Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Angriffe auf NAS

Mitglied: bandycoad

bandycoad (Level 1) - Jetzt verbinden

30.09.2009 um 17:36 Uhr, 9227 Aufrufe, 5 Kommentare

Hallo und guten Tag an die administrator.de Gemeinde wünscht ein recht unerfahrener Anwender.

Mein NAS wird angegriffen und wollte wissen ob ich damit Leben muss

Folgende Situation:

Ich habe zwei NAS (QNAP TS-119) an verschiedenen Standorten eingerichtet welche mich, wie auch die verwendeten Router, per syslog auf dem laufenden halten.

Vor einer Woche fanden pro Tag hunderte Login Versuche mit verschiedenen Benutzername und von verschiedenen IP-Adressen statt.
Ich hatte den Port 445 zur Konfiguration über das Netz freigegeben.
Jetzt habe ich in der Firewall des Routers, o2 Surf & Phone Box, den Zugriff über den IP-Range eingeschränkt.
Seit dem meldet mir der Router minütliche Zugriffsversuche von verschieden IP-Adressen auf allen möglichen Ports.

Meine Frage ist nun ob es sich hierbei um einen gezielten Angriff handelt oder ob Bots ins blaue hinein ihr Glück versuchen, und ob ich damit Leben muß.

Beide NAS werden über DDNS erreichbar gemacht, dessen Account ich auch schon gewechselt hatte. Ohne Erfolg.
Der zweite NAS, ISP ist hier Telekom, ist davon nicht betroffen.

Vielen Dank für euer Interesse und noch einen schönen Abend.

Steve
Mitglied: 45877
30.09.2009 um 18:09 Uhr
Hi,

ob es grundrauschen oder ein gezielter Angriff ist, kann man wohl erst sagen, wenn man die Logs sehen kann.....
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 18:22 Uhr
Hallo chewbakka.

Verzeih bitte. Hier ein Ausschnitt aus dem Log:

18:08:49 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:08:46 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:07:09 router-kahe-heim: src="77.12.101.66:18774" dst="77.12.205.85:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:01:35 router-kahe-heim: src="77.12.101.66:24130" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:00:01 router-kahe-heim: src="67.234.244.230:3731" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:54:24 router-kahe-heim: src="77.12.81.242:10071" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:49:52 router-kahe-heim: src="193.251.80.117:3257" dst="77.12.227.52:137" msg="Firewall default policy: UDP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:38 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:35 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:13 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:10 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:36 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:33 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
Bitte warten ..
Mitglied: 45877
30.09.2009 um 18:46 Uhr
Hallo,

also bei der Häufigkeit würde ich jetzt nicht einen Angriff vermuten.
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 19:03 Uhr
Danke für Deine schnelle Antwort.

Du sprachst vorhin von einem grundrauschen. Meinst Du damit das die Verbindungsversuche von Rechnern kommen die sich was eingefangen haben.

Habe jetzt bei meinem privaten Router (feste IP) Syslog aktiviert und siehe da. Auch hier Verbindungsversuche am laufenden Band.

Was meinst Du kann man diese Syslog Meldungen schlicht ignorieren. Ich meine wegen der Übersicht und größe der Logdatei.

Stutzig bin ich anfangs wegen der vielen Login Versuchen geworden:

17:03:03 qlogd conn log: Users: globus, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:06 qlogd conn log: Users: condor, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:07 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: tomcat, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:10 qlogd conn log: Users: cadi, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: cady, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: global, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:15 qlogd conn log: Users: root, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>

u.s.w.

Vielen Dank für Dein Interesse.
Bitte warten ..
Mitglied: 45877
30.09.2009 um 19:26 Uhr
grundrauschen sind halt Einbruchsversuche, die nicht gezielt gegen dich gerichtet sind sondern halt einfach eine bestimmte ip range abklappern und überall einen bestimmten exploit versuchen. oder portscan, oder verbindungsversuche auf rechner die früher deine ip hatten usw.

wenn es wirklcih jemand auf di abgesehen hätte, würdest du wohl eher hunderte verbindungen von einer ( oder verschiedenen ips, wenn er ein botnet zur verfügung hat) sehen, die viele exploits abgrasen oder logins versuchen.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Eventueller Malware Angriff auf nginx...
Frage von linuxverbrezlerViren und Trojaner4 Kommentare

Hab grad die Access Log von Nginx durchgeforstet hier taucht ab und an folgendes auf: 185.4.227.194 05/Mar/2014:08:19:21 +0100 "GET ...

Backup

Datensicherung NAS auf NAS und Exchange auf NAS

Frage von rababar2014Backup3 Kommentare

Hallo Leude, folgende Frage: Ich habe zwei Synology Diskstations DS213j. Die eine fungiert als Fileserver, die andere als Backup-Server. ...

Sicherheit

Angriff auf meinen internen Webserver?

gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr

Ankündigung eines DDoS Angriffs

gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 2 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 8 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 22 StundenSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Server
Route-Befehl Unterstützung (unter CMD)
gelöst Frage von FKRR56Server38 Kommentare

Guten Tag , i.M. habe ich Probleme über den CMD-Route-Befehl ein Routing auf einen entfernten Server zuzulassen. Der Server ...

Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless21 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

Microsoft
TV-Tipp: Das Microsoft-Dilemma
Information von kgbornMicrosoft17 Kommentare

Aktuell gibt es in Behörden und in Firmen eine fatale Abhängigkeit von Microsoft und dessen Produkten. Planlos agieren die ...