Hackerangriffe nach Portfreigabe 22 (für SFTP)

monopoly · 18. Nov 2014

Hi,
wie von Domix im Tutorial vorgeschlagen habe ich für die DS mal den Port 22 freigegeben um mal rumzuprobieren wozu SFTP gut ist!

Habe über Nacht gleich 7 Mails vom Server bekommen, mir der Mitteilung, dass bestimmte IP Adressen vergeblich versucht haben sich beim "Dienst SSH" anzumelden und blockiert wurden.
Habe gleich erstmal die Portfreigabe wieder rausgenommen. Habe übrigens eine feste IP Adresse.

Fragen:
- Wer kann mir erklären, was dahinter steckt? Hacker?
- Habe ausserdem noch Ports 5000/5001 (DS) 6690 (DS Cloud) 9901 (SS), sowie 443 (Photo) und den 80 (für div.) auf meinem Speedport aufgemacht. Soll ich die lieber wieder schliessen - oder warum sollte ich denn z.B. 9901 öffnen, wenn ich die Surveillance Station doch sowieso über die 5000 bzw. 5001 erreiche? Welche Logik steckt dahinter?

Danke!

Anzeige · 18. Nov 2014

Hallo monopoly,

Bücher und Hardware zum Thema gibt es bei Amazon: Hackerangriffe nach Portfreigabe 22 (für SFTP)

cyorps · 18. Nov 2014

Das ist völlig normal, wenn dieser Port aus dem Internet erreichbar ist. Denn es handelt sich schließlich um einen der interessantesten Ports, da dahinter natürlich eine Secure Shell vermutet wird. Wenn du dir die Logs der Anmeldeversuche genauer anschaust, stellst du fest, dass man sich versucht mit Admin, Administrator, Professor usw. anzumelden. Du kannst die Gefahr minimieren/lösen wenn:
- Du eine Portweiterleitung von einem anderen Port einrichtest (z.B. Port 92 am Router auf 22 am NAS) = Genauso unsicher, aber wahrscheinlich keine Anmeldeversuche mehr.
- Du deinen SSH-Zugang so einrichtest, dass man sich nicht mehr mit Kennung/Passwort sondern nur noch mit gültigen Zertifikat anmelden kann = Anmeldeversuche bleiben, nur der Zugang selbst ist halt besser gesichert
- Du ssh nicht aus dem Internet erreichbar machst und du dafür eine VPN-Verbindung benutzt um auf ssh zuzugreifen. = Keine Anmeldeversuche mehr und sehr sicher.

JudgeDredd · 18. Nov 2014

Hi,

also eins vorweg: Ich war es nicht

Zu Port 22:
Die sogenannten "Attacken" dürften in Deinem Fall wohl nur von Bot's kommen, die eben die Standardports wie z.B. 22 abscannen und dort dann die Standardpasswörter verwenden und versuchen Zugriff zu erlangen um z.B. Maleware o.Ä. zu platzieren.
Sollte das nicht erfolgreich sein, dann ziehen diese Bot's einfach weiter zur nächsten IP.
Einen gezielten Angriff gg. Deine IP Adresse würdest Du wahrscheinlich eh nicht abwehren können.

Schützen kannst Du Dich dagegen eben nur wenn Du den Port 22 nicht weiterleitest. Mindern kannst Du das Risiko, wenn Du den Port verlegst (z.B. 20022). Dann nehmen die Angriffe erfahrungsgemäß ab, da es eben nicht dem Standard entspricht.

ungeschützte Ports wie z.B. 5000 / 5005 / etc ...
Sind grundsätzlich kein Einfallstor. Allerdings übermittelt jeder, der sich über ungeschützte Ports authentifiziert seine Login-Daten im Klartext und könnten mitgelesen werden und von Dritten dann genutzt werden.

cyorps schrieb:
VPN-Verbindung benutzt .... mehr und sehr sicher.

Aber Achtung "PPTP" gilt nicht mehr als sicher.

Gruß,
Andreas

monopoly · 18. Nov 2014

Danke für Eure zahlreichen Antworten. Dann mache ich mich mal an die Umleitungen bzw. VPN heran!

ottosykora · 18. Nov 2014

monopoly schrieb:
Habe über Nacht gleich 7 Mails vom Server bekommen, mir der Mitteilung, dass bestimmte IP Adressen vergeblich versucht haben sich beim "Dienst SSH" anzumelden und blockiert wurden.
Habe gleich erstmal die Portfreigabe wieder rausgenommen. Habe übrigens eine feste IP Adresse.

also hast du den Autoblocker auch richtig eingestellt!
Du kannst natürlich noch kürzere Zeiten für den Blocking und die Adressen dann permanent blockiren etc. Schau in den Settings für den Autoblocker nach.

Der Port 22 habe ich meistens auch OFF, weil der eben eine Zugrif in das System ermöglicht. Darum ist das SFTP, also FTP über SSH auch nicht so sympatisch und mittlerweile nicht mehr sehr verwendet. SSH mag zwar schön verschlüsselt sein, aber damit ist halt dann ein Eingagng zu dem System auch da.
FTPS ist da wohl weniger problematisch, benutzt SSL oder halt nun TLS und das hat diese Problem dann nicht.
Ich mache SSH nur dann an wenn ich es für etwas brauche, für die Zeit wenn es ON ist geht der Schutz halt allenfalls mit dem Autoblocker. Nach getaner Arbeit wird es wieder abgestellt so dass es keinen der Roboter reitzt da was zu testen.

Andere Ports sind da nicht so spannend, Port 80 und 443 bietet jeder Server im Internet an, das ist so vorgesehen. Nur kann man damit nicht viel anfangen, auch Google kannst du via 80/443 erreichen und es passiert nichts.
Die Ports sind ja nichts anderes als eine Art 'Vorname' für ein Programm der auf dem Server läuft. Um diesen zu erreichen muss die Anfrage ja disen Vornamen beinhalten, sonst weiss der Server nicht was damit anzufangen ist.
Also du musst die Ports durchleiten die auf bestimmte Programme zielen.

übliche Ports:
http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports

gewisse Ports sind allgemein bestimmten Anwendungen zugeteilt, andere kann man noch quasi frei verwenden.

http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

digifreak · 27. Jan 2017

Ich schließ meine Frage mal hier an.

DS415+, DSM 6.0.2-8451 Update 9 (aber das Problem besteht schon länger).
SFTP ist aktiviert aber auf Port 2222
In der Fritzbox ist 22 nicht freigegeben, ssh ist nicht aktiviert.
Dennoch bekomme ich seit geraumer Zeit immer wieder die Meldung, dass ein Zugriff von einer IP auf ssh wegen 3 fehlgeschlagenen Logins blockiert worden sei.

Da frage ich mich (und euch):
Wie kann das sein, dass auf Port 22 (der nicht weitergeleitet ist auf der Fritzbox) ein Zugriffsversuch stattfinden kann?
Und:
Wie kann das sein, dass ssh probiert wurde, wo doch der Dienst gar nicht läuft???

rednag · 27. Jan 2017

monopoly schrieb:
Hi,
wie von Domix im Tutorial vorgeschlagen habe ich für die DS mal den Port 22 freigegeben um mal rumzuprobieren wozu SFTP gut ist!

Die Erklärungsversuche gehen aber am ürsprünglichen Problem vorbei. Der TE weiß nicht, was dieser Port bewirkt. Nicht alles was möglich ist, braucht man auch.

QSync · 27. Jan 2017

digifreak schrieb:
Dennoch bekomme ich seit geraumer Zeit immer wieder die Meldung, dass ein Zugriff von einer IP auf ssh wegen 3 fehlgeschlagenen Logins blockiert worden sei.

Interne oder externe IP?

digifreak schrieb:
Wie kann das sein, dass ssh probiert wurde, wo doch der Dienst gar nicht läuft???

Nur durch probieren erfährt man ob die Tür abgeschlossen ist.

digifreak · 27. Jan 2017

Externe. China, korea, afrika usw.

Aber, wenn ich nen Portforward von 2222 auf 2222 einrichte und nicht von 22 auf 22, wie kann dann jemand am ssh port 22 anklopfen?

Setzt das die Fritzbox nicht richtig um?

Fusion · 27. Jan 2017

Hast du mal geschaut, für was das S in SFTP steht?
Die klopfen halt an Port 2222 an, oder steht irgendwo explizit, dass es 22 wäre?

laserdesign · 27. Jan 2017

digifreak schrieb:
Setzt das die Fritzbox nicht richtig um?

dann teste doch von aussen, welche Ports offen sind.

Es gibt ja genug Seiten im www die das ermöglichen.

iLion · 27. Jan 2017

digifreak schrieb:
von 2222 auf 2222 einrichte und nicht von 22 auf 22

Man richtet dann 2222 auf 22 ein. Quellport und Zielport müssen nicht identisch sein.

digifreak · 27. Jan 2017

Fusion schrieb:
Hast du mal geschaut, für was das S in SFTP steht?
Die klopfen halt an Port 2222 an, oder steht irgendwo explizit, dass es 22 wäre?

Ah!
Danke!

Suche

Hackerangriffe nach Portfreigabe 22 (für SFTP)

monopoly

Benutzer

Anzeige

cyorps

Benutzer

JudgeDredd

Benutzer

monopoly

Benutzer

ottosykora

Benutzer

digifreak

Benutzer

rednag

Benutzer

QSync

Benutzer

digifreak

Benutzer

Fusion

Benutzer

laserdesign

Benutzer

iLion

Benutzer

digifreak

Benutzer

Kaffeautomat