Mail Server Angriff auf MailServer von aussen??

[Tegelaner]

Hallo zusammen,

soeben erhielt ich eine Benachrichtigung von meiner DiskStation, die mich etwas beunruhigt:

"IP-Adresse [45.55.191.25] von DiskStation wurde von Mail Server blockiert". und "Die IP-Adresse hatte 10 Fehlversuche beim Versuch, sich bei Mail Server auf DiskStation innerhalb von 5 Minuten anzumelden, und wurde um Fri Dec 18 12:09:55 2015 blockiert."

Nach meiner Recherche stammt diese IP Adresse ist aus USA und gehört zu Apache. Von Apache ist "OpenOffice" welches ich Anfang der Woche für meine Tochter für schulische Zwecke auf meinem Laptop installiert habe. Ist das ein internes Problem bei mir? Oder hat tatsächlich jemand/etwas (ein Server) versucht, auf meiner DS zuzgreifen??

Könnte es hier einen Zusammenhang geben?

Wäre toll, wenn ihr Eure Meinungen dazu kundtun würdet.

Danke und Gruß
Lutz

 

[heavy]

Also dass die IP zu Apache gehört konnte ich jetzt nicht feststellen, ich würde aber die Anzahl der Loginversuche und die Zeit dafür ändern. Ich habe 5 Fehlversuche in 15 Minuten führen zum Bann. Ab und zu mal so ein Loginversuch ist normal oftmals sind es andere Server die Automatisch sich versuchen einzuloggen. Solange es nicht überhand nimmt kann man damit leben (ich habe ca 8 Meldungen im Monat, von allen Diensten zusammen also Mailstation/Photostation) Einen Zusammenhang zum Download würde ich jetzt nicht ziehen.

 

[Fusion]

Wenn der Mailserver für den Empfang von Extern eingerichtet ist, dann ist Port 25 offen. Dann ist es auch normal, dass hin und wieder mal andere Mailserver anklopfen oder Portscans laufen, die nach Schwachstellen suchen.
Ich habe davon auch weniger als 10 im Monat.
Ein Zusammenhang mit Apache oder dem unter dem Dach der Apache Foundation verwalteten Software OpenOffice oder dessen Download und Installation sehe ich überhaupt nicht.

Falls du einschränken kannst, aus welchen Bereich dir emails zugehen, könntest du noch ein Geo-Block in deiner DS-Firewall schalten.
Solange deine Passwörter gut genug sind und nicht gerade eine offene Lücke im Mailserver bekannt ist, würde ich mich da jetzt aber nicht verrückt machen.

 

[Tegelaner]

Ich hatte die Seite noch auf dem Browser offen und konnte einen Screenshot machen...jetzt erreiche ich sie auch nicht mehr

 

[Tegelaner]

Ansonsten Danke erstmal, für die Entwarnungen. Bisher hatte ich solche Meldungen nie. Kann aber auch an der neuen DS liegen, die seit rund zwei Wochen bei mir werkelt.

 

[Frogman]

Da steht doch aber nix davon, dass die IP-Adresse zu Apache (also der Apache Foundation) gehört, sondern nur, dass der Aufruf die korrekte Funktion eines Apache Webservers testet.

 

[heavy]

OK das ist die Testseite des Apache webservers, das hat aber mit apache selber nichts zu tun. Sonst könntest du ja auch sagen das hätte was mit Linux zu tuhen. Da der apache auf einem CentOS Linux läuft. Ich gehe, da die Seite wieder offline ist, davon aus dass da jemand mit einem neuen Server rumgespielt hat, und der dann einfach mal in die Welt gefragt hat. Die Frage ist immer wie hast du die DS konfiguriert? Was sind für Ports nach außen offen? Mach mal den Port 22 (telnet/ssh) nach außen auf, dann hast du Pro Tag 50 Besuche und mehr.

 

[Fusion]

Apache ist freie Software. Die kann jeder auf jedem x-beliebigen Server installieren.
Das heißt nur, dass zu der Zeit wo du auf die IP geschaut hast dort eine frische Installation vorhanden war.
Die IP gehört zu einem Bereich der vom Cloudhoster Digital Ocean Inc. betrieben wird.
Mit der Organisation Apache Foundation etc. hat das überhaupt nix zu tun.

Eventuell hat sich jemand einen (v)server oder anderes gebucht, von dort aus im Netz nach Schwachstellen gescannt, oder wie @heavy sagt einfach nur irgenwas getestet und dann wieder offline genommen oder ähnliches.

 

[Tegelaner]

Also an der DS habe ich eigentlich nur den MailServer laufen mit den entsprechenden Einstellungen. Die Ports sind am Router freigegeben. Und zwar 25 und 993. Ausserdem noch 5001 für den Webzugriff per https. Mit TelNet mache ich nichts.