Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Linux Samba

GELÖST

Zugriffe auf Samba-Shares aus dem Internet

Mitglied: kruemeltee

kruemeltee (Level 1) - Jetzt verbinden

29.11.2009, aktualisiert 21:49 Uhr, 5520 Aufrufe, 2 Kommentare

Ich betreibe einen FTP Server und seit neuestem einen Samba Server und stelle tausende von Zugriffen auf meinen Rechner fest. Kann es sein, daß die betreffenden User gar nichts davon wissen?

Hallöchen alle zusammen,

seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.

Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?

Mit freundlichen Grüßen
kruemeltee
Mitglied: Kreuzpeter
30.11.2009 um 06:58 Uhr
Hallo Kruemeltee,

ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.

Gruß

Peter
Bitte warten ..
Mitglied: kruemeltee
30.11.2009 um 08:22 Uhr
vielen herzlichen Dank Kreuzpeter,

Deine angesprochenen Sicherheitsmängel sind bei Kabel Deutschland tatsächlich vorhanden. Ich selbst nutze ja noch einen Router hinter dem mitgelieferten Modem. Allerdings habe ich zwei gravierende Sachen festgestellt:
1. keine wechselnde IP
So lange das Modem nicht ausgeschaltet wird habe ich scheinbar immer die selbe IP im Internet (also fast eine feste IP). Es gibt keinen Zwangsreconnect nach 24 Stunden wie bei anderen ISP's, was jedoch vermutlich daran liegt, daß ich NUR über das mitgelieferte Modem mit meinen Login-Daten ins Kabel-Deutschland Netz komme. Somit sollte eigentlich ein "Diebstahl" der Zugangsdaten unmöglich sein, da diese fest im Modem integriert sind und sich nicht ändern lassen. Das hat natürlich Vorteile, scheinbar aber auch Nachteile. (ich hab seit ich bei Kabel Deutschland ans Netz gegangen bin, also seit etwa 5 Wochen, die gleiche IP)

2. DNS Eintrag
Jeder Teilnehmer von Kabel-Deutschland bekommt scheinbar einen DNS Eintrag über den der Rechner erreichbar ist. Dieser setzt sich zusammen aus der IP des Rechners mit einem Anhängsel. Also in der Art 77-23-17-167-dynip.superkabel.de. Auch dieses hat Vor- und Nachteile.

Was die Sicherheit eines Rechners anbetrifft denke ich, daß man hier eben (mal abgesehen von der Tatsache, daß das Modem keine Firewall oder ähnliches zu besitzen scheint) leichter im Internet zu finden ist und daher ggf. eher Angriffe stattfinden könnten als bei anderen.

Deine Ausführungen ergeben für mich auch Sinn, daher werd ich mich einmal direkt bei Kabel Deutschland schlau machen und einfach einmal nachfragen (mehr als ein "nein" kann ich auch nicht bekommen). Ich setze daher das Thema als "gelöst". Falls ich noch mehr Informationen bekommen sollte, schreibe ich die hier rein.

Vielen herzlichen Dank!

mit freundlichem Gruß
kruemeltee
Bitte warten ..
Ähnliche Inhalte
Samba
MSSQL auf anonymer samba share
Frage von 8digitSamba2 Kommentare

Hallo, ich versuche eine mssql Datenbank (läuft auf nem Windows Failover Cluster) auf eine samba share umzuziehen, was jedoch ...

Samba
AD-Profil auf Samba-Share
Frage von DeciderSamba8 Kommentare

Guten Morgen, ich besitze ein Windows AD und möchte die Profile meiner Benutzer auf einem Samba-Share speichern. Die Ordner ...

Netzwerke
Samba-Share nicht im LAN aufrufbar
Frage von dr-mannyNetzwerke2 Kommentare

Servus, ich hab da ein Problem: Ich habe einen Server zuhause stehen (Debian Wheezy), auf dem ein Samba3-Server mit ...

Samba
Sicherheitseinstellungen von Samba-Shares
gelöst Frage von DeciderSamba6 Kommentare

Guten Tag, ich habe eine Freigabe über Samba erstellt und möchte dort Berechtigungen setzen. Über die Computerverwaltung eines Windows ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 1 TagLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 2 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 2 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 2 TagenSicherheit10 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Batch & Shell
Shell-Skript - Syntax error: Unterminated quoted string
Frage von newit1Batch & Shell13 Kommentare

Hallo Ich schreibe ein Skript das eine CSV-Datei in eine mySQL Datenbank schieben soll. Bekomme nach start des Skrips ...

Batch & Shell
Meltdown Microsoft Prüf Script - .zip Datei leider leer
gelöst Frage von MasterBlaster88Batch & Shell13 Kommentare

Hallo zusammen, ich patche gerade unsere Windows Server bzgl. der Meltdown Lücke. Patch vorhanden, Reg Keys gesetzt Um das ...

E-Mail
Erfahrungen mit hMailServer gesucht
Frage von it-fraggleE-Mail10 Kommentare

Hallo, meine neue Stelle möchte einen eigenen Mailserver. Ich als Linuxkind war direkt geistig mit Postfix dabei. Leider wollen ...

Entwicklung
VBS: alle PDF-Dateien in einem Ordner gleichzeitig öffnen
gelöst Frage von JuweeeEntwicklung9 Kommentare

Hallo, ich habe in deiner Ordnerstruktur (.\Tagesberichte\xx.18\) mehrere dynamische PDF-Formulare (mit LCD erstellt). Die Berichtsformulare sind im Layout alle ...