+-Serie Merkwürdige Meldungen bei den "Systemprotokollen"

[murruck]

Hallo,

heute habe ich beim Zugriff auf meine DS via Google Chrome eine riesige Anzahl an merkwürdigen Systemhinweisen bemerkt (siehe Foto)



Hat jemand dazu eine passende Erklärung bzw. einen Abhilfevorschlag?

Vielen Dank!

 

[lopo_ch]

Hi murruck,

die Erklärung ist recht einfach: Du hast Deine DS per ssh mit dem Internet verbunden bzw Port 22 am Router freigeben und auf die DS weitergeleitet.
Zu Deinem Glück scheinst Du ein vernünftiges Passwort für root/admin zu haben. Versuchen tun es die bösen Jungs trotzdem.
Dieser Böse kommt von der IP 50.7.12.34 und versucht mit verschiedenen Accounts in Deine DS zu kommen.

Es gibt nur eine einzige Möglichkeit, solche versuchten Einbrüche zu umgehen: Port 22 wirklich niemals über das Internet erreichbar zu machen!
Man sollte wirklich ganz genau überlegen, warum welcher Port vom Internet aus erreichbar sein sollte.
Port 22 gehört ganz sicher nicht dazu.

Gruss lopo

 

[murruck]

Hallo lopo,

vielen Dank für deine Information!
Es ist in der tat so, dass der Port 22 freigegeben ist.
Aber wenn ich diesen nicht freigebe, kann ich mich auch nicht mehr via SFTP mit meiner DS verbinden oder?????
Gibts ne andere Mgl. ?

Gruss murruck

 

[pRiMUS]

wenn man den ssh port (oder einen vergleichbaren) schon offen hat, sollte man die blockier funktion verwenden. 2x passwort falsch = ip geblockt. ist nur ein geringer trost, weil die bösen buben das auch wieder umgehen könnten wenn sie wollten, bei mir hilfts aber.

lg, volker.

 

[borg2k]

Wenn man wirklich schon solche heiklen Ports ins Internet freigeben muss, dann sollte man wenigstens alle Sicherheitsfunktionen der DS ausnutzen, konkret meine ich damit hier die Option, dass die IP nach x fehlgeschlagenen Eingaben in 5 Minuten gesperrt wird.

 

[lopo_ch]

Hallo murruck,

Du müsstest wirklich genau überlegen, ob Du Dich von extern via sftp verbinden musst.
Aus meiner Sicht geht Sicherheit immer vor. Ich male zu gern immer Horrorszenarien: stell Dir vor, Deine DS wird über lang oder kurz von Dir unbemerkt als Spamschleuden oder Virenverteiler missbraucht....... und vor dem Gesetz würdest Du auch noch haftbar sein.......

Wenn Du von extern Daten auf Deiner DS brauchst, solltest Du über VPN nachdenken. Zwar ist die Einrichtung etwas zickig, aber machbar.
Desweiteren wäre eine Möglichkeit die Daten über ein Webinterface (Port 80) abzurufen.
Ich hab mir zu dem Zweck phlyMail Lite installiert: Von extern hätte ich, wenn ich es wollte, Zugriff auf Mail, Kalender, Links und in phlyMail Lite ein paar gespeicherte Dateien.
Eine andere Möglichkeit wäre so etwas wie ein php filemanager mit Rechtevergabe.
Im Angriffsfall hat zwar der Eindringling diese Daten, aber nicht Zugriff auf das gesammte System.

Wie an anderer Stelle geschrieben: ich habe eine Security - Phobie und das aus gutem Grund.

Gruss lopo

 

[Puppetmaster]

Gibts ne andere Mgl. ?

Port für SFTP im DSM auf einen anderen (4 oder 5stelligen) Wert ändern, dann ist Ruhe.

 

[DarkSoul]

Port für SFTP im DSM auf einen anderen (4 oder 5stelligen) Wert ändern, dann ist Ruhe.

Und das schützt dann vor Portscannern und Login-Versuchen per SSH/Telnet-Clients?

 

[borg2k]

Und das schützt dann vor Portscannern und Login-Versuchen per SSH/Telnet-Clients?

meistens schon, denn die Leute / Bots scannen gemäß der Standardportliste, ein Scan aller Ports dauert viel zu lange und ist zu wenig ergiebig.