2
Zugriffe auf Samba-Shares aus dem Internet
Ich betreibe einen FTP Server und seit neuestem einen Samba Server und stelle tausende von Zugriffen auf meinen Rechner fest. Kann es sein, daß die betreffenden User gar nichts davon wissen?
Hallöchen alle zusammen,
seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.
Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?
Mit freundlichen Grüßen
kruemeltee
seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.
Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?
Mit freundlichen Grüßen
kruemeltee
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 130497
Url: https://administrator.de/contentid/130497
Printed on: April 24, 2024 at 07:04 o'clock
2 Comments
Latest comment
Hallo Kruemeltee,
ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.
Gruß
Peter
ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.
Gruß
Peter
vielen herzlichen Dank Kreuzpeter,
Deine angesprochenen Sicherheitsmängel sind bei Kabel Deutschland tatsächlich vorhanden. Ich selbst nutze ja noch einen Router hinter dem mitgelieferten Modem. Allerdings habe ich zwei gravierende Sachen festgestellt:
1. keine wechselnde IP
So lange das Modem nicht ausgeschaltet wird habe ich scheinbar immer die selbe IP im Internet (also fast eine feste IP). Es gibt keinen Zwangsreconnect nach 24 Stunden wie bei anderen ISP's, was jedoch vermutlich daran liegt, daß ich NUR über das mitgelieferte Modem mit meinen Login-Daten ins Kabel-Deutschland Netz komme. Somit sollte eigentlich ein "Diebstahl" der Zugangsdaten unmöglich sein, da diese fest im Modem integriert sind und sich nicht ändern lassen. Das hat natürlich Vorteile, scheinbar aber auch Nachteile. (ich hab seit ich bei Kabel Deutschland ans Netz gegangen bin, also seit etwa 5 Wochen, die gleiche IP)
2. DNS Eintrag
Jeder Teilnehmer von Kabel-Deutschland bekommt scheinbar einen DNS Eintrag über den der Rechner erreichbar ist. Dieser setzt sich zusammen aus der IP des Rechners mit einem Anhängsel. Also in der Art
Was die Sicherheit eines Rechners anbetrifft denke ich, daß man hier eben (mal abgesehen von der Tatsache, daß das Modem keine Firewall oder ähnliches zu besitzen scheint) leichter im Internet zu finden ist und daher ggf. eher Angriffe stattfinden könnten als bei anderen.
Deine Ausführungen ergeben für mich auch Sinn, daher werd ich mich einmal direkt bei Kabel Deutschland schlau machen und einfach einmal nachfragen (mehr als ein "nein" kann ich auch nicht bekommen). Ich setze daher das Thema als "gelöst". Falls ich noch mehr Informationen bekommen sollte, schreibe ich die hier rein.
Vielen herzlichen Dank!
mit freundlichem Gruß
kruemeltee
Deine angesprochenen Sicherheitsmängel sind bei Kabel Deutschland tatsächlich vorhanden. Ich selbst nutze ja noch einen Router hinter dem mitgelieferten Modem. Allerdings habe ich zwei gravierende Sachen festgestellt:
1. keine wechselnde IP
So lange das Modem nicht ausgeschaltet wird habe ich scheinbar immer die selbe IP im Internet (also fast eine feste IP). Es gibt keinen Zwangsreconnect nach 24 Stunden wie bei anderen ISP's, was jedoch vermutlich daran liegt, daß ich NUR über das mitgelieferte Modem mit meinen Login-Daten ins Kabel-Deutschland Netz komme. Somit sollte eigentlich ein "Diebstahl" der Zugangsdaten unmöglich sein, da diese fest im Modem integriert sind und sich nicht ändern lassen. Das hat natürlich Vorteile, scheinbar aber auch Nachteile. (ich hab seit ich bei Kabel Deutschland ans Netz gegangen bin, also seit etwa 5 Wochen, die gleiche IP)
2. DNS Eintrag
Jeder Teilnehmer von Kabel-Deutschland bekommt scheinbar einen DNS Eintrag über den der Rechner erreichbar ist. Dieser setzt sich zusammen aus der IP des Rechners mit einem Anhängsel. Also in der Art
77-23-17-167-dynip.superkabel.de. Auch dieses hat Vor- und Nachteile.Was die Sicherheit eines Rechners anbetrifft denke ich, daß man hier eben (mal abgesehen von der Tatsache, daß das Modem keine Firewall oder ähnliches zu besitzen scheint) leichter im Internet zu finden ist und daher ggf. eher Angriffe stattfinden könnten als bei anderen.
Deine Ausführungen ergeben für mich auch Sinn, daher werd ich mich einmal direkt bei Kabel Deutschland schlau machen und einfach einmal nachfragen (mehr als ein "nein" kann ich auch nicht bekommen). Ich setze daher das Thema als "gelöst". Falls ich noch mehr Informationen bekommen sollte, schreibe ich die hier rein.
Vielen herzlichen Dank!
mit freundlichem Gruß
kruemeltee
