Werde ich gehackt?

[ManiAx4]

Hi @all,

Ich hätte da ein Problem, was mich zumindest ziemlich besorgt und eurer Rat mehr als willkommen wäre..

Ich habe Aktuell die DS413j mit der DSM-Version DSM 5.0-4493 Update 5. Normalerweise ist ein Zugriff über No-IP.org und Quickconnect auf meine DS möglich. Dies habe ich aber aktuell komplett unterbunden indem ich alle Ports und Weiterleitungen auf meine Fritzbox gelöscht habe. Aktuell habe ich nur noch zwei Port-freigaben:

HTTP-Server TCP 80 nas-server 80
Twonkey TCP 9001 nas-server 9001

Nun erstmal zu meinem Problem. Seit geraumer Zeit finden bei mir Verstärkt SSH Angriffsversuche statt. Ich habe leider nur ein paar Screenshots aus dem Protokollcenter in der Übersicht "Letzte 50 Protokolle", woanders werden die Zugriffsversuche nicht aufgelistet. So das ich dies nur sehen kann, wenn ich auf Übersicht gehe. Was mich doch schon sehr Wundert. Außerdem hatte ich meinen NAS jetzt 2 Monate abgeschaltet, und haute wieder in Betrieb genommen. Keine 5 Min. nach dem Hochfahren hatte ich wieder Zugriffsversuche aus China. Auch wieder hauptsächlich nur über SSH. Sowohl mit dem User "Root" als auch über Admin. Wobei Admin bei mir Deaktiviert ist und soweit ich das weiß auch eigentlich SSH.

Aktuell weiß ich nicht, ob das vielleicht mit DYN-DNS zusammenhängen könnte, oder ob ich wirklich komprometiert bin. Was im Umkehrschluss Bedeutet das ich aktuell keinen Ansatz habe was ich nun alles Prüfen muss, bzw. was ich jetzt nun machen sollte. Natürlich außer die DS Platt zu machen. Deswegen hoffe ich, ihr könntet mir da ein paar Tipps geben.

Die Screenshots habe ich hinten angehängt und ich hoffe sie helfen euch ein wenig.

 

[dil88]

Der ssh-Port wird oft und gern aus dem Internet - speziell aus China - getestet. Was Du da siehst, halte ich für völlig normale. Deswegen ist bei mir der ssh-Port nach außen zu.

 

[ManiAx4]

Hatte ich auch erst gedacht, aber ist es "normal" das ich auch nach einem IP Change binnen Minuten wieder angefriffen werde? Ich habe eine Dyn-IP und selbst nach neuer Vergabe einer IP dauert es jetzt aktuell keine 5 Min. bis wieder versucht wird auf meinen NAS zuzugreifen. Irgendwoher müssen die doch meine Aktuelle IP bekommen.

 

[dil88]

Das ist völlig normal. Der IP-Change spielt doch bei tonnenweise Scans auf alle möglichen IP-Nummern überhaupt keine Rolle. Nein, die verbinden nicht Dich mit irgendeiner IP-Nummer, die scannen alles.

 

[Nordlicht01]

Der ssh-Port wird oft und gern aus dem Internet - speziell aus China - getestet. Was Du da siehst, halte ich für völlig normale. Deswegen ist bei mir der ssh-Port nach außen zu.

Also hast Du in der Firewall den ssh-Port nur für einen internen IP-Breich geöffnet und dadurch die Außenwelt ausgesperrt?

 

[goetz]

Hallo,
einfach im Router den ssh Port nicht mehr weiterleiten dann ist Ruhe.

Gruß Götz

 

[dil88]

Ich habe es genauso konfiguriert, wie goetz geschrieben hat. Du solltest generell so sparsam mit Portweiterleitungen im Router sein wie möglich. Nur das weiterleiten, was Du wirklich unbedingt brauchst.

 

[Erwe]

Frage

Welches Programm zeigt den Standort einer IP-Adresse so wie im 2. Bild?

 

[ManiAx4]

Ist kein Programm Google: Ip zurückverfolgen und erster Link ist bei mir www.utrace.de/
gewesen..

 

[wolfn]

Was ich an der Diskussion nicht verstehe:
Du sagst, Port 80 + 9001 sind im Router offen, sonst nichts.
Wie läßt sich dann der scan auf Port 22 (der DS) überhaupt erklären? Port 22 am Router doch offen?

Ich hätte mit den offenen und direkt weitergeleiteten Ports (egal welche) erhebliche Bauchschmerzen.

Schonmal über sowas wie SSH-Tunnel nachgedacht?

 

[Puppetmaster]

Ich hätte mit den offenen und direkt weitergeleiteten Ports (egal welche) erhebliche Bauchschmerzen.

Schonmal über sowas wie SSH-Tunnel nachgedacht?

Hast du dazu auch die (berechtigten) Bedenken von frogman in deinem anderen Thread berücksichtigt?
Du kannst mit einem offenen Port für SSH weit mehr Schaden anrichten als mit einem offenen Webserver-Port.

 

[wolfn]

Naja, ich will jetzt nicht rumstreiten...
Kommt halt auf so allerhand an.

Gefährlich ist m.E. jeder offene Port, wenn dahinter Mist konfiguriert ist.
Ich habe mich deswegen dazu enschieden, die DS überhaupt nicht nach außen zu lassen.
Absolut einziges Loch in der FW ist ein (hoher) Port, der auf meinem Raspbpi mit SSH landet.
Rein darf nur wer den richtigen Key hat und zum Anmelden brauchts nochmal einen (anderen).
Darüber wird dann der Tunnel auch zur DS aufgebaut.

Bisher sind die logs sauber. Sollte sich das ändern, kommt noch Port-knocking oben drauf.

 

[Puppetmaster]

Naja, ich will jetzt nicht rumstreiten...

Wer würde denn das wollen?

Kommt halt auf so allerhand an.

Richtig! Dewegen bin ich der Ansicht, solche Ratschläge immer nur mit Bedacht zu machen. Jemandem, der nicht genau weiß, was er macht, schadest du im Zweifel nämlich mehr als dass du ihm hilfst.

Gefährlich ist m.E. jeder offene Port, wenn dahinter Mist konfiguriert ist.

Nicht nur deiner Meinung nach. Das ist einfach so.
Aber ein hoher Port, hinter dem ich irgendwie auf's SSH der DS gelangen kann - und sei es über Umwege - ist ja auch immer noch ein offener Port. Wenn du dann dahinter Mist konfigurierst, ist das auch nicht besser, oder?
Damit will ich nicht gesagt haben, dass Du jetzt im speziellen Mist konfiguriert hast!

Ich habe mich deswegen dazu enschieden, die DS überhaupt nicht nach außen zu lassen.

Na, das stimmt ja schon nicht, oder wie kommst du auf sie drauf?
Nicht nach "draussen lassen" heißt für mich: auch nicht über den Umweg über eine andere Hardware. "Gar nicht" heißt: vom Netz getrennt, in einem anderen (Sub)Netz.

Bisher sind die logs sauber.

Meine auch, und das nach Jahren offener Ports.
Aber machen wir uns mal nichts vor: wenn es jemand geziehlt auf dich abgesehen hat, dann wirst du davon sicher nichts in einem Log finden!

 

[guhag]

Was ich an der Diskussion nicht verstehe:
Du sagst, Port 80 + 9001 sind im Router offen, sonst nichts.
Wie läßt sich dann der scan auf Port 22 (der DS) überhaupt erklären? Port 22 am Router doch offen?

Genau dieses Problem habe ich auch! Soweit ich das verstehe ist der Port 22 TCP für SSH / verschlüsseltes Netzwerkbackup zuständig und dieser wird von mir im Router nicht weitergeleitet. Und trotzdem habe ich ca. 30-50 Angriffe pro Tag

Mich als Laie macht das schon etwas nervös...

... und falls jetzt die Frage kommen sollte, warum ich dann überhaupt die DS ins Internet lasse - ich pendle zwischen zwei Wohnorten und hatte bisher zwei Laptops und x Speichermedien mit rumgeschleppt. Zuviel was ich vergessen oder auch verlieren kann. Daher die DS als zentralen Speicherpunkt.

 

[wolfn]

Ja, sicher. Aber so interssant bin ich nun sicher auch nicht.

Nochmal im Detail: hinter meinem Router lauscht ein Pi am SSH und läßt nur rein, wer 2 passende Schlüssel hat (auf den Pi).
Damit kann dann ein SSH-Tunnel mit Socks5-Proxy (clientseitig) aufgebaut werden, über den dann meine augeschaltete (!) DS geweckt werden
und -das alles passiert im internen Netz- angesprochen werden kann.
Der Tunnel läuft also von meinem (Linux-)Laptop irgendwo da draußen durch das 'Loch' im Router auf den Pi und zwar komplett verschlüsselt.
Der ist mir seinem 'Tunnel-Ende' schon wieder im internen Netz.

Mir ist durchaus klar, daß da auch Fallen lauern, wie im richtigen Leben halt.
Aber die Komponenten Pi und Laptop habe ich selber unter Kontrolle und muß nicht bei Problemen auf irgendeine Firma warten.

Das alles sollte nur Denkanstoß für interessierte sein, wahrscheinlich gibt es auch bessere Lösungen.
Und - da hast Du bestimmt recht, wer nicht so recht weiß, was er da tut, sollte denn doch lieber nehmen, was da eingebaut ist. Dann aber möglichst sparsam.

 

[Erwe]

Nochmal im Detail: .....

Nur so aus Interesse: was für Daten hast du auf deinem NAS?

 

[Frogman]

... und dieser wird von mir im Router nicht weitergeleitet. Und trotzdem habe ich ca. 30-50 Angriffe pro Tag .

Wenn Du Dir über die Portweiterleitung sicher bist, dann solltest Du - da die Anfragen ja von außen kommen - in Betracht ziehen, daß Dein Router kompromittiert ist. Ist der denn auf dem aktuellen Firmwarestand? Gibt der Konfig-Interfaces nach draußen?

EDIT
Da Du ja eine Fritzbox im Einsatz hast - hier wird aktuell vor verstärktem Mißbrauch gewarnt, weil offenbar immer noch viele Besitzer die Updates aus dem Februar nicht eingespielt haben (Quelle).

 

[wolfn]

@Erwe: Da liegt so ziemlich alles drauf, was sich über die Jahre angesammelt hat und ohne PC anmachen verfügbar sein soll. Fotos, meine CD-Sammlung, Backups ...

@guhag: ich würde an Deiner Stelle erstmal dem root/admin ein möglichst knacksicheres, langes Passwort verpassen, notfalls aufm Zettel (!) notieren, nicht irgendwo im PC.
Solange nur login-Fehler protokolliert werden ist das lästig und Grund zum Aufpassen. Wenn plötzlich Ruhe ist, würde mich das nervös machen (außer, Du hast das Loch gestopft).
Die 'Automatische Blockierung' in der Systemsteuerung der DS ist aktiviert und richtig eingestellt?
Könnte es denn sein, daß irgendeine andere Station in Deinem Netz als Relay schon missbraucht wird? Ich teile da Frogmans Bedenken, würde mich aber nicht nur auf den Router festlegen.
Hast Du denn Fernwartung und die ganzen anderen 'easy'-connect Mimiken im Router abgeschaltet?

Weil ich der ganzen kommerziellen Software nicht traue (ja, der Router gehört auch dazu und ja, Open Source ist auch nicht ohne Fehler) sitzt bei mir noch so ein kleiner Pi (mit Raspbian drauf) hinter dem Router. Den halte ich schon für recht sicher.
Aber reicht denn bei Dir der DSL-Durchsatz für einen brauchbaren Datentransfer mit den Laptops? Meine 1600er Leitung ist da ein ziemlicher Flaschenhals, jedenfalls bei upload.
Ich wollte mir genau auch diese Möglichkeit schaffen, werde das deswegen wohl nur in wenigen Fällen nutzen.

 

[Puppetmaster]

Vielleicht einfach einmal mit einem Portchecker im Netz prüfen, welche Ports denn nun wirklich offen sind.

Ich tippe immer noch auf den falsch konfigurierten offenen Port im Router oder aber, wenn es denn doch schlimm sein sollte, auf den kompromittierten Router,

 

[maDDin_1338]

wie immer meine Frage:

Wieso Portweiterleitung und nicht VPN Verbindung mit dem Router..

Erspart einem so einiges (wenns der Router kann).. ich hasse diese öde box von meinem 100mbit Kabel Anbieter.. (hab ich das schon erwähnt, oh gehört eh nicht hier hin)