Einbruchversuche über SSH über ddns und Konsole

Status
Für weitere Antworten geschlossen.

dasbinich

Benutzer
Mitglied seit
14. Nov 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Hallo

ich kann täglich zwischen 2 und 5 Einbruchversuchen von unterschiedlichen IPs und mit unterschiedlichen Anmeldenamen feststellen.
Ich hab automatische Blockade eingestellt. Nach 1 falschen Einbruchversuch wird die IP dauerhaft gesperrt. Trotzdem lässt die Zahl der Versuche nicht nach. Hab gedacht, dass diese Methode wirkt, aber es sind anscheinend immer neue Einbrecher.
Kann mir jemand verraten, ob das Protokoll soweit erweiterbar ist, dass man feststellen kann, mit welchen Passwörtern die Einbrecher versuchen, reinzukommen?

Konnte die Antwort auf diese Frage leider im Forum nirgends finden.

---
 

dasbinich

Benutzer
Mitglied seit
14. Nov 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0
Hab noch vergessen zu fragen, wie schnell es geht, die IP zu wechseln? Ich vermute, dass das welche können, weil die Anmeldenamen oft gleich sind (music, aaa, etc.)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Nur keine Panik, das ist doch völlig normal. Das sind automatisierte Scans. Wenn du schon Portweiterleitungen brauchst, weich wenigstens auf Nicht-Standard-Ports aus, da ist es wesentlich ruhiger.
 

BavariaR

Benutzer
Mitglied seit
02. Jan 2013
Beiträge
312
Punkte für Reaktionen
1
Punkte
24
Meist geht es hier ja um Port 22 (SSH) und der Port wird halt auch von Folder Synchronisation verwendet mit Verschlüsselung... ich habe noch keine Möglichkeit gefunden vom Internen Datensicherungsdienst (Synchronisieren von gemeinsamen Verzeichnissen) den Port zu ändern?
 

coffex

Benutzer
Mitglied seit
19. Mrz 2010
Beiträge
91
Punkte für Reaktionen
0
Punkte
6
wenn du die ports 22 und 23 deines routers deaktivierst und unter DSM den Terminal Dienst Telnet und SSH ausschaltest,
sollte ruhe einkehren.
Solltest du die Dienst dann doch mal benötigen , ... nach bearf einschalten und wieder AUSSCHALTEN.
Nervte mich Anfangs auch immer ... ist ein DS Lebensmotto für mich geworden ;-)
[ nach bearf einschalten und wieder AUSSCHALTEN ]
 

dasbinich

Benutzer
Mitglied seit
14. Nov 2012
Beiträge
50
Punkte für Reaktionen
0
Punkte
0

famjak

Benutzer
Mitglied seit
10. Jan 2009
Beiträge
213
Punkte für Reaktionen
31
Punkte
28
Hallo zusammen,
Ich lasse einmal in der Woche eine Datensicherung über die Netzwerksicherung auf eine anderen Synology durchführen.
Diese Diskstation ist nicht in meinem Lan.
Leider muss ich dafür Port 22 öffnen. Und damit habe ich ständig blockierte IP's in meiner Liste.
Ist das richtig das ich auf keinen anderen Port ausweichen kann? Ich habe leider keine Möglichkeit gefunden

Famjak
 

coffex

Benutzer
Mitglied seit
19. Mrz 2010
Beiträge
91
Punkte für Reaktionen
0
Punkte
6
hi famjak ...
vielleicht wäre eine möglichkeit .. den VPN-Server der anderen DS zu nutzen ..
und dich als client zu verbinden oder ggf genau anders herum.

Ich realisiere viel Dienste ausschließlich über VPN .. erleichert mir die port dussellei ..
über den Aufgabenplaner der DS lässt sich der VPN-Server auch zeitlich aktivieren und deaktivieren ( wer es brauch ).

vielleicht bringt dir ja der ansatz was ;-)

greetz coffex
 

famjak

Benutzer
Mitglied seit
10. Jan 2009
Beiträge
213
Punkte für Reaktionen
31
Punkte
28
Hallo Coffex,
Wäre vielleicht ein Möglichkeit. Werde ich mal versuchen.

Vielen Dank
 

coffex

Benutzer
Mitglied seit
19. Mrz 2010
Beiträge
91
Punkte für Reaktionen
0
Punkte
6
du kannst ja dann mal posten ob es so geklappt hat ;)
 

smoochy

Benutzer
Mitglied seit
07. Sep 2013
Beiträge
46
Punkte für Reaktionen
0
Punkte
6
Ist das richtig das ich auf keinen anderen Port ausweichen kann? Ich habe leider keine Möglichkeit gefunden

Famjak

Ich hatte bei mir das selbe Spiel. Port 22 für SFTP geöffnet und ständig haben irgendwelche ausländischen IP-Adressen bei mir anklopfen, die meine DS413 immer schön aus dem Schlaf geholt haben. Nervig. Ich hab daraufhin unter FTP->SFTP den Port einfach auf einen anderen, weiter oben gelegt (>10000) und seitdem war Ruhe. Musst dann natürlich ggf. unter Firewall/QoS den Port anpassen und auf deinem Router entsprechend forwarden.
 

famjak

Benutzer
Mitglied seit
10. Jan 2009
Beiträge
213
Punkte für Reaktionen
31
Punkte
28
Ich hatte bei mir das selbe Spiel. Port 22 für SFTP geöffnet und ständig haben irgendwelche ausländischen IP-Adressen bei mir anklopfen, die meine DS413 immer schön aus dem Schlaf geholt haben. Nervig. Ich hab daraufhin unter FTP->SFTP den Port einfach auf einen anderen, weiter oben gelegt (>10000) und seitdem war Ruhe. Musst dann natürlich ggf. unter Firewall/QoS den Port anpassen und auf deinem Router entsprechend forwarden.
Damit änderst Du leider nur den Port für SFTP. Ich mache aber eine Netzwerksicherung auf eine andere DS außerhalb meines Lan,s. Das heißt ich gehe mit SSH über Port 22. Diesem kann man wohl nicht ändern. Ich habe mir aber jetzt erstmalig VPN eingerichtet. Ist ne tolle Sache. Jetzt muss ich aber erst mal auf der anderen DS VPN einrichten und dann mal schauen ob ich darüber eine Netzwerksicherung hinkriege. Sobald ich das getestet habe werde ich berichten. Kann aber aus Zeitgründen ein paar Tage dauern.

famak
 

smoochy

Benutzer
Mitglied seit
07. Sep 2013
Beiträge
46
Punkte für Reaktionen
0
Punkte
6
Aso ok, dachte du machst die Netzwerksicherung über n SFTP. Dann hatte ich das falsch verstanden.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
stellt doch einfach den SSH Login auf Zertifikate um, dann ist auch auf den default Ports schnell Ruhe :)
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.057
Punkte für Reaktionen
3.872
Punkte
488
Nur so als Idee (hab's selbst nicht probiert):
Wenn man schon Port 22 aus irgendwelchen Gründen nutzen und forwarden muss, kann man nicht auch über die Firewall der DS den Zugriff auf Port 22 auf eine bestimmte IP oder einen IP-Range beschränken? Wird natürlich schwierig, wenn der Zugreifende DDNS verwendet.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
und wenn du mal notfallmässig von aussen und einer unerwarteten externen IP auf den SSH musst? z.B. weil der VPN-Server abgestürzt ist? ;-)
Ich halte mir bei jedem meiner Server ein ssh-Hintertürchen mit Zert-Login offen. Die Logins überwache ich mit fail2ban und sperre am SSH sehr streng. Bin schon oft genug auf einem Zeltplatz im hohen Norden gewesen und mein OVPN brauchte einen Tritt. Das passiert gemäss Murphy meist dann wenn man es überhaupt nicht brauchen kann.
Seit dem gibt es bei mir überall einen SSH ausschliesslich mit Zertifikatslogin. Beim letzten Urlaub dort oben ist mir etwa 4h nachdem ich abgefahren bin ein Switch abgeraucht, beide Router nicht mehr am Netz. Hinter einem der beiden Router läuft mein OVPN Server. Ich wäre am ***** gewesen wenn ich nur via OVPN oder von bestimmten IPs aus auf die SSH meiner Server im Netz gekommen wäre :)
 

brutusalem

Benutzer
Mitglied seit
17. Apr 2012
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Ich habe es einfach im Router geändert:
Anstatt Port 22 eine hohe Portnummer geöffnet und an 22 weitergeleitet.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat