtigung sperren. Das verstehe ich nicht ganz.
 
99% der "bösen Jungs" versuchen Zugriff als Administrator zu erhalten. Dafür probieren sie verschiedene Benutzernamen wie "admin", "administrator" etc. Sperrt man den admin der DS jedoch von Beginn an, ist die Chance dass sie nur den richtigen Benutzernamen finden schon fast nahe 0 bei aktivierter IP-Blockierung.

MfG Matthieu
 
Dnake. Und wo genau mache ich das: Beim Benutzer unter Privilegieneinstellungen den Zugriff auf homes verbieten? Oder woanders?
 
Nur, unter "Anwendungsberechtigungen" ist bei mir der admin gar nicht drin. ???
 
Cripersyn schrieb:
Nur, unter "Anwendungsberechtigungen" ist bei mir der admin gar nicht drin. ???
Zum Vergrößern anklicken....
Entschuldige, hab ich vergessen. Es gibt eine Datei die den genauen Zugang zu ftp regelt ... ich such mal, weiß aber nich ob ich sie jetzt auf Anhieb finde. Vielleicht hat sie ja noch jemand anderes im Kopf ...

MfG Matthieu
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten