Werde ich "gehackt"?

Status
Für weitere Antworten geschlossen.

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Hi. Seid ein paar Tagen bekomme ich immer Meldungen angezeigt.
Werde ich gehackt? Ich will das nicht dramatisieren aber mir kommt das ganze schon ein wenig merkwürdig vor.

Vor allem beim zweiten Bild, sieht man das es immer die gleiche IP ist aber andere Namen.
hack.jpg
hack2.jpg
 

Poggo

Benutzer
Mitglied seit
26. Feb 2013
Beiträge
122
Punkte für Reaktionen
0
Punkte
0
Das sind "normale" Loginversuche, die stattfinden wenn jemand merkt, dass du deinen SSH-Port im Router geöffnet hast.
Also ja, sozusagen versucht jemand oder etwas in dein System einzudringen.

Gruß,

Poggo
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
aktivier Autoblock im DSM und diese Loginversuche sollten deutlich weniger werden
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Autoblock sollte immer ein sein.
10 Versuche innert 5 Min. oder so. Keine Automatische Löschung, dann hast Du bald ruhe.
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
SSH und Telnet sind von vornherein dekativiert gewesen. Nach absprache mit einem freund, meinte dieser aber auch das ich den Autolog einschalten sollte.

Man lernt nie aus ^^

Vielen Dank
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
SSH und Telnet sind von vornherein dekativiert gewesen.
das kann eigentlich nicht sein ;-) Denn sonst könnte es gar keine Loginversuche an der Applikation (SSH) geben. Für einen Login(versuch) muss die Anwendung laufen
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Das wundert mich auch. Aber laut der Synology ist sie deaktiviert.

Aber mal ne andere Frage. Ein Kumpel hat mir diesen Link gegeben:
http://www.blocklist.de/en/index.html

Ist es möglich das die Box sich diese liste automatisch runterlädt?
Hab Block Ip zwar auf 5 Angriffe a 5 Minuten stehen. Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"

Dann kennt jemand dein Passwort, oder du hast ein extrem schlechtes Passwort gewählt! :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"
dann hast du um Welten ein zu einfaches Passwort :) Aber grundsätzlich hat er recht: ein Glückstreffer kann auch ein 1000 stelliges vollkommen zufälliges Passwort beim ersten Mal "knacken". Nur ist es dann um Faktoren wahrscheinlicher dich morgen ein Meteorit trifft wenn du über die Strasse gehst. Und trotzdem wirst du wohl doch über die Strasse laufen :)

Der DSM kann afaik keine externe Blockliste verwenden. Das könnte man aber mit etwas Shellscript sicher selber nachbauen.
Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben.
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
"Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben."

Die einstellungen sind wie folgt:

syno einstellungen ssh.jpg

Mit dem Macbook habe ich dann versucht mich zu connecten:

Bildschirmfoto 2013-03-13 um 15.35.32.png

Ergebniss: Erfolglos
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484

Poggo

Benutzer
Mitglied seit
26. Feb 2013
Beiträge
122
Punkte für Reaktionen
0
Punkte
0
das ist ja seltsam. evtl. läuft doch versteckt ein ssh-server mit umgeleitetem Port? mach doch mal ein Portscan auf deine Box und schau mal ob der SSh irgendwo lauscht.
 

crick

Benutzer
Mitglied seit
29. Mai 2008
Beiträge
1.241
Punkte für Reaktionen
2
Punkte
64
Da du SSH und Telnet garnicht nutzen möchtest, würde ich den Port 22 einfach im Router sperren, bzw. dessen Öffnungs/Weiterleitung deaktivieren. Ich selbst habe SSH aktiviert, aber nicht freigegeben. Mir reicht es innerhalb des wLANs den Dienst zu nutzen.
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Wenn SSH aktiviert ist und ein falsches PW eingeben wurde, wird es geloggt.
Wenn SSH Deaktiviert ist und ein falsches PW eingeben wurde, wird es NICHT geloggt.

Warum wurden also vorher wo SSH Deaktivert war, fehlgeschlagene Versuche geloggt?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Der SSH Port kann ja auch so offen sein, beispielsweise wenn du die DS als Sicherungsziel für eine weitere DS aktiviert hast. Eine gesicherte Datensicherung läuft dann auch über Port22, was aber noch nicht heißen muss, dass du dich per SSH dort so einfach anmelden kannst.
Aber crick hat hier schon ganz recht: warum hast du Port22 im Router offen, denn darüber kommen ja offenbar die Angriffe?
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
"Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben."
Mit dem Macbook habe ich dann versucht mich zu connecten:
Ergebniss: Erfolglos
bei dieser Verbindung mit dem Mac hätte ein Timeout kommen müssen. Die PW Abfrage kommt nur wenn ein SSH antwortet. Bei dir läuft der SSH obwohl du ihn im DSM deaktiviert hast. Mach auf der Konsole (am besten via telnet) mal ein
Code:
netstat -tnlp | grep :22
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Bei dir läuft der SSH obwohl du ihn im DSM deaktiviert hast.

@jahlives:
s.meinen letzte Post. Ich kann nachstellen:
- SSH im DSM deaktiviert
- Netzwerk-Sicherungsdienst aktiviert

Code:
netstat -tnlp | grep :22
ergibt dann:

Code:
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      24714/sshd
tcp        0      0 ::%270149944:22         ::%16:*                 LISTEN      24714/sshd
 

Poggo

Benutzer
Mitglied seit
26. Feb 2013
Beiträge
122
Punkte für Reaktionen
0
Punkte
0
die Ausgabe der Weboberfläche hat übrigens auch nicht immer recht. Kann sein, dass kein Haken angezeigt wird aber der Dienst trotzdem läuft.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
die Ausgabe der Weboberfläche hat übrigens auch nicht immer recht. Kann sein, dass kein Haken angezeigt wird aber der Dienst trotzdem läuft.

Was ich sagen will: es gibt mehr als einen Haken, der den sshd aktivieren kann!
 

belfour

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
77
Punkte für Reaktionen
0
Punkte
0
Ich habe den netzwerksicherungsdienst jetzt mal deaktivert und schon ist der port 22 zu.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat