Wurde / Werde ich "gehackt" ? Was kann ich dagegen tun ?

[erbse]

Hallo

Ich habe den Mailserver auf meinem Gerät zu laufen und leite dorthin alle meine Mails (Was eigentlich nicht wirklich viele sind).
Nun habe ich nicht schlecht geschaut als ich auf einmal 19 Mails von meiner DiskStation erhalten habe. Darin jeweils die Nachricht das eine IP geblockt wurde die sich versuchte am Mailserver anzumelden.

Als ich zu Hause angekommen bin habe ich erstmal alle Portweiterleitungen dicht gemacht die ich eingerichtet hatte.
Nun habe ich einen Blick in die messages Datei (/var/log/messages) geworfen.
Das was ich deuten kann ist nur das sich jemand versucht über smtp bei mir anzumelden.
Es gibt jetzt aber auch noch ein paar andere Logeinträge die mir nichts sagen zb.:

minissdpd[4165]: sendto(udp): Invalid argument

oder

kernel: [752477.380000] bad rx status 2f85a301, (crc error)

von den letzteren habe ich auch viele Einträge.

Desweiteren wurde auch versucht auf mein Email-Konto auf Web.de zuzugreifen da ich dort auch 27 fehlgeschlagene Logins hatte. Das Passwort hab ich zur Sicherheit geändert.

Meine Frage ist nun, wie reagier ich jetzt am besten da ich die Diskstation ja wieder normal benutzen möchte.
Kann man solche "hack" Versuche auch irgendwo Anzeigen etc ?

Ich packe die Logdatei in den Anhang falls sich die jemand anschauen möchte.
MfG
Erbse

 

[Puppetmaster]

Hallo!

Die Frage ist, welche Ports du denn geöffnet hattest.
Es ist eigentlich nicht möglch, dass du eine Mail von der DS bekommst, wenn sich jemand am Mailserver anmelden will. Diese IP's werden nicht geblockt. Es wird also ein Angriff auf einen anderen Dienst/Port stattgefunden haben. Und auch das ist noch nichts aussergewöhnliches. Wichtig ist, dass du starke Passworte verwendest, die IP Blockieung einschaltest, und wirklich nur die Ports öffnest, die du auch tatsächlich benötigst.

Nachtrag:
Das Log-Protokoll sieht ziemlich wild aus. Keine Ahnung was da vor sich ging/geht.

 

[erbse]

Ich hab gedacht IPs werden auch geblockt wenn sich jemand nur über smtp authentifizieren will.

Ich hatte folgende ports offen

smtp TCP 25 eNAS 25
imap TCP 143 eNAS 143
imaps TCP 993 eNAS 993
vpn TCP 1723 eNAS 1723
eNAS http TCP 2610 eNAS 2610
eNAS https TCP 2611 eNAS 2611
smtp(ssl) TCP 465 eNAS 465
FileStation TCP 2612 eNAS 2612
AudioStation TCP 2613 eNAS 2613

Die automatische blockierung hatte ich natürlich an sonst wären keine Mails gekommen.

In den Mails stand aber das sich jemand versucht hat an meinem MailServer einzuloggen.

 

[Puppetmaster]

Nein, warte, ich hatte einen Gedankenfehler.
Ja, die Blockierung rührt von fehlerhaften Anmeldeversuchen am SMTP des MailServers her. Also hier wohl über Port 25 bzw. 465. Wobei ich mich frage, warum du beides offen hast!?
Ungewöhnlich ist das aber dennoch nicht. Man muß halt schauen, dass man seinen Kasten sauber hält, sprich: IP Blockierung an, starke Passworte wählen.

 

[erbse]

Es wurden bisher auch nur sehr allgemeine Nutzernamen ausprobiert wie bank, bank123, client, client123 etc.
Meine Passwörter werde ich alle ändern, nur zur Sicherheit.

Bleibt aber noch die Frage was die andern beiden Meldungen bedeuten.

edit ich hatte beide offen weil ich am Anfang Probleme mit dem Zertifikat und Thunderbird hatte und mein Handy wollte auch erst nich so richtig ^^