MailPlus Server Was wird da versucht?

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
Hallo,

Ich habe festgestellt, das seit mehreren Stunden mein Protokoll sich fröhlich füllt mit diesen Meldungen... die IP ist geblockt, Standort ist Bulgarien...In der Firewall ist eh eingestellt der Zugriff nur mit deutscher IP möglich...Ähm...habe ich Handlungsbedarf? :oops:

Interessant ist auch der Rhythmus: Alle 120sec.

Screenshot 2020-10-19 181048.jpg
 
Zuletzt bearbeitet:

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Da versucht sich jemand in deinen Mailserver zu hacken. Das habe ich auch fast jeden Tag, aber mit wechselten IPs...
Das Schema ist aber das gleiche... Deshalb glaube ich auch, das es immer der selbe Hacker ist...
 

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
Mittlerweile ist ruhe seit 18:06 Uhr...die IP ist geblockt...

Und ich bekomme jetzt Mail vom Protokollcenter bei Schlüsselwörtern...das ist denke ich eine weitere Maßnahme die sich bezahlt machen wird...
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Bei mir hat er sogar versucht, sich mit dem Usernamen meiner EX einzuloggen.
Was sagen denn die Profis hier im Forum dazu. Das Thema Interessiert mich auch...

PS: Ich war so genervt von dem Typen, dass ich sogar dem Email-Server für ein paar Stunden deaktiviert habe :mad:
 

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.233
Punkte für Reaktionen
324
Punkte
109

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Du solltest Dich lieber fragen wie er an den Usernamen gekommen ist.
Das brauche ich mich nicht fragen, meine Ex heißt Scharoll mit Familienname und ist viel im Internet eingetragen...
Und im Ernst ich brauche keinen User wie meine Ex auf meinem System :ROFLMAO::ROFLMAO::ROFLMAO:
Meine Domain ist scharoll.eu und natürlich wird über Oncel Google da auch Informationen ausgespuckt... ;)
 
Zuletzt bearbeitet:

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Du solltest Dich lieber fragen wie er an den Usernamen gekommen ist.
Ist was dran... jedenfalls überdenkenswürdig, wenn es keine Attacke nach Namensliste ist, wobei es auf der anderen Seite aber mitunter sogar verständlich ist, wenn es diesen Namen/Postfach gibt, denn oftmals wird die Mailadresse als Username genommen (alternativ - sofern nicht verschleiert - steht der Loginname, welcher nicht der Mailadresse entspricht, auch gern mal im Header der Mail). Der Rest ist dann recht einfach:

Wir haben eine Namesliste mit z.B. nur Vornamen aus dem deutschen/europäischen Raum und lassen nun durch einen Massenmailer einfach an jede Mögliche Mailadresse halt was schicken: %vorname%@deinedomain.tld

Sind dann halt soviele Mails, wie Vornamen in der Liste stehen. Alles das was "angenommen" wird, wird wohl existieren und erscheint daher auch als lohnenswertes Ziel. Danach wird dann halt das zweite Wörterbuch ausgepackt (das mit den Passwörtern) und dann geht es halt via Login-Versuch weiter via $fester-vorname$@deinedomaintld + %passwort%

Alternativ kann man sich das Leben natürlich auch noch einfacher machen und schaut in Listen der am meist verbreitesten Passwörter und nimmt dann dieses Passwort und ballert halt die Liste an Vornamen zusammen mit diesem einen (oder mehreren) Passwörtern aus der o.g. Liste durch. Hat nämlich auch einen gewissen Vorteil, denn die Liste der Vornamen (grade im z.B. deutschen/europäischen Raum) ist doch relativ begrenzt (nicht klein, aber eben einigermaßen begrenzt, wenn man dazu noch von den 0815-Namen ausgeht und die Exoten raus lässt). Sicherlich sind Mailadressen wie m.müller@domain.tld zwar vor solchen Angriffen relativ sicher (da diese Listen meist nur Vor- oder Nachnamen beinhalten), ist aber direkt wieder hinfällig in Bezug auf die erste genannte Vorgehensweise (sind dann natürlich mehr Mails die verschickt werden müssen).

Passend zu diesen Listen gibt es natürlich auch das ganze Spielchen nochmal für die Passwörter... Listen mit bereits erlangten Passwörtern, Listen mit Dingen wie Fussballvereinsnamen, Ländernamen, Vornamen (-> Kinder) ggf. gekoppelt mit Jahreszahlen (wobei man sowas schneller durch Facebook und Co bekommt), Namen von Haustieren, etc. Ist ein schönes Arsenal für offline Wörterbuchattacken, in der Online-Welt wird sowas eben massiv beschränkt durch die "automatische Blockierung" der Syno, unter Linux i.d.R. via fail2ban, wo es dann halt heisst: Darfst x mal probieren, danach wirst Du für x Stunden/Tage gesperrt.

Das was man dann so bei sich sieht, geht teils schon eher in die Richtung (nicht so beim Screenshot oben) 0815-Vornamen + Passwort 123456 oder so... So kann man die üblichen "Wartezeiten" haaaaalbwegs umgehen... Während Bruteforce alles an Möglichkeiten abklopft (mit gewissen Einschränkungen) sind die Passwörter aus den Listen garnicht soooo unwahrscheinlich. Sicher ist das Sicherheitsbewusstsein in den letzten Jahren (grade bei den technikaffinen Leuten) schon drastisch gestiegen, aber es wird da draussen noch immer (und wird es vermutlich auch immer) einen User namens "mueller"@domain.tld geben mit dem Passwort 123456... ;)

EDIT: Auch aus gekaperten Postfächern lassen sich die Mailheader auslesen, womit man ggf. auch wieder an neue Loginnamen, oder zumindestens auch neue Mailadressen kommt.
 
  • Like
Reaktionen: Valkyrianer

weyon

Benutzer
Mitglied seit
17. Apr 2017
Beiträge
692
Punkte für Reaktionen
90
Punkte
48
Solche Angriffe sind durchaus üblich auf alle Möglichen Logins. Wie Blurrrr schon schrieb werden unzählige Namen aus div. Listen probiert in der Hoffnung einen Treffer zu landen. Deshalb ist es ratsam relativ komplexe Kennwörter zu wählen und bei mehr als z.B. 5 falscheingaben eines Kennworts das betroffene Konto automatisch gesperrt wird.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.029
Punkte für Reaktionen
1.614
Punkte
308
Mir sind in der Vergangenheit ein paar User begegnet, die es gar nicht lustig fanden, alle paar Tage den Support bemühen zu müssen, um ihre Mailaccounts wieder freizuschalten. Ein paar davon haben dann den Mailanbieter gewechselt, weil sie es einfach satt hatten. Und nein, sie selbst waren nicht die Verursacher der Sperren. Es muss auch nicht unbedingt ein Angreifer sein. Es kann auch einfach mal nur einer sein, der zu deppert war, sein Benutzername korrekt zu schreiben. Oder einer der den Inhaber eines Kontos ärgern wollte.
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Guten Morgen,
Also ich empfinde es schon bedrohlich, mit den Attacken auf den Mailserver. Ich habe ja von Synology den einfachen Mailserver auf der DS installiert. Bis jetzt hat er alle Attacken Stand gehalten...? Der Typ (Hacker) besucht mich fast jeden Tag. Immer unterschiedliche IPs aus verschiedenen Ländern...
Ich glaube einmal war er genervt und hat mir eine Email geschrieben. Ich hätte 3 Tage Zeit ihm 500 Euro in Bitcoins zu überweisen oder er stellt von mir ein Video bei Facebook ect.pp ein, wo ich zu sehen bin, wie ich mir ein Porno anschaue. Also die eine Seite Ich die andere Seite auf dem Video der Porno. Dazu dann der entsprechende Link zur Bitcoint Zahlung der sehr merkwürdig aussah. Den habe ich natürlich nicht angeklickt...
Also das fände ich alles andere als Lustig. Ich glaube wenn ich den Link angeklickt hätte. Wäre Emotet oder Ähnliches auf meinem System gewesen...
 

Valkyrianer

Benutzer
Mitglied seit
02. Aug 2009
Beiträge
132
Punkte für Reaktionen
14
Punkte
18
Was ich noch vergessen habe, ich kontrolliere deswegen jeden Tag das Controllzenter was genau auf meinem System passiert ist. Teilweise ganz schön Zeitaufwendig, aber ich habe ja keine andere Wahl. Backup mache ich deswegen auch immer auf eine externe HDD mit Verschlüsselung. Die danach dann auch gleich heraus geworfen wird. In der Hoffnung es ist noch nicht auf dem Backup vom letzen Tag..
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Ja, sowas habe ich auch ab und zu, so alle 5-6 Monate sieht man dann, wie sich jemand versucht alle Vornamen der E-Mails durch zugehen immer mit meiner Domänen Endung. Er fängt mit A an und ackert sich durch. Die IP Adresse kam das letzte mal aus England. Wird in der FW gesperrt und dann ist erstmal wieder Ruhe bis in ca. 6 Monaten. Schaue mir natürlich fast täglich die Logs an und sobald der Synology "Reporter" unter Fatal errors was anzeigt ist es wieder soweit, dann müht sich wieder einer ab. Bereitet mir jetzt aber keine schlaflosen Nächte, 1. bricht irgendwann die Synology automatisch diese Verbindung ab, da zu viele Anfragen und 2. habe ich ein komplexes PW. Wie man sowas komplett unterbinden kann, k.Ahn.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Valkyrianer

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Es gibt inzwischen noch eine Hackingstrategie, die man als Betreiber eines Mailservers kennen sollte. Sie wird als „Spraying“ bezeichnet. Dabei werden auch sehr viele Adressen ausprobiert, aber entgegen dem klassischen Brute-Force verteilt über alle Adressen. Ein Brute-Force probiert z.B. alle Vornamen einer Domain nacheinander aus - da greift dann schnell die IP-Sperre.

Beim Spraying werden z.b. alle Aarons zuerst ausprobiert, aber über alle Domains. Dann der nächste Vorname, etc. Vorteil der Strategie aus Sicht der Hacker ist das Unterlaufen der IP-Sperren, der Angriff ist niedrigschwellig. Also nicht zu sicher fühlen (macht eh kaum einer, der hier unterwegs ist ...) wenn kein klassischer Brute-Force auffällt.
 

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
Vielleicht als Tipp...
Ich habe mir im Protokoll Center unter Benachrichtigunsregeln>>Stichwort enthällt die Schlüsselwörter "logged" und "failed" eingetragen. Jede Anmeldung ob gelungen oder nicht wird mir nun per Mail und auf meinem Handy per DS Finder mitgeteilt...
Der Angriff von Montag wäre mir dann Stunden vorher aufgefallen...
 
  • Like
Reaktionen: ebusynsyn

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
@Lextor Hier mal ein kleiner Rat aus beruflicher Laufbahn:

"Je mehr Du Dir zuschicken lässt, desto weniger wird es Dich irgendwann interessieren."

Ist dieser Punkt irgendwann erreicht und den Mails wird eh nur noch halbe bis gar keine Aufmerksamkeit geschenkt, hat das ganze seinen Sinn und Zweck völlig verfehlt.

Die Logs sind "sowieso" vorhanden. Da musst Du Dich nicht über jede "Anmeldung" informieren lassen. Eigentlich noch nichtmals über jede IP-Sperre. Interessant wäre es eher, wenn Du von einem Botnet beackert wirst und pro Minute 100-1000 IPs auf einmal gesperrt werden. Aber mal ernsthaft: Kirche im Dorf lassen, sonst stört das irgendwann nur noch. Im Fall der Fälle kann man sowas bei Bedarf immer noch in den Logs nachschauen :)
 

Lextor

Benutzer
Mitglied seit
12. Aug 2020
Beiträge
554
Punkte für Reaktionen
73
Punkte
54
@blurrrr

Vielen Dank...ist ein guter Hinweis...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat