Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriffe auf NAS

Frage Sicherheit Firewall

Mitglied: bandycoad

bandycoad (Level 1) - Jetzt verbinden

30.09.2009 um 17:36 Uhr, 9081 Aufrufe, 5 Kommentare

Hallo und guten Tag an die administrator.de Gemeinde wünscht ein recht unerfahrener Anwender.

Mein NAS wird angegriffen und wollte wissen ob ich damit Leben muss

Folgende Situation:

Ich habe zwei NAS (QNAP TS-119) an verschiedenen Standorten eingerichtet welche mich, wie auch die verwendeten Router, per syslog auf dem laufenden halten.

Vor einer Woche fanden pro Tag hunderte Login Versuche mit verschiedenen Benutzername und von verschiedenen IP-Adressen statt.
Ich hatte den Port 445 zur Konfiguration über das Netz freigegeben.
Jetzt habe ich in der Firewall des Routers, o2 Surf & Phone Box, den Zugriff über den IP-Range eingeschränkt.
Seit dem meldet mir der Router minütliche Zugriffsversuche von verschieden IP-Adressen auf allen möglichen Ports.

Meine Frage ist nun ob es sich hierbei um einen gezielten Angriff handelt oder ob Bots ins blaue hinein ihr Glück versuchen, und ob ich damit Leben muß.

Beide NAS werden über DDNS erreichbar gemacht, dessen Account ich auch schon gewechselt hatte. Ohne Erfolg.
Der zweite NAS, ISP ist hier Telekom, ist davon nicht betroffen.

Vielen Dank für euer Interesse und noch einen schönen Abend.

Steve
Mitglied: 45877
30.09.2009 um 18:09 Uhr
Hi,

ob es grundrauschen oder ein gezielter Angriff ist, kann man wohl erst sagen, wenn man die Logs sehen kann.....
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 18:22 Uhr
Hallo chewbakka.

Verzeih bitte. Hier ein Ausschnitt aus dem Log:

18:08:49 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:08:46 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:07:09 router-kahe-heim: src="77.12.101.66:18774" dst="77.12.205.85:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:01:35 router-kahe-heim: src="77.12.101.66:24130" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:00:01 router-kahe-heim: src="67.234.244.230:3731" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:54:24 router-kahe-heim: src="77.12.81.242:10071" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:49:52 router-kahe-heim: src="193.251.80.117:3257" dst="77.12.227.52:137" msg="Firewall default policy: UDP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:38 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:35 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:13 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:10 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:36 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:33 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
Bitte warten ..
Mitglied: 45877
30.09.2009 um 18:46 Uhr
Hallo,

also bei der Häufigkeit würde ich jetzt nicht einen Angriff vermuten.
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 19:03 Uhr
Danke für Deine schnelle Antwort.

Du sprachst vorhin von einem grundrauschen. Meinst Du damit das die Verbindungsversuche von Rechnern kommen die sich was eingefangen haben.

Habe jetzt bei meinem privaten Router (feste IP) Syslog aktiviert und siehe da. Auch hier Verbindungsversuche am laufenden Band.

Was meinst Du kann man diese Syslog Meldungen schlicht ignorieren. Ich meine wegen der Übersicht und größe der Logdatei.

Stutzig bin ich anfangs wegen der vielen Login Versuchen geworden:

17:03:03 qlogd conn log: Users: globus, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:06 qlogd conn log: Users: condor, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:07 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: tomcat, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:10 qlogd conn log: Users: cadi, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: cady, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: global, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:15 qlogd conn log: Users: root, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>

u.s.w.

Vielen Dank für Dein Interesse.
Bitte warten ..
Mitglied: 45877
30.09.2009 um 19:26 Uhr
grundrauschen sind halt Einbruchsversuche, die nicht gezielt gegen dich gerichtet sind sondern halt einfach eine bestimmte ip range abklappern und überall einen bestimmten exploit versuchen. oder portscan, oder verbindungsversuche auf rechner die früher deine ip hatten usw.

wenn es wirklcih jemand auf di abgesehen hätte, würdest du wohl eher hunderte verbindungen von einer ( oder verschiedenen ips, wenn er ein botnet zur verfügung hat) sehen, die viele exploits abgrasen oder logins versuchen.
Bitte warten ..
Neuester Wissensbeitrag
CPU, RAM, Mainboards

Angetestet: PC Engines APU 3a2 im Rack-Gehäuse

Erfahrungsbericht von ashnod zum Thema CPU, RAM, Mainboards ...

Ähnliche Inhalte
SAN, NAS, DAS
NAS RAID5 - RAID0 und Backup (7)

Frage von easy4breezy zum Thema SAN, NAS, DAS ...

Datenschutz
NAS aufräumen (1)

Frage von Kizuko zum Thema Datenschutz ...

Netzwerke
gelöst Netzwerkdrucker stört NAS (10)

Frage von guschtl zum Thema Netzwerke ...

Heiß diskutierte Inhalte
Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Windows Server
Mailserver auf Windows Server 2012 (8)

Frage von StefanT81 zum Thema Windows Server ...

Backup
Clients als Server missbrauchen? (8)

Frage von 1410640014 zum Thema Backup ...

DSL, VDSL
DSL-Signal bewerten (8)

Frage von SarekHL zum Thema DSL, VDSL ...