Versucht man mich zu hacken?

[Infosucher]

Hallo zusammen,

ich nutze seit einiger Zeit spdns als Dynamic DNS Dienst. Mich hat es immer gewundert warum meine DS213J nicht mehr herunterfährt bzw. sofort wieder hochfährt. In dem Log Center stand dann folgendes:

SYSTEM:User [root] from [61.174.51.225] failed to log in via [SSH] due to authorization failure.

Unter Who is habe ich dann die IP verfolgt und da steht dann:


61.174.51.225 - Geo Information
IP Address 61.174.51.225
Host 225.51.174.61.dial.wz.zj.dynamic.163data.com.cn
Location CN CN, China
City Huzhou, 02 -
Organization China Telecom Huzhou
ISP China Telecom
AS Number AS4134 Chinanet
Latitude 30°87'03" North
Longitude 120°09'33" East
Distance 8242.87 km (5121.88 miles)

61.174.51.225 - Whois Information

% [whois.apnic.net]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

% Information related to '61.174.51.192 - 61.174.51.255'

inetnum: 61.174.51.192 - 61.174.51.255
netname: HANGZHOU-SRT-TECHNOLOGY-CO-LTD
country: CN
descr: HANGZHOU SRT TECHNOLOGY CO., LTD
descr:
admin-c: BB324-AP
tech-c: CH119-AP
mnt-irt: IRT-CHINANET-ZJ
status: ASSIGNED NON-PORTABLE
changed: zjnoc_ip_4@163.com 20130508
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC

irt: IRT-CHINANET-ZJ
address: Hangzhou, 288 fucun Road, China
e-mail: lfliu@pubinfo.com.cn
abuse-mailbox: antispam@dcb.hz.zj.cn
admin-c: CZ61-AP
tech-c: CZ61-AP
auth: # Filtered
mnt-by: MAINT-CHINANET-ZJ
changed: auto-dbm@dcb.hz.zj.cn 20101129
source: APNIC

role: CHINANET-ZJ Huzhou
address: No.18 Hongqi Road,Huzhou,Zhejiang.313000
country: CN
phone: +86-572-2022163
fax-no: +86-572-2210609
e-mail: anti_spam@mail.huptt.zj.cn
remarks: send spam reports to anti_spam@mail.huptt.zj.cn
remarks: and abuse reports to anti_spam@mail.huptt.zj.cn
remarks: Please include detailed information and times in UTC
admin-c: CH50-AP
tech-c: CH50-AP
nic-hdl: CH119-AP
mnt-by: MAINT-CHINANET-ZJ
changed: master@dcb.hz.zj.cn 20031204
source: APNIC
changed: hm-changed@apnic.net 20111114

person: Bing Bai
nic-hdl: BB324-AP
e-mail: anti_spam@mail.huptt.zj.cn
address: Huzhou,Zhejiang.Postcode:313000
phone: +86-13666633017
country: CN
changed: zjnoc_ip_3@163.com 20131107
mnt-by: MAINT-CN-CHINANET-ZJ-HU
source: APNIC

% This query was served by the APNIC Whois Service version 1.69.1-APNICv1r0 (WHOIS2)

Was ist da passiert und wie kann ich das zukünftig verhindern?

Danke Euch.

Gruß
Infosucher

 

[dil88]

Ja, das ist eine Art Hackversuch. Die gibt es en masse, vor allem auf populäre Ports wie den ssh-Port 22. Wenn man es vermeiden kann, sollte man keine Portweiterleitung für diesen Port einrichten. Ansonsten kannst Du Dir helfen, indem Du eine "Automatische Blockierung" im DSM aktivierst. Die sollte aber nach einer gewissen Zeit auslaufen, damit Du Dich nicht selbst dauerhaft aussperren kannst.

 

[Infosucher]

Ok also sind das wahrscheinlich automatisierte Portscans von Bots oder?

Kann man nicht irgendwo einstellen das IP´s aus anderen Ländern komplett gesperrt werden und nur noch aus Deutschland zugelassen werden? Das würde doch schon mal weiterhelfen oder?

Gruß
Infosucher

 

[dil88]

Ja genau, das sind vor allem Portscans von Bots. Du kannst sicherlich IP-Ranges per iptables-Regeln aussperren, aber die sind nicht klar Ländern zuzuordnen, soweit ich weiß. Eine einfache Lösung gibt es da m.W. nicht. Aber vielleicht bekommst Du über Google mehr heraus.

 

[Tommes]

Du könntest auch das hier mal probieren. Ist zwar kein Allheilmittel aber sollte die Angriffe doch zumindest reduzieren.

Tommes

 

[dil88]

Tommes weiß mehr, klasse. Sehr erhellend, danke!

 

[Tommes]

Geo-IP in Verbindung mit der "automatischen Blockierung" bietet auf jeden Fall schonmal einen soliden Schutz um sich die "kleinen Fische" vom Hals zu halten. Jedoch muß man sich bewusst sein, das nicht sehr viel kriminelle Energie nötig ist um die Geo-IP Regeln auszuhebeln bzw. zu umgehen. Man braucht halt nur eine "deutsche" IP! Und wer es wirklich auf dich Abgesehen hat und über das nötige "know how" verfügt, der wird über Geo-IP und automatische Blockierung wohl nur lachen (so denk ich mir das jedenfalls)

Natürlich sollte man auch nur Ports freigeben, die man wirklich benötigt. Den DSM würde ich schon mal garnicht weiterleiten (5000/5001). Im Gegenteil, wenn überhaupt die DS ins Netz stellen, dann nur über VPN.

Tommes

 

[b1tchnow]

Ich stelle bei meiner DS, wenn möglich, alle Standardports eh auf andere Ports um, so dass die üblichen Portscanner bei mir schon mal nix finden.

 

[Tommes]

Aber auch die Umlegung der Standardports ist nur Augenwischerei, genauso wie Geo-IP!

Man muß das Ganze aber natürlich auch differnezieren. Es kommt ja auch immer darauf an ob und wenn ja, vor wem und im welchen Maße man sich, seine DS bzw. seine Daten schützen möchte. Dem einen reichen unverschlüsselte Ports und einfache Benutzer/Passwort Abfragen. Ein andere arbeitet nur mit SSL-Verbindungen und starken Passwörten, wieder andere halt mit VPN und seinen Ausartungen.

Wichtig ist für mich vor allem, sich überhaupt Gedanken über die Sicherheit seiner Daten im Netz zu machen und dann zu entscheiden wie ich mich schütze.

Tommes

 

[Infosucher]

Erstmal vielen Dank an alle. Nur wirklich weiter bin ich jetzt auch nicht. Natürlich mache ich mir Gedanken aber eine Lösung habe ich bisher nicht gefunden. Mir ist bewusst das es keine 100%ige Sicherheit gibt. Keine Frage. Aber welche Einstellungen sind nun die Richtigen bzw. die Empfehlung?

Ich würde halt unterwegs auf meine Musik und meine Bilder zugreifen wollen. Und meinem Vater würde ich gerne per sftp einen Ordner und User zur Verfügung stellen damit wir Daten austauschen können.

Ich glaube das Thema Sicherheit wird hier im Forum bisher noch garnicht so detailliert besprochen und ich würde mir einen ausführlichen Eintrag in der Wiki dazu wünschen, damit sich noch mehr Leute Gedanken machen und diverse empfohlene Einstellungen vornehmen. Leider bin ich nicht firm genug darin um solch einen Wiki Eintrag zu erstellen.

Gruß
Infosucher

 

[Puppetmaster]

Natürlich mache ich mir Gedanken aber eine Lösung habe ich bisher nicht gefunden.

Immer der erste, wichtigste Schritt: lange, komplizierte, "sinnfreie" Passwörter, die nicht im Wörterbuch stehen!

Das zweite wäre dann noch die 2-Pass-Authentifizierung, die du im DSM einschalten kannst. Die greift aber m.W. nicht bei Verbindungen per SSH.

Für manche Dienste der DS kannst du aber auch eine Authentifizierung per Zertifikat herstellen, wenn du dich in das Thema einarbeitest und ein bisschen im Wiki hier liest. Das ist aber schon Level 2 und eher für Fortgeschrittene Anwender gedacht, die auch wissen, was sie da tun.

Und generell der Rat: immer nur wirklich das öffnen, was man unbedingt benötigt! Besser gleich auf VPN setzen, dann ist zumindest erstmal Ruhe. Allerdings hat VPN auch seine Tücken.

 

[Fusion]

Ich benutze teils VPN, z.B. für den DSM-Zugriff. Da ich aber nicht für jeden Zugreifenden erst ein VPN-Zugriff ermöglichen kann und ich auf Content auch mal ohne meine Endgeräte zur Hand Zugriff haben will, habe ich für die dafür in Frage kommenden Dienste nicht-standard Ports wie z.B. 34562 auf der public Seite gewählt. Wenn möglich für diese Nutzer noch die 2-Faktor Auth. Das Verlegen der Ports erhöht zwar nicht die Sicherheit an sich, aber hält mir schon mal gefühlt 99% aller automatischen Netz-Scanner vom Leib. Für die Nutzer die noch ohne 2-fach Auth auskommen sind entsprechend lange zufällige Passwörter eingerichtet.
Das ist meine Lösung wie ich mit leben kann.

Alternativ kann man natürlich, wenn man keine Ports öffnen will auf QuickConnect setzen. Zumindest der Verbindungsaufbau läuft dann aber über die Synology server. Ob danach noch Daten über die Server laufen habe ich nicht getestet und leider auch keinen passenden Link parat wo dazu eine Aussage von Synology steht.

 

[Infosucher]

Ok ich danke Euch. Ich werde mich mal weiter damit beschäftigen sobald ich wieder mehr Zeit (7 Wochen alter Sohn) habe. Das ist für mich auf jeden Fall noch nicht vom Tisch.

Gruß und schönes Wochenende
Infosucher

 

[Puppetmaster]

...sobald ich wieder mehr Zeit (7 Wochen alter Sohn) habe.

Glückwunsch!

Schätze, du hast so in 17-21 Jahren dann spätestens wieder ausreichend Zeit!

 

[dil88]

Glückwunsch!

Schätze, du hast so in 17-21 Jahren dann spätestens wieder ausreichend Zeit!

Da spricht einer aus Erfahrung. Ich schließe mich dem Glückwunsch von Herzen an. Es gibt eben doch wichtigere Dinge ...

 

[Tommes]

...sobald ich wieder mehr Zeit (7 Wochen alter Sohn) habe.

Da lass ich mich ja nicht lumpen und sag auch mal herzlichen Glückwunsch. Meiner ist jetzt 7 Jahre alt. Ist echt ein großartiges Abenteuer so ein Zwerg, kann ich jedem nur empfehlen. Aber Zeit ist seitdem auch ein viel zu seltenes Gut geworden, das stimmt wohl. Aber es ist ja wenigstens keinen verschwendete Zeit. Im Gegenteil!

Tommes

 

[Infosucher]

Danke für die Glückwünsche und das Zerstören der Hoffnung ;-)

Ist sehr anstrengend aber wunderschön zu gleich!!!

Gruß
Infosucher

 

[snowbeachking]

Hi,

erstmal Glückwunsch und viel Spass.

Ich würde halt unterwegs auf meine Musik und meine Bilder zugreifen wollen.

Nutze doch die offiziele File Station Synology App für Android oder iOS, um auf Deine Daten zuzugreifen. Gibt auch die Möglichkeit Photo Station oder Audio Station auszuprobieren, ebenfalls inkl. Synology Mobile Apps. Dann brauchst du auch keine Firewall Regel für ganz Deutschland, darüber kommen auch einige Angriffe.

Und meinem Vater würde ich gerne per sftp einen Ordner und User zur Verfügung stellen damit wir Daten austauschen können.

Ich nehme an dein Vater verbindet sich von zuhause aus mit deiner NAS. Daher guck mal welche IPs er von seinem ISP (Telekom, 1&1, etc.) zugewiesen bekommt und schalte nur diese Range frei. Das sollte die potentiellen Angriffe auf eingentlich 0 reduzieren. Die Wahrscheinlichkeit ist dann extrem gering.

Aber auch hier könnte dein Vater auf deine NAS via WebBrowser auf die Filestation zugreifen und somit könntest du Port 22 und somit SSH komplett abschaffen, da du nur 5001 für DSM HTTPS benötigst.

Grüße