Versuchter Zugriff - Wie Adresse gefunden?

-TiKe- · 22. Nov. 2010

Guten Abend,

gegen 17:20 hatte ich einen versuchten externen Zugriff auf die DS. Meine dyndns-Adresse habe ich nirgendwo hinterlegt. Wie kann es sein, dass eine externe Person versucht den Login mit dem Benutzername "Administrateur" zu knacken? Wundere mich nur so, da ich keinem meine dyndns-Adresse gegeben habe...

Passiert ist nichts. Das Passwort konnte nicht geknackt werden und nach Versuch 5 wanderte die IP auf die Blockierliste.

LG

Anzeige · 22. Nov. 2010

Hallo -TiKe-,

Bücher und Hardware zum Thema gibt es bei Amazon: Versuchter Zugriff - Wie Adresse gefunden?

jahlives · 22. Nov. 2010

War wahrscheinlich Zufall und jemand hat deine IP gescannt und dann mal auf den offenen Ports etwas probiert. Guck doch mal bei einem GeoIP Service von wo die IP her ist.

-TiKe- · 22. Nov. 2010

Hab ich mal gemacht.

IP kommt aus China, Beijing.

Zusätzlich schützen kann man sich nicht?

jahlives · 22. Nov. 2010

-TiKe- schrieb:
Hab ich mal gemacht.

IP kommt aus China, Beijing.

Zusätzlich schützen kann man sich nicht?

Du kannst IPs bzw ganze IP Blöcke an deiner Firewall (Router) sperren. Das ist aber extrem aufwändig und zudem musst du das immer wieder mal anpassen.
Du könntest auch mittels einer .htaccess Datei arbeiten und dort die IPs über den Apache sperren. Wäre etwas weniger aufwändig als die Sache am Router.
Theoretisch kannst du also ganze Länder von deinem Apache fernhalten.

Nur ist das ziemlich viel Aufwand und ob sich der lohnt? Nimm ein sicheres Passwort, nur https Zugriff auf den DSM (wenn du ihn überhaupt ins Internet freigeben musst) und behalt den AutoBlock aktiviert. Denke das dürfte mehr bringen als IPs in der Firewall zu sperren (geht auf jeden Fall schneller)

Gruss

tobi

Tagger · 22. Nov. 2010

Also Zufall ist das ganz sicher keiner. Ich habe diese Zugriffe ebenfalls ständig auch von einem "Administratuer". Das sieht allerdings alles sehr automatisiert aus, sodaß ich hier von Scripten ausgehen würde, die über offene Ports versuchen Zugriff zu erlangen, bei mir FTP. Da aber FTP bei mir offen sein muß, ebenso die Quell-IP, kann man nicht wirklich etwas tun, außer den Benutzerzugang (Name/Passwort) so sicher wie möglich zu gestalten.

jahlives · 23. Nov. 2010

Wichtige Frage wenn du FTP offen hast: Welche Firmware Version verwendest du? Es gab in FW < DSM 3 einen Bug in der Protokollierung von FTP, welcher es ermöglicht Code (z.B. Javascript) in den DSM zu schieben. Damit war es einem externen User möglich deinem DSM-Admin Code unterzuschieben

floho · 23. Nov. 2010

Ich habe auch täglich ca. 5-10 Zugriffsversuche dieser Art. Zu Zeit arbeitet die Kiste 24/7 - aber wie ist es, wenn die DS mal im hibernation-mode ist?
Wachen die Festplatten dann jedes mal auf, um die IP in die Blockierliste zu schreiben?

Hat da jemand Erfahrung?

Grüße

itari · 23. Nov. 2010

floho schrieb:
Wachen die Festplatten dann jedes mal auf, um die IP in die Blockierliste zu schreiben?

Wie sollte man eine Blockierungsprotokoll führen, wenn nicht als Datei auf der Platte? Und dann wäre es doch normal, dass die Platte aufwacht, oder?

Itari

Tagger · 29. Nov. 2010

Wichtige Frage wenn du FTP offen hast: Welche Firmware Version verwendest du?

Sorry für den späten Reply. Habe den Thread nicht mehr wiedergefunden. Firmware ist: DSM 2.2-0965. Bisher arbeitet soweit alles fehlerfrei und wird sauber geblockt.

Suche

Suche

Versuchter Zugriff - Wie Adresse gefunden?

-TiKe-

Benutzer

Anzeige

jahlives

Benutzer

-TiKe-

Benutzer

jahlives

Benutzer

Tagger

Benutzer

jahlives

Benutzer

floho

Benutzer

itari

Benutzer

Tagger

Benutzer

Kaffeautomat