SSDP-Dienst mit DDoS-Reflection angegriffen

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
@Adama: Ich schrieb oben auch "im Zweifel". Grundsätzlich gebe ich dir Recht, aber bei der "unbeaufsichtigten Eingangslage", sprich Ports, über einen längeren Zeitraum könnte man drüber nachdenken, wenn ein Backup (unveränderbarer) Daten vorliegt.
Das stimmt natürlich auch wieder. Da waren über einen großen Zeitraum mehrere Ports offen. Ein Backup der einzelnen Dateien habe ich natürlich. Synology photos müsste neu aufgesetzt werden. Der Rest wäre im Prinzip einfach.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
Ich dachte die Ddos ging von der DS aus?
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.476
Punkte für Reaktionen
1.087
Punkte
194
Ausgehend von der Fragestellung und den Aussagen kann das alles mögliche im Netzwerk gewesen sein.
 

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Ich weiß auch nicht, von wem der Angriff ausging. Ich dachte, er kam von außen. Hier ist der Text des Briefes von meinem Provider:

Das Simple Service Discovery Protocol (SSDP) ist ein Netzwerk-protokoll, welches zur Suche nach UPnP-Geräten im Netzwerk dient.
In den letzten Monaten wurden Systeme, welche SSDP-Anfragen aus dem Internet beantworten, zunehmend zur Durchführung von DDoS-Reflection-Angriffen gegen IT-Systeme Dritter missbraucht.
Nachfolgend senden wir Ihnen eine Liste betroffener Systeme in Ihrem Netzwerk. Der Zeitstempel (Zeitzone UTC) gibt an, wann der offene SSDP-Dienst identifiziert wurde.
Offene SSDP-Dienste Port: 1900 | Server: Synologoy/DSM/ IP-Adresse
 
  • Like
Reaktionen: Ulfhednir

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.159
Punkte für Reaktionen
2.177
Punkte
289
In meinen Augen nur eine Warnung vom Provider, dass der Port bei dir offen war und ggfls. zu Angriffen auf andere Systeme missbraucht werden kann, aber nicht, dass dies bei dir der Fall gewesen wäre.
Ansonsten wäre dein Anschluss schneller zu gewesen als du Telekom sagen kannst.
 
  • Like
Reaktionen: *kw* und Ulfhednir

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.382
Punkte
174
@festigrat: wenn du die neuen Informationen einigermaßen einordnen und von einer Neuinstallation absehen kannst, solltest du wenigstens die im Leitfaden aufgeführten "Hausaufgaben" machen und ggf. nachfragen. :)
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.102
Punkte für Reaktionen
2.067
Punkte
259
DDoS Reflection heißt, der Malwareserver veranlasst andere, im Internet erreichbare Server eine Anfrage zu beantworten. Dabei wird aber als Antwortadresse nicht die korrekte angegeben, sondern die des DDoS-Ziels.

Damit wird dieses Ziel von unterschiedlichen IP-Adressen mit Antworten bombardiert. Da es die Anfrage nicht kennt, reagiert es nicht, worauf es zu weiteren Anfragen kommt. Ergebnis: DDoS Attacke, von vielen Servern verteilt gleichzeitig.

Damit das funktioniert, reicht ein zum Internet offener Server. Es muss dort keine Schadsoftware installiert sein.

Aber: Solche Serversdressen werden im Darknet gehandelt. Und da interessieren sich ggf. auch andere dafür.

Punkt 1 spricht für „Ports dicht, alles gut“. Punkt 2 spricht für „Ports dicht, DS platt machen, alles gut“.
 
  • Like
Reaktionen: *kw*

festigrat

Benutzer
Mitglied seit
09. Jul 2024
Beiträge
14
Punkte für Reaktionen
6
Punkte
3
Ok. Vielen Dank für Eure Einschätzugen. Ich werde mal auf Nummer sicher gehen und das NAS neu aufsetzen. Das schadet nichts und dann kann ich alles anhand des Leitfadens richtig einrichten. Liebe Grüße und herzlichen Dank!
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat