Zugriffsversuche über ssh

[Benjo_9945]

Hi,

Ich hab an meiner Ds223j ssh ausgeschaltet und vorher auch noch den Port gewechselt. Dazu existiert keine Port-Weiterleitung in meinem Router. Standardmäßig sind sowieso alle Ports in meinem Router maskiert. Mein Admin-Profil ist ausgeschaltet und ich hab es durch ein anderes ersetzt. Für beide Passwörter mit 100 Zeichen und 2-faktor Authentifizierung.

Trotzdem hatte ich mehrfach Brute Force Attacken, die Synology auch als solche erkannt hat über ssh-root. Als Port wird ein Strich angezeigt.

Herkunftsland Indien und USA.

Wie kann das sein, ich hab doch ssh ausgeschaltet?

Beste Grüße

 

[Benie]

Welch Ports hst Du denn evtl. Sonst noch geöffnet. Evtl. wurde dann über einen von diesen gescannt unter anderem eben auch wenn erfolglos auf Port 22.

 

[Benjo_9945]

Port 22 ist nicht mehr der Port für ssh und ist im Router nicht freigegeben. Ansonsten alle anderen Ports die man halt so braucht aber eben auch alle maskiert.

 

[Benjo_9945]

Ich verstehe trotzdem nicht wie ein Zugriffsversuch über ein Protokoll erfolgen kann, das abgeschaltet ist.

 

[ctrlaltdelete]

Ist die DS Exposed Host im Router?

 

[Synchrotron]

Ich rufe jemanden an, es wird abgenommen, und ich spreche auf Französisch los. Die Gegenseite versteht kein Französisch und legt auf.

Am Abendbrottisch heißt es dann: Schatz, heute hat doch 3x jemand angerufen und mich auf Französisch angeredet.

Heißt: Es kann jeder versuchen, den SSH-Dienst zu erreichen. Schlägt fehl, wird aber protokolliert.

Viel interessanter ist, warum der SSH-Aufruf überhaupt so weit kommt.

Hast du deine IP mal von außen gescannt ?

 

[maxblank]

Heißt: Es kann jeder versuchen, den SSH-Dienst zu erreichen. Schlägt fehl, wird aber protokolliert.

SSH ist aus und der Port ist zu. Wie sollen dann dort Anmeldeversuche stattfinden können und protokolliert werden?

 

[Hagen2000]

Standardmäßig sind sowieso alle Ports in meinem Router maskiert.

Normalerweise maskiert ein Router bei IPv4 die Clients im Heimnetz hinter seiner externen IPv4-Adresse. Das ist ein erst einmal das Standardverhalten. Was ist denn nun mit deiner Aussage genau gemeint?

Und um welches Routermodell handelt es sich eigentlich?

Nachtrag: Sind eventuell automatische Freigaben per UPnP erlaubt?

 

[geimist]

Und seit wann wird nachvollzogen, welches Protokoll eine Anmeldung aufruft? Das definiert doch der Server. Da es hier aber deaktiviert ist, finde ich das seltsam.

@Benjo_9945 kannst du bitte mal einen Screenshot zeigen?

 

[Benjo_9945]

Zu euren Fragen:

Nein, sie ist nicht exposed host. Was meinst du mit IP von außen scannen?

Protokolliert werden sie nicht im Router (Fritzbox 6590 Cable).

Upnp ist aus, ich hab die Ports und die Maskierung alles händisch gemacht.

Die Protokollierung erfolgte per Warnung im Sicherheitsmanager oder wie das Ding heißt und dann in der Anmeldeanalyse ist das mit ssh root und Port - aufgeführt. Sind 6 Seiten voll Anmelde ersuche bis ich die IP händisch blockiert hab. Seitdem nutze ich die Firewall der Synology und habe Ruhe.

 

[Benjo_9945]

Trotzdem frage ich mich wo oder ob da eventuell eine Sicherheitslücke ist.

 

[ctrlaltdelete]

Screenshots?

 

[Ronny1978]

Port 22 ist nicht mehr der Port für ssh und ist im Router nicht freigegeben

Standardmäßig sind sowieso alle Ports in meinem Router maskiert

Also im DSM ist dein SSH Port NICHT mehr Port 22, korrekt? Kannst DU von außen auf SSH zugreifen? Hast du SFTP aktiv? Wenn ja, mit welchem Port?

 

[Benjo_9945]

Screenshots?

Sry grad nicht am Rechner ich lade später welche hoch

 

[Benjo_9945]

Also im DSM ist dein SSH Port NICHT mehr Port 22, korrekt? Kannst DU von außen auf SSH zugreifen? Hast du SFTP aktiv? Wenn ja, mit welchem Port?

Genau 22 ist es nichtmehr, ich weiß nicht wie mna über ssh zugreift und hab es demzufolge auch nicht probiert. Ich habe sftp aktiv aber mit verändertem Port. Also auch nicht der Standard-Port. Und den dann nochmal maskiert im Router, wie bei allen anderen Ports.

 

[Benares]

Schau auch mal im Router unter Diagnose, Sicherheit. Nicht dass da doch was offen ist.

 

[Benjo_9945]

Das mit dem Port steht da nicht aber stand immer oben bei den Benachrichtigungen wenn mir das gemeldet wurde also Port -

 

[Benjo_9945]

Automatische Blockierung war auf den Standardwert eingestellt

 

[geimist]

Wie kann das sein, ich hab doch ssh ausgeschaltet?

Genau 22 ist es nichtmehr, ich weiß nicht wie mna über ssh zugreift und hab es demzufolge auch nicht probiert. Ich habe sftp aktiv aber mit verändertem Port

Ist SSH nun ausgeschaltet, oder nicht?

 

[Ronny1978]

Wie sieht es bei dir bei Systemsteuerung -> Info Center -> Dienst aus? Taucht dort noch SSH auf?