Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Angriffe auf NAS

Frage Sicherheit Firewall

Mitglied: bandycoad

bandycoad (Level 1) - Jetzt verbinden

30.09.2009 um 17:36 Uhr, 9203 Aufrufe, 5 Kommentare

Hallo und guten Tag an die administrator.de Gemeinde wünscht ein recht unerfahrener Anwender.

Mein NAS wird angegriffen und wollte wissen ob ich damit Leben muss

Folgende Situation:

Ich habe zwei NAS (QNAP TS-119) an verschiedenen Standorten eingerichtet welche mich, wie auch die verwendeten Router, per syslog auf dem laufenden halten.

Vor einer Woche fanden pro Tag hunderte Login Versuche mit verschiedenen Benutzername und von verschiedenen IP-Adressen statt.
Ich hatte den Port 445 zur Konfiguration über das Netz freigegeben.
Jetzt habe ich in der Firewall des Routers, o2 Surf & Phone Box, den Zugriff über den IP-Range eingeschränkt.
Seit dem meldet mir der Router minütliche Zugriffsversuche von verschieden IP-Adressen auf allen möglichen Ports.

Meine Frage ist nun ob es sich hierbei um einen gezielten Angriff handelt oder ob Bots ins blaue hinein ihr Glück versuchen, und ob ich damit Leben muß.

Beide NAS werden über DDNS erreichbar gemacht, dessen Account ich auch schon gewechselt hatte. Ohne Erfolg.
Der zweite NAS, ISP ist hier Telekom, ist davon nicht betroffen.

Vielen Dank für euer Interesse und noch einen schönen Abend.

Steve
Mitglied: 45877
30.09.2009 um 18:09 Uhr
Hi,

ob es grundrauschen oder ein gezielter Angriff ist, kann man wohl erst sagen, wenn man die Logs sehen kann.....
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 18:22 Uhr
Hallo chewbakka.

Verzeih bitte. Hier ein Ausschnitt aus dem Log:

18:08:49 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:08:46 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:07:09 router-kahe-heim: src="77.12.101.66:18774" dst="77.12.205.85:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:01:35 router-kahe-heim: src="77.12.101.66:24130" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:00:01 router-kahe-heim: src="67.234.244.230:3731" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:54:24 router-kahe-heim: src="77.12.81.242:10071" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:49:52 router-kahe-heim: src="193.251.80.117:3257" dst="77.12.227.52:137" msg="Firewall default policy: UDP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:38 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:35 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:13 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:10 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:36 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:33 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
Bitte warten ..
Mitglied: 45877
30.09.2009 um 18:46 Uhr
Hallo,

also bei der Häufigkeit würde ich jetzt nicht einen Angriff vermuten.
Bitte warten ..
Mitglied: bandycoad
30.09.2009 um 19:03 Uhr
Danke für Deine schnelle Antwort.

Du sprachst vorhin von einem grundrauschen. Meinst Du damit das die Verbindungsversuche von Rechnern kommen die sich was eingefangen haben.

Habe jetzt bei meinem privaten Router (feste IP) Syslog aktiviert und siehe da. Auch hier Verbindungsversuche am laufenden Band.

Was meinst Du kann man diese Syslog Meldungen schlicht ignorieren. Ich meine wegen der Übersicht und größe der Logdatei.

Stutzig bin ich anfangs wegen der vielen Login Versuchen geworden:

17:03:03 qlogd conn log: Users: globus, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:06 qlogd conn log: Users: condor, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:07 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: tomcat, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:10 qlogd conn log: Users: cadi, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: cady, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: global, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:15 qlogd conn log: Users: root, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>

u.s.w.

Vielen Dank für Dein Interesse.
Bitte warten ..
Mitglied: 45877
30.09.2009 um 19:26 Uhr
grundrauschen sind halt Einbruchsversuche, die nicht gezielt gegen dich gerichtet sind sondern halt einfach eine bestimmte ip range abklappern und überall einen bestimmten exploit versuchen. oder portscan, oder verbindungsversuche auf rechner die früher deine ip hatten usw.

wenn es wirklcih jemand auf di abgesehen hätte, würdest du wohl eher hunderte verbindungen von einer ( oder verschiedenen ips, wenn er ein botnet zur verfügung hat) sehen, die viele exploits abgrasen oder logins versuchen.
Bitte warten ..
Ähnliche Inhalte
Viren und Trojaner
Eventueller Malware Angriff auf nginx...
Frage von linuxverbrezlerViren und Trojaner4 Kommentare

Hab grad die Access Log von Nginx durchgeforstet hier taucht ab und an folgendes auf: 185.4.227.194 05/Mar/2014:08:19:21 +0100 "GET ...

Backup
Datensicherung NAS auf NAS und Exchange auf NAS
Frage von rababar2014Backup3 Kommentare

Hallo Leude, folgende Frage: Ich habe zwei Synology Diskstations DS213j. Die eine fungiert als Fileserver, die andere als Backup-Server. ...

Sicherheit
Angriff auf meinen internen Webserver?
gelöst Frage von tguhl99Sicherheit8 Kommentare

Hallo, ich habe ein Problem mit meinen Netz. Auf einem internen Server läuft mein Intranet mit xampp. Es gibt ...

Erkennung und -Abwehr
Ankündigung eines DDoS Angriffs
gelöst Frage von runasserviceErkennung und -Abwehr23 Kommentare

Hallo, kurze Anfrage in die Runde. Sind solche "Spam-Mails" ernst zu nehmen? Vielen Dank

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 34 MinutenViren und Trojaner

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 4 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Vmware
Installation Windows 10 VMware
Frage von Ghost108Vmware17 Kommentare

Hallo zusammen, versuche gerade mit Hilfe des vshpere clients eine virtuelle Windows 10 maschine aufzusetzen. 1. virtuelle Maschine erstellt ...

Exchange Server
SBS 2011 E-Mails können gesendet werden, aber nicht von extern empfangen
Frage von andreas1234Exchange Server14 Kommentare

Hallo Community, ich habe das Problem, dass seit knapp zwei Wochen die E-Mails von meinem SBS 2011 einwandfrei gesendet ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell8 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...