Einbruchs versuche die ich nicht verstehe

[Heaven1976]

Moin,

Ich verzeichne ein Geduldigen Angreifer der versucht auf mein SSH zu kommen.
Blöd nur, das dieser nur für das Lokale netz freigegeben ist, daher wie kann der angreifer dennoch versuchen sich einzuloggen, wenn die Ports nach außen hin gar nicht geöffnet sind und per Firewall bestimmte Länder u.a auch gesperrt wurden und der Benutzer "admin" ist eh von mir deaktiviert genauso wie guest.
Genauso ist SSH / FTP nur aktiviert, wenn ich es wirklich brauche zumal FTP brauche ich nicht, da die Laufwerke eh in meinem Netzwerk eingebunden sind.

Preisfrage ist wie kann der Angreifer connecten, wenn die Dienste überhaupt nicht laufen?
Ports die wirklich offen sind ist Mailserver + Webseite + TS3

 

[Puppetmaster]

Naja, ich behaupte mal, irgendeine Form von SSH wird nach aussen hin offen sein. Welche Dienste gibst du denn frei per Port?

"Connected" hat sich ja offenbar niemand, da die Zugangsdaten nicht stimmen.
Und auch wenn der admin selbst deaktiviert ist, hindert das ja niemanden daran, sich mit diesem versuchen zu verbinden.

 

[c0smo]

Wenn IP's gescannt werden und jemand findet geöffnete Ports, kann darauf der login versuch durchgeführt werden. Die logs besagen ja nur, dass es jemand über ssh versucht auf DSM zuzugreifen. Wenn dein Geo Blocking nicht greift behaupte ich mal, dass entweder das Land nicht mitinbegriffen ist oder die FW falsch konfiguriert ist. Du verwendest auch kein IP Blocking so wie es aussieht.

 

[Puppetmaster]

Du verwendest auch kein IP Blocking so wie es aussieht.

Bin ich auch zunächst drauf reingefallen. Tut er aber wohl: s. oberste Zeile im Screenshot.

 

[Heaven1976]

Hier mal die Einstellungen:

Fritzbox Freigabe:



Hier werden nur bestimmte dienste erlaubt. trift keine Regel zu Verweigern:



Die Dienste die aktiviert sind.


*edit*

Die neusten Sicherheitsupdates von DSM sind natürlich auch installiert worden.

 

[c0smo]

Bin ich auch zunächst drauf reingefallen. Tut er aber wohl: s. oberste Zeile im Screenshot.

Oh, stimmt. Dann aber mit mehr als 5 Versuchen.

Ich sehe hier kein Geo Blocking. Du lässt alles zu was von aussen anfrägt! Port 80 ist offen und ein unverschlüsselter Mailport, die werden gerne gescannt.

 

[Heaven1976]

Oh, stimmt. Dann aber mit mehr als 5 Versuchen.

Ich sehe hier kein Geo Blocking. Du lässt alles zu was von aussen anfrägt! Port 80 ist offen und ein unverschlüsselter Mailport, die werden gerne gescannt.

Port 80 muss ja offen sein sonst läuft ja meine Webseite nicht.
Und port 25 muss offen sein, weil sonst kommen keine Mails bei mir an wie ich festgestellt habe.

Wenn man das anders lösen kann bin ich gern für vorschläge offen

 

[Puppetmaster]

Und was ist jetzt genau der Schmerz?

Ports sind einige offen, es gibt Anmeldeversuche ... Ganz normales Grundrauschen.
Wenn du explizit den dargestellten Angreifer über die Firewall abfiltern willst, solltest du - entgegen deiner Aussage - Geoblocking aktivieren. Hier dann wohl min. Lettland.

 

[c0smo]

Eine Website kann doch auch über https (443) erreicht werden, genauso der Mailserver (SSL). Ist auch egal. Sobald Ports offen sind, können diese beim scannen gefunden werden. Ergo kann auch ein Login Versuch stattfinden. Das ist auch nicht weiter schlimm, das passiert auf tausenden Servern weltweit. Du musst nur dafür sorgen, dass der Versuch erfolglos bleibt. Also alles Sicherheitsrelevante umsetzen, was technisch machbar ist.

 

[Heaven1976]

Und was ist jetzt genau der Schmerz?

Ports sind einige offen, es gibt Anmeldeversuche ... Ganz normales Grundrauschen.
Wenn du explizit den dargestellten Angreifer über die Firewall abfiltern willst, solltest du - entgegen deiner Aussage - Geoblocking aktivieren. Hier dann wohl Lettland.

Das obwohl die SSH Ports gar nicht offen sind dennoch versucht werden kann auf SSH zu connecten zumal auch nichtmal der Standardport verwendet wird.
wenn ich mit meiner öffentlichen IP versuche zu connecten ein "Network Error Connection Timeout" bekomme mit putty.

 

[Heaven1976]

Eine Website kann doch auch über https (443) erreicht werden, genauso der Mailserver (SSL). Ist auch egal. Sobald Ports offen sind, können diese beim scannen gefunden werden. Ergo kann auch ein Login Versuch stattfinden. Das ist auch nicht weiter schlimm, das passiert auf tausenden Servern weltweit. Du musst nur dafür sorgen, dass der Versuch erfolglos bleibt. Also alles Sicherheitsrelevante umsetzen, was technisch machbar ist.

Ok das mit der Webseite ist klar werd ich mal testen.
Aber beim Mailserver ist ja SSL aktiv aber das komische ist wenn port 25 nicht freigegeben ist kommen keine Mails an von außen, obwohl ja auch die SSL / TLS Ports offen sind.

 

[Puppetmaster]

Ich weiß nicht genau, welche der von dir angebotenen Dienste SSH (oder ggf. SSL) verwenden, insb. beim Teamspeakserver kenne ich mich nicht aus.

Anhand des Logs kannst du aber wohl davon ausgehen, dass jemand über die offenen Ports gegangen sein muss.

 

[c0smo]

Da kann ich leider nicht behilflich sein. Mit Mailserver kanne ich mich nicht wirklich gut aus.

 

[Puppetmaster]

...kommen keine Mails an von außen, obwohl ja auch die SSL / TLS Ports offen sind.

Betreibst du die DS denn tatsächlich als eigenständigen Mailserver? Oder rufst du mit ihr lediglich Mailkonten ab (via POP3)?

 

[Heaven1976]

Betreibst du die DS denn tatsächlich als eigenständigen Mailserver? Oder rufst du mit ihr lediglich Mailkonten ab (via POP3)?

Wird als eingenständiger Mailserver.
Versendet wird auch über mein Mailserver dieser wird aber dann über ein mailrelay weiter geleitet, da das reine versenden mit Dynamischer IP ja nicht geht.

Hab auch eine Richtige Domain dort sind auch die MX einträge für mein Mailserver eingetragen + Backup MX, falls mein Mailserver mal offline sein sollte sowie SPF, DKIM & DMARC einträge.
DNS wird sauber vorwärts und rückwärts aufgelöst. Mein Dynamische IP wird auch in meinem DNS als A record geführt.

 

[Puppetmaster]

Ok, dann bin ich an der Stelle aber auch raus, weil einen eigenständigen Mailserver habe ich noch nicht in Eigenregie betrieben.
Warum dort Port 25 allerdings offen sein muss, erschließt sich mir auch nicht. Ich denke, es sollte auch ohne gehen.

 

[Heaven1976]

Ok, dann bin ich an der Stelle aber auch raus, weil einen eigenständigen Mailserver habe ich noch nicht in Eigenregie betrieben.
Warum dort Port 25 allerdings offen sein muss, erschließt sich mir auch nicht. Ich denke, es sollte auch ohne gehen.

Das versenden und Abrufen läuft verschlüsselt über SSL, aber der eigentliche weiter transport über port 25.

calim:
Über die Ports 25 (smtp) und 587 (submission) wird zwar jeweils SMTP gesprochen, sie dienen aber unterschiedlichen Zwecken.
Auf Port 25 liefern fremde E-Mail-Server (z.b. Googlemail) E-Mails für Deine Domain ein. Port 587 ist für E-Mail-Ersteinlieferungen durch Deine User gedacht, die einen Account auf dem Server haben. (Früher wurde dafür ebenfalls Port 25 benutzt.) Wenn Du einen vollwertigen E-Mail Server betreiben willst, brauchst Du folgende Ziel-Ports in der Firewall offen:
25/tcp eingehend für den Empfang von E-Mails von anderen E-Mail-Anbietern
25/tcp ausgehend für den Versand von E-Mails an andere E-Mail-Anbieter
587/tcp eingehend für die Annahme von E-Mails von Endbenutzer-E-Mail-Programmen

Quasi betreibt man einen vollständigen E-Mail Server muss auch port 25 offen sein.

 

[blurrrr]

Geoblocking anwerfen, Versuche runtersetzen, Zeit verkürzen, Verfall höher setzen und falls eine IP danach noch immer dauerhaft auftauchen sollte, diese einfach zusätzlich dauerhaft sperren (ggf. Anbieter des Netzes raussuchen und die kompletten Netze sperren). Wird höchst unwahrscheinlich sein, dass man z.B. von einem Hostingserver auf das NAS zugreifen wird. Wahrscheinlicher ist aber eher, dass sich dieser ggf. mal was einfängt und dann wird er irgendwann auch in der Liste stehen... Zu beachten wäre allerdings auch, dass IP-Adressen bzw. ganze IP-Netze auch gehandelt werden.

Falls die Ports nicht nach aussen offen sind, wurde vermutlich über einen anderen Dienst entsprechendes initiiert. Je nachdem, was es für ein Router/Firewall ist, kann es natürlich auch noch sein, dass das Ding schon uralt ist und dann wäre u.U. sogar noch anderes möglich... Damit ihr alle ruhiger schlafen könnt, hinterlass ich euch mal das hier... *klick*

 

[Matthieu]

Ich würde probehalber mal Teamspeak abschalten. Alles in allem sieht das schon komisch aus. Leider sagt die DS nur "SSH" und nicht welcher Port.
Kannst du mal einen Portscan von außen machen?

MfG Matthieu

 

[blurrrr]

Interessant wären ja auch mal die eingesetzte Version, ggf. existieren dafür ja schon entsprechende Exploits. Synology hat ja auch erst die Tage ordentlich rumgemailt bzgl. den aktuellen Sicherheitslücken

EDIT: Ich reich mal entsprechendes nach:

Synology-SA-18:62
Synology-SA-18:64
Synology-SA-18:65

Sollte also alles - was direkt aus dem Netz erreichbar - ist entspechend geupdated werden