Angriff auf die Ds?

[SebastianH]

Hallo Leute,

war gestern Abend etwas "geschockt". Mir wurde eine Blockung einer IP mitgeteilt die versucht hat auf die DS zuzugreifen und dies von außerhalb. Ich habe die DS per DynDns im Netz mit einem nicht gerade geläufigen namen.

Hier wurde der User nach drei Fehlversuchen geblockt.

Habe dann die IP mal durchlaufen lassen und es kam folgendes raus:

Whois

Details zur IP-Adresse 200.107.248.37

% Joint Whois - whois.lacnic.net
% This server accepts single ASN, IPv4 or IPv6 queries

% LACNIC resource: whois.lacnic.net


% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2011-12-18 09:01:33 (BRST -02:00)

inetnum: 200.107.248/21
status: allocated
owner: LUTROL S.A.
ownerid: EC-LUSA3-LACNIC
responsible: Luis Augusto Bourgeat Barriga
address: Av. 12 de Octubre N24-660 y Francisco Salazar, -, Edif. Concorde
address: 0000 - Quito - PI
country: EC
phone: +593 2 2986440 [543]
owner-c: DAT6
tech-c: DAT6
abuse-c: DAT6
inetrev: 200.107.248/24
nserver: NS1.IMPSAT.NET.EC
nsstat: 20111216 AA
nslastaa: 20111216
nserver: GYE.IMPSAT.NET.EC
nsstat: 20111216 AA
nslastaa: 20111216
created: 20070920
changed: 20070920

nic-hdl: DAT6
person: Byron Tipanluisa Flores
e-mail: byron.tipanluisa@INTERACTIVE.COM.EC
address: Av. 12 de Octubre N24-660 y Francisco Salazar, Edif. Concorde, 24-66, Edif. Concorde
address: 0000 - Quito - PI
country: EC
phone: +593 2 2986440 [524]
created: 20070809
changed: 20110802

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

Kann es denn wirklich sein, das jemand meine DynDns Adresse rausbekommen hat und dies versucht hat. Vorall aus diesem Teil der Welt.

Oder gibt es vielleicht eine andere Erklärung?

 

[Ap0phis]

Deine DynDNS ist nicht unbedingt das Problem.

Jeder hat eine eindeutige IP-Adresse, die immer nach dem gleichen Schema aufgebaut ist.
Das nutzen viele sogenannte "Script-Kiddies", um mal so im www zu testen, wo offene Ports zu finden sind. Nur so zum Spass!

Mit sowas muß jeder rechnen, der einen Standard-Port vom web in sein Netz weiterleitet.
Passieren tut da auch meist nicht sehr viel, wenn entsprechende Vorkehrungen getroffen sind!
Wie hier hilft da meistens schon die automatische Blockierung.

 

[ubuntulinux]

Solche Angriffe sind normal. Auf meinen Servern habe ich teils hunterte IPs in der Blockierliste, einzelne IPs versuchen teilweise im Sekundentakt sich einzuloggen, diese bekommen einen iptables-Ban.

 

[SebastianH]

OK.

Das beruhigt ja doch ein wenig. War nur geschockt, das fast ein Jahr nichts gewesen ist. Kann ich es eigebtlich so einstellen das IPs aus dem Ausland gar nicht "durchgeleitet" werden?

 

[DirectDriven]

Wenn dein Router solche Späße erlaubt? Router mit einer richtig irre konfigurierbaren Firewall können sowas - vielleicht.
Eigentlich ist das aber unnötig.
Wenn die automatische Blockierung aktiviert ist und halbwegs sichere Passwörter für ALLE AKTIVEN Benutzerkonten gewählt wurden, ist die Wahrscheinlichkeit für einen erfolgreichen Einbruch wohl geringer, als vom Bordstein zu fallen und sich die Nase zu brechen...

Grüße, Hagen

 

[Holgo]

Ich hab auf Arbeit eingestellt, dass bereits bei einem Fehlversuch die IP komplett gesperrt wird. Wenn dann ein paar auf der Liste sind, dann sperr ich einen ganz großen Bereich um diese IPs drumrum. Zumindest alles was aus dem Ausland kommt. Ich versuche aber gerade herauszukriegen, welche IP-Bereiche für die Mitarbeiter möglich sind, also welche Bereiche deren Provider in Deutschland abdecken und dann verbiete ich alle und erlaube explizit nur die. White-List statt Black-List sozusagen.

 

[DirectDriven]

Dann sperrt man sich nur mitunter bei einem Vertipper im Passwort auch mal ne Weile selbst aus...

Wenn es um Unternehmensdaten geht, sieht die Sache natürlich schon etwas kritischer aus.
Da ist die Wahrscheinlichkeit höher, dass es sich bei Angriffsversuchen nicht nur um "ScriptKiddies" handelt.
Von China aus (und auch von anderswo) betreiben ganze Horden von bezahlten Hackern Industriespionage...

Grüße, Hagen

 

[Holgo]

Dann sperrt man sich nur mitunter bei einem Vertipper im Passwort auch mal ne Weile selbst aus...

...

Grüße, Hagen

Wenn ich das über den lokalen Zugriff nicht wieder entsperre sogar für immer.