Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zugriffe auf Samba-Shares aus dem Internet

Frage Linux Samba

Mitglied: kruemeltee

kruemeltee (Level 1) - Jetzt verbinden

29.11.2009, aktualisiert 21:49 Uhr, 5492 Aufrufe, 2 Kommentare

Ich betreibe einen FTP Server und seit neuestem einen Samba Server und stelle tausende von Zugriffen auf meinen Rechner fest. Kann es sein, daß die betreffenden User gar nichts davon wissen?

Hallöchen alle zusammen,

seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.

Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?

Mit freundlichen Grüßen
kruemeltee
Mitglied: Kreuzpeter
30.11.2009 um 06:58 Uhr
Hallo Kruemeltee,

ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.

Gruß

Peter
Bitte warten ..
Mitglied: kruemeltee
30.11.2009 um 08:22 Uhr
vielen herzlichen Dank Kreuzpeter,

Deine angesprochenen Sicherheitsmängel sind bei Kabel Deutschland tatsächlich vorhanden. Ich selbst nutze ja noch einen Router hinter dem mitgelieferten Modem. Allerdings habe ich zwei gravierende Sachen festgestellt:
1. keine wechselnde IP
So lange das Modem nicht ausgeschaltet wird habe ich scheinbar immer die selbe IP im Internet (also fast eine feste IP). Es gibt keinen Zwangsreconnect nach 24 Stunden wie bei anderen ISP's, was jedoch vermutlich daran liegt, daß ich NUR über das mitgelieferte Modem mit meinen Login-Daten ins Kabel-Deutschland Netz komme. Somit sollte eigentlich ein "Diebstahl" der Zugangsdaten unmöglich sein, da diese fest im Modem integriert sind und sich nicht ändern lassen. Das hat natürlich Vorteile, scheinbar aber auch Nachteile. (ich hab seit ich bei Kabel Deutschland ans Netz gegangen bin, also seit etwa 5 Wochen, die gleiche IP)

2. DNS Eintrag
Jeder Teilnehmer von Kabel-Deutschland bekommt scheinbar einen DNS Eintrag über den der Rechner erreichbar ist. Dieser setzt sich zusammen aus der IP des Rechners mit einem Anhängsel. Also in der Art 77-23-17-167-dynip.superkabel.de. Auch dieses hat Vor- und Nachteile.

Was die Sicherheit eines Rechners anbetrifft denke ich, daß man hier eben (mal abgesehen von der Tatsache, daß das Modem keine Firewall oder ähnliches zu besitzen scheint) leichter im Internet zu finden ist und daher ggf. eher Angriffe stattfinden könnten als bei anderen.

Deine Ausführungen ergeben für mich auch Sinn, daher werd ich mich einmal direkt bei Kabel Deutschland schlau machen und einfach einmal nachfragen (mehr als ein "nein" kann ich auch nicht bekommen). Ich setze daher das Thema als "gelöst". Falls ich noch mehr Informationen bekommen sollte, schreibe ich die hier rein.

Vielen herzlichen Dank!

mit freundlichem Gruß
kruemeltee
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Samba
gelöst RedHat Samba User-Zugriffe loggen (6)

Frage von Akrosh zum Thema Samba ...

Netzwerkgrundlagen
PFSense kein Internet Zugang (5)

Frage von Phill93 zum Thema Netzwerkgrundlagen ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...