Werde ich "gehackt"?

[belfour]

Hi. Seid ein paar Tagen bekomme ich immer Meldungen angezeigt.
Werde ich gehackt? Ich will das nicht dramatisieren aber mir kommt das ganze schon ein wenig merkwürdig vor.

Vor allem beim zweiten Bild, sieht man das es immer die gleiche IP ist aber andere Namen.

 

[Poggo]

Das sind "normale" Loginversuche, die stattfinden wenn jemand merkt, dass du deinen SSH-Port im Router geöffnet hast.
Also ja, sozusagen versucht jemand oder etwas in dein System einzudringen.

Gruß,

Poggo

 

[jahlives]

aktivier Autoblock im DSM und diese Loginversuche sollten deutlich weniger werden

 

[Perry2000]

Autoblock sollte immer ein sein.
10 Versuche innert 5 Min. oder so. Keine Automatische Löschung, dann hast Du bald ruhe.

 

[belfour]

SSH und Telnet sind von vornherein dekativiert gewesen. Nach absprache mit einem freund, meinte dieser aber auch das ich den Autolog einschalten sollte.

Man lernt nie aus ^^

Vielen Dank

 

[jahlives]

SSH und Telnet sind von vornherein dekativiert gewesen.

das kann eigentlich nicht sein ;-) Denn sonst könnte es gar keine Loginversuche an der Applikation (SSH) geben. Für einen Login(versuch) muss die Anwendung laufen

 

[belfour]

Das wundert mich auch. Aber laut der Synology ist sie deaktiviert.

Aber mal ne andere Frage. Ein Kumpel hat mir diesen Link gegeben:
http://www.blocklist.de/en/index.html

Ist es möglich das die Box sich diese liste automatisch runterlädt?
Hab Block Ip zwar auf 5 Angriffe a 5 Minuten stehen. Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"

 

[Puppetmaster]

Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"

Dann kennt jemand dein Passwort, oder du hast ein extrem schlechtes Passwort gewählt!

 

[jahlives]

Aber mein Kumpel hat schon recht damit "was ist denn wenn es bei ersten Versuch direkt klappt"

dann hast du um Welten ein zu einfaches Passwort Aber grundsätzlich hat er recht: ein Glückstreffer kann auch ein 1000 stelliges vollkommen zufälliges Passwort beim ersten Mal "knacken". Nur ist es dann um Faktoren wahrscheinlicher dich morgen ein Meteorit trifft wenn du über die Strasse gehst. Und trotzdem wirst du wohl doch über die Strasse laufen

Der DSM kann afaik keine externe Blockliste verwenden. Das könnte man aber mit etwas Shellscript sicher selber nachbauen.
Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben.

 

[belfour]

"Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben."

Die einstellungen sind wie folgt:



Mit dem Macbook habe ich dann versucht mich zu connecten:



Ergebniss: Erfolglos

 

[Puppetmaster]

Mit dem Macbook habe ich dann versucht mich zu connecten:

Ergebniss: Erfolglos

Und? Wird das im DSM geloggt oder nicht?

 

[Poggo]

das ist ja seltsam. evtl. läuft doch versteckt ein ssh-server mit umgeleitetem Port? mach doch mal ein Portscan auf deine Box und schau mal ob der SSh irgendwo lauscht.

 

[crick]

Da du SSH und Telnet garnicht nutzen möchtest, würde ich den Port 22 einfach im Router sperren, bzw. dessen Öffnungs/Weiterleitung deaktivieren. Ich selbst habe SSH aktiviert, aber nicht freigegeben. Mir reicht es innerhalb des wLANs den Dienst zu nutzen.

 

[belfour]

Wenn SSH aktiviert ist und ein falsches PW eingeben wurde, wird es geloggt.
Wenn SSH Deaktiviert ist und ein falsches PW eingeben wurde, wird es NICHT geloggt.

Warum wurden also vorher wo SSH Deaktivert war, fehlgeschlagene Versuche geloggt?

 

[Puppetmaster]

Der SSH Port kann ja auch so offen sein, beispielsweise wenn du die DS als Sicherungsziel für eine weitere DS aktiviert hast. Eine gesicherte Datensicherung läuft dann auch über Port22, was aber noch nicht heißen muss, dass du dich per SSH dort so einfach anmelden kannst.
Aber crick hat hier schon ganz recht: warum hast du Port22 im Router offen, denn darüber kommen ja offenbar die Angriffe?

 

[jahlives]

"Wie gesagt es kann eigentlich nicht sein, dass SSH nicht aktiviert war als die Zugriffe stattgefunden haben."
Mit dem Macbook habe ich dann versucht mich zu connecten:
Ergebniss: Erfolglos

bei dieser Verbindung mit dem Mac hätte ein Timeout kommen müssen. Die PW Abfrage kommt nur wenn ein SSH antwortet. Bei dir läuft der SSH obwohl du ihn im DSM deaktiviert hast. Mach auf der Konsole (am besten via telnet) mal ein

netstat -tnlp | grep :22

 

[Puppetmaster]

Bei dir läuft der SSH obwohl du ihn im DSM deaktiviert hast.

@jahlives:
s.meinen letzte Post. Ich kann nachstellen:
- SSH im DSM deaktiviert
- Netzwerk-Sicherungsdienst aktiviert

netstat -tnlp | grep :22

ergibt dann:

tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      24714/sshd
tcp        0      0 ::%270149944:22         ::%16:*                 LISTEN      24714/sshd

 

[Poggo]

die Ausgabe der Weboberfläche hat übrigens auch nicht immer recht. Kann sein, dass kein Haken angezeigt wird aber der Dienst trotzdem läuft.

 

[Puppetmaster]

die Ausgabe der Weboberfläche hat übrigens auch nicht immer recht. Kann sein, dass kein Haken angezeigt wird aber der Dienst trotzdem läuft.

Was ich sagen will: es gibt mehr als einen Haken, der den sshd aktivieren kann!

 

[belfour]

Ich habe den netzwerksicherungsdienst jetzt mal deaktivert und schon ist der port 22 zu.