Hackerangriff?

[P4mpersb0mber]

Hallo,

wusste nicht so recht wo ich meine Frage platzieren sollte. Also probiere ich es mal hier. Kann mir jemand sagen, was diese Meldung zu bedeuten hat? Ich habe sie per Email bekommen:

Sehr geehrter Benutzer,

Die IP-Adresse [153.99.182.3] hatte 10 Fehlversuche beim Versuch, sich bei SSH auf DiskStation innerhalb von 5 Minuten anzumelden, und wurde um Fri Jan 6 16:26:30 2017 blockiert.

Mit freundlichen Grüßen
Synology DiskStation

Kann es sich um einen versuchten fremdzugriff handeln?

Mit freundlichen Grüßen chris

 

[Hafer]

Ja, und das ist völlig normal. Du hast SSH nach draußen exponiert. Don't panic.
Gegenmaßnahmen: Starkes Passwort. Standard-Port ändern. Zulässige geolocations durch Firewallregeln einschränken.

 

[frankyst72]

wie gut ist Dein Chinesisch? Du hast neue Freunde dort

http://www.utrace.de/?query=153.99.182.3

 

[P4mpersb0mber]

Na toll! Habe ich es doch geahnt . Aber ist denn eine Änderung des Passwortes nötig wenn der Server den Zugriff blockiert hat?

 

[kev.lin]

Nein, wenn du dir sicher bist dass dein jetziges Passwort sicher genug ist, dann nicht. Der Jemand aus China hat es zehn mal probiert, aber geklappt hat es nicht. Wenn es geklappt hätte, hättest du das inzwischen wahrscheinlich gemerkt!

 

[bananie]

Ich würde die Verbindungsversuche auf 3 begrenzen. Da kommt so schnell keiner durch ...

 

[P4mpersb0mber]

ok ... danke. aber wie kann ih zbsp die geolocations durch Firewallregeln einschränken?

 

[Frogman]

Bei 10 Versuchen auch nicht... also unnötig.

ok ... danke. aber wie kann ih zbsp die geolocations durch Firewallregeln einschränken?

Indem Du IP-Adressen aus Ländern wie bspw. China in der Firewall über eine Regel pauschal blockierst, dann kann nicht einmal ein Versuch der Anmeldung erfolgen.

 

[P4mpersb0mber]

Leider sieht das Fenster unter Firewall bei mir (dsm 6.0.2) anders aus !



Inzwischen hat erneut jemand aus China versucht auf den Server zuzugreifen.

 

[Frogman]

Dann klick mal auf Regeln bearbeiten

PS: Einmal den Router neu verbinden lassen - dann hast Du eine neue WAN-IP und meist ist das dann für eine Zeit vorbei (es sei denn, derjenige kennt Deine DDNS-Adresse).

 

[P4mpersb0mber]

Das habe ich schon versucht, aber da kann ich auch keine geolocation durch Firewall regeln einschränken.

 

[P4mpersb0mber]

Als Router verwende ich eine Fritz Box 7390, aber da mir das WLAN der Fritz Box zu schwach war, habe ich dahinter einen asus Router als Accesspoint gesetzt. An diesen habe ich dann auch per lan meine ds213+ gehängt. Soll ich nun die Fritz Box oder den asus Router neu starten?

 

[rednag]

Das habe ich schon versucht, aber da kann ich auch keine geolocation durch Firewall regeln einschränken.

Woran scheitert es?

 

[P4mpersb0mber]

ok, habe es jetzt gefunden und konnte die regeln der firewall anpassen !

 

[P4mpersb0mber]

Habe meine Fritz Box auch nochmal neu gestartet und auch die Passwörter der Fritz Box, des asus Routers und der ds213+ geändert ! Die möglichen fehlversuche habe ich jetzt auch noch auf 5 reduziert. Kann ich sonst noch etwas tun um sowas zu verhindern?

 

[laserdesign]

Kann ich sonst noch etwas tun um sowas zu verhindern?

naja, die Frage ist ja, warum du Port 22 weiterleitest.

Eine andere Variante: schau dir mal VPN an. Oder gleich openVPN.

 

[Frogman]

Soll ich nun die Fritz Box oder den asus Router neu starten?

Immer denjenigen, der die Verbindung herstellt, also das erste Gerät von Internetseite aus.

 

[P4mpersb0mber]

Guten morgen,

Obwohl ich nun alle Passwörter geändert habe und auch die Firewall regeln angepasst habe (zbsp Russland und China komplett gesperrt) haben die versuche über Nacht auf meinen Server zuzugreifen massiv zugenommen. Ich bekam von 0.00 Uhr bis jetzt 20 Meldungen von blockierten versuchen. Was komisch ist, China und Russland waren auch wieder dabei, obwohl ich diese durch die Firewall komplett sperren lassen habe. Da kann doch irgendwas nicht stimmen!? Kann es vielleicht sein, dass ich mir einen Virus im Netzwerk eingefangen habe? Virenscan und maleware scan haben nichts gefunden.

Mfg chris

 

[Frogman]

Wie sehen Deine Firewallregeln aus?

 

[PsychoHH]

Natürlich kann das alles sein. Evtl was falsch gesetzt.

Warum man aber den Port nicht wechselt oder vpn nutzt muss ich nicht verstehen. Hier schreiben schon mehrere was man machen kann aber du fragst einfach warum du so viele Angriffe bekommst.

Also so ganz verstehe ich das wirklich nicht warum man dies auf Port 22 lässt. Wenn du jetzt noch ein schwaches PW hast, schreibst du als nächstes.. Hilfe meine ganzen Daten sind weg was kann ich tun..

Nimm einen anderen Port nutz vpn und schalte ssh doch nur bedarf frei z.B.