Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriffe auf NAS

Frage Sicherheit Firewall

Mitglied: bandycoad

bandycoad (Level 1) - Jetzt verbinden

30.09.2009 um 17:36 Uhr, 9187 Aufrufe, 5 Kommentare

Hallo und guten Tag an die administrator.de Gemeinde wünscht ein recht unerfahrener Anwender.

Mein NAS wird angegriffen und wollte wissen ob ich damit Leben muss

Folgende Situation:

Ich habe zwei NAS (QNAP TS-119) an verschiedenen Standorten eingerichtet welche mich, wie auch die verwendeten Router, per syslog auf dem laufenden halten.

Vor einer Woche fanden pro Tag hunderte Login Versuche mit verschiedenen Benutzername und von verschiedenen IP-Adressen statt.
Ich hatte den Port 445 zur Konfiguration über das Netz freigegeben.
Jetzt habe ich in der Firewall des Routers, o2 Surf & Phone Box, den Zugriff über den IP-Range eingeschränkt.
Seit dem meldet mir der Router minütliche Zugriffsversuche von verschieden IP-Adressen auf allen möglichen Ports.

Meine Frage ist nun ob es sich hierbei um einen gezielten Angriff handelt oder ob Bots ins blaue hinein ihr Glück versuchen, und ob ich damit Leben muß.

Beide NAS werden über DDNS erreichbar gemacht, dessen Account ich auch schon gewechselt hatte. Ohne Erfolg.
Der zweite NAS, ISP ist hier Telekom, ist davon nicht betroffen.

Vielen Dank für euer Interesse und noch einen schönen Abend.

Steve
Mitglied: 45877
30.09.2009 um 18:09 Uhr
Hi,

ob es grundrauschen oder ein gezielter Angriff ist, kann man wohl erst sagen, wenn man die Logs sehen kann.....
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 18:22 Uhr
Hallo chewbakka.

Verzeih bitte. Hier ein Ausschnitt aus dem Log:

18:08:49 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:08:46 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:07:09 router-kahe-heim: src="77.12.101.66:18774" dst="77.12.205.85:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:01:35 router-kahe-heim: src="77.12.101.66:24130" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:00:01 router-kahe-heim: src="67.234.244.230:3731" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:54:24 router-kahe-heim: src="77.12.81.242:10071" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:49:52 router-kahe-heim: src="193.251.80.117:3257" dst="77.12.227.52:137" msg="Firewall default policy: UDP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:38 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:35 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:13 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:10 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:36 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:33 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
Bitte warten ..
Mitglied: 45877
30.09.2009 um 18:46 Uhr
Hallo,

also bei der Häufigkeit würde ich jetzt nicht einen Angriff vermuten.
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 19:03 Uhr
Danke für Deine schnelle Antwort.

Du sprachst vorhin von einem grundrauschen. Meinst Du damit das die Verbindungsversuche von Rechnern kommen die sich was eingefangen haben.

Habe jetzt bei meinem privaten Router (feste IP) Syslog aktiviert und siehe da. Auch hier Verbindungsversuche am laufenden Band.

Was meinst Du kann man diese Syslog Meldungen schlicht ignorieren. Ich meine wegen der Übersicht und größe der Logdatei.

Stutzig bin ich anfangs wegen der vielen Login Versuchen geworden:

17:03:03 qlogd conn log: Users: globus, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:06 qlogd conn log: Users: condor, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:07 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: tomcat, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:10 qlogd conn log: Users: cadi, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: cady, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: global, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:15 qlogd conn log: Users: root, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>

u.s.w.

Vielen Dank für Dein Interesse.
Bitte warten ..
Mitglied: 45877
30.09.2009 um 19:26 Uhr
grundrauschen sind halt Einbruchsversuche, die nicht gezielt gegen dich gerichtet sind sondern halt einfach eine bestimmte ip range abklappern und überall einen bestimmten exploit versuchen. oder portscan, oder verbindungsversuche auf rechner die früher deine ip hatten usw.

wenn es wirklcih jemand auf di abgesehen hätte, würdest du wohl eher hunderte verbindungen von einer ( oder verschiedenen ips, wenn er ein botnet zur verfügung hat) sehen, die viele exploits abgrasen oder logins versuchen.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Backup-Strategie: Krankenhaus konnte Ransomware-Angriff abwehren

Link von runasservice zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Command Injection: Qnap-NAS-Geräte aus der Ferne angreifbar

Link von magicteddy zum Thema Erkennung und -Abwehr ...

Erkennung und -Abwehr
Intel-Fernwartung AMT bei Angriffen auf PCs genutzt

Link von 114685 zum Thema Erkennung und -Abwehr ...

Neue Wissensbeiträge
Humor (lol)

Wohnt jemand in Belgien und kann nicht mehr ruhig ausschlafen?

(4)

Information von LordGurke zum Thema Humor (lol) ...

Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
Gruppenrichtlinie greift nicht zu! (24)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...

Voice over IP
DeutschlandLAN IP Voice Data M Premium, Erfahrung mit Faxgeräte? (16)

Frage von liquidbase zum Thema Voice over IP ...