Hunderte Zugriffsversuche aus China; Muß ich mich fürchten?

[ahab]

Ich kam gerade von einer Urlaubsreise zurück. Nun habe ich einen ftp-Server eingerichtet, um allen von unserer Gruppe zu ermöglichen, ihre Fotos und Filme untereinander auzutauschen. Ich habe einen eigenen Ordner angelegt, und jedem einen eigenen Zugang eingerichtet. Alle haben explizit nur denn Zugriff auf diesen Ordner (und dessen Unterordner). Es scheint soweit alles gut zu funktionieren (zwei der Gruppenmitglieder haben sich schon "bedient").

Heute am Morgen schaute ich ins Verbindungsprotokoll der DS und ich sah ca. 160 folgende Einträge: "FTP client [admin] from [115.168.35.11] failed to log in the server."

Davor gabe es ca. 165 Einträge "FTP client [Administrator] from [115.168.35.11] failed to log in the server.".

Das alles spielte sich so im 1-Sekunden-Takt ab, insgesamt während 4 Minuten.

Es scheint sich um eine chinesische IP-Adresse zu handeln, und ich glaube nicht, dass einer der Gruppenteilnehmer einen chinesischen Provider hat.

War das ein Hackerangriff?
Wenn ja, kann ich was dagegen machen (IP-Adressen blockieren?)?
Es scheint, dass die Versuche keinen Schaden angerichtet haben, aber muß ich fürchten, dass ein anderer Angriff "erfolgreicher" sein könnte?

Könnte jemand, der es schafft, sich unberechtigterweise einzuloggen, auch Zugriff auf andere Ordner der DS erlangen?

 

[Matthieu]

Das nennt man eine Brute-Force-Attacke. Es werden so viele Passwörter ausprobiert wie geht. Dafür braucht man aber meist einige Tausend Versuche. Kontrolliere mal alle Logs auf eventuelle Zugriffe von dieser IP. Und ja, wenn das Passwort stimmt und der Hacker einen Treffer landet, ist der Zugang frei. Es hat schon sehr vereinzelte Berichte davon gegeben.
Die DS kennt eine Gegenmaßnahme: Die "Automatische Blockierung". Aktivieren und wenn du magst ein wenig anpassen. Findet sich in "Bedienfeld".

MfG Matthieu

 

[mega]

Einfach die automatische Blockierung anmachen.
Nach 3 Versuchen in einer Stunde sperren und nach 24 Stunden wieder löschen.

Da wird einfach wild rumprobiert, ob man irgendwo reinkommt.

 

[die Wildsau]

Ich hätte eine kleine Frage zur automatischen Blockierung. Ich hab's bei mir so eingestellt, dass man 3 Versuche in 24 Stunden hat und die IP danach gesperrt bleibt. Da meine Passwörter alle über 50 Zeichen lang sind, sollte das doch reichen, oder?

 

[Ap0phis]

Kleiner Tipp am Rande:

Nicht unbedingt den Standardport nach aussen benutzen!
Man kann auch z.B. den ext. Port 55321 im Router an den Port 21 der Syno leiten.

Das verhindert zumindest einen Teil der Botscans, die meistens nur die Standardports nach offenen oder schlecht gesicherten Zugängen absuchen.

 

[die Wildsau]

Gut, dass du das ansprichst. Genau das habe ich gemacht. z.B. ext.Port 9053 auf 21 für FTP umgeleitet.
Kann nun jemand von außen feststellen, dass auf Port 21 umgeleitet wird und daraus schließen, dass es sich um einen FTP Zugang handelt und einen eventuellen Angriff erfolgreicher ausführen? Würe es also Sinn machen, den FTP-Port in der DS auf z.B. 50 zu legen?

 

[mega]

Wo der interne Port liegt, ist egal.
Theoretisch kann man alle Ports abscannen, wird meist aber nicht gemacht.

Und mit ausreichend sicheren Passwörtern und der automatischen Blockierung sollte auch nichts passieren.

 

[die Wildsau]

Alles klar. Hab vielen Dank!

 

[Ap0phis]

Ne, den internen Port zu verstellen bringt gar nichts, da dein Port 9053 ja immer richtig weiterleitet.
Aber wenn es so schon ist, dann ändere doch einfach mal über den Router deine externe IP-Adresse.
Wenn dann der Scan wieder kommt, kann ja nur jemand deine DynDNS-Adresse kennen und möglicherweise ist es ja doch ein Bekannter der zufällig einen chinesischen Proxy benutzt!?

 

[ahab]

Danke an alle! Ich werde es nun (vorläufig) nur mit der automatischen Blockierung (10 Versuche in drei min) versuchen. Die anderen dürften alle keine PC-Spezialisten sein, und wenn ich jetzt noch mit anderen ports komme, dann kommen sie gar nicht mehr zurecht. Die beiden, die sich bis jetzt "bedient" haben, brauchten mehrere Versuche, bis sie eingeloggt waren.

 

[die Wildsau]

Stell die Zeitspanne auf mindestens eine Stunde. Sonst hat derjenige alle 3 Minuten 9 Versuche, ehe er blockiert wird.

 

[mega]

24 Stunden ist ein guter Wert weil man danach eh ne neue IP hat.
Und damit es die Anfänger denn doch schaffen ggf 10 statt 3 Versuche

 

[Cripersyn]

Habe da auch eine Frage: Ich habe gelesen man soll dem admin die FTP Berechtigung sperren. Das verstehe ich nicht ganz.

 

[Matthieu]

99% der "bösen Jungs" versuchen Zugriff als Administrator zu erhalten. Dafür probieren sie verschiedene Benutzernamen wie "admin", "administrator" etc. Sperrt man den admin der DS jedoch von Beginn an, ist die Chance dass sie nur den richtigen Benutzernamen finden schon fast nahe 0 bei aktivierter IP-Blockierung.

MfG Matthieu

 

[Cripersyn]

Dnake. Und wo genau mache ich das: Beim Benutzer unter Privilegieneinstellungen den Zugriff auf homes verbieten? Oder woanders?

 

[Matthieu]

Nein. Bei "Anwendungsberechtigungen" im Bedienfeld.

MfG Matthieu

 

[Cripersyn]

Nur, unter "Anwendungsberechtigungen" ist bei mir der admin gar nicht drin. ???

 

[Matthieu]

Nur, unter "Anwendungsberechtigungen" ist bei mir der admin gar nicht drin. ???

Entschuldige, hab ich vergessen. Es gibt eine Datei die den genauen Zugang zu ftp regelt ... ich such mal, weiß aber nich ob ich sie jetzt auf Anhieb finde. Vielleicht hat sie ja noch jemand anderes im Kopf ...

MfG Matthieu