Zugriffsversuche über ssh

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Hi,

Ich hab an meiner Ds223j ssh ausgeschaltet und vorher auch noch den Port gewechselt. Dazu existiert keine Port-Weiterleitung in meinem Router. Standardmäßig sind sowieso alle Ports in meinem Router maskiert. Mein Admin-Profil ist ausgeschaltet und ich hab es durch ein anderes ersetzt. Für beide Passwörter mit 100 Zeichen und 2-faktor Authentifizierung.

Trotzdem hatte ich mehrfach Brute Force Attacken, die Synology auch als solche erkannt hat über ssh-root. Als Port wird ein Strich angezeigt.

Herkunftsland Indien und USA.

Wie kann das sein, ich hab doch ssh ausgeschaltet?

Beste Grüße
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.469
Punkte für Reaktionen
3.509
Punkte
344
Welch Ports hst Du denn evtl. Sonst noch geöffnet. Evtl. wurde dann über einen von diesen gescannt unter anderem eben auch wenn erfolglos auf Port 22.
 

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Port 22 ist nicht mehr der Port für ssh und ist im Router nicht freigegeben. Ansonsten alle anderen Ports die man halt so braucht aber eben auch alle maskiert.
 

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Ich verstehe trotzdem nicht wie ein Zugriffsversuch über ein Protokoll erfolgen kann, das abgeschaltet ist.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.808
Punkte
524
Ist die DS Exposed Host im Router?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Ich rufe jemanden an, es wird abgenommen, und ich spreche auf Französisch los. Die Gegenseite versteht kein Französisch und legt auf.

Am Abendbrottisch heißt es dann: Schatz, heute hat doch 3x jemand angerufen und mich auf Französisch angeredet.

Heißt: Es kann jeder versuchen, den SSH-Dienst zu erreichen. Schlägt fehl, wird aber protokolliert.

Viel interessanter ist, warum der SSH-Aufruf überhaupt so weit kommt.

Hast du deine IP mal von außen gescannt ?
 
  • Like
Reaktionen: ctrlaltdelete

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.081
Punkte für Reaktionen
2.150
Punkte
289
Heißt: Es kann jeder versuchen, den SSH-Dienst zu erreichen. Schlägt fehl, wird aber protokolliert.
SSH ist aus und der Port ist zu. Wie sollen dann dort Anmeldeversuche stattfinden können und protokolliert werden?
 

Hagen2000

Benutzer
Mitglied seit
25. Mai 2016
Beiträge
339
Punkte für Reaktionen
117
Punkte
43
Standardmäßig sind sowieso alle Ports in meinem Router maskiert.
Normalerweise maskiert ein Router bei IPv4 die Clients im Heimnetz hinter seiner externen IPv4-Adresse. Das ist ein erst einmal das Standardverhalten. Was ist denn nun mit deiner Aussage genau gemeint?

Und um welches Routermodell handelt es sich eigentlich?

Nachtrag: Sind eventuell automatische Freigaben per UPnP erlaubt?
 

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.541
Punkte für Reaktionen
1.373
Punkte
234
Und seit wann wird nachvollzogen, welches Protokoll eine Anmeldung aufruft? Das definiert doch der Server. Da es hier aber deaktiviert ist, finde ich das seltsam.

@Benjo_9945 kannst du bitte mal einen Screenshot zeigen?
 
Zuletzt bearbeitet:

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Zu euren Fragen:

Nein, sie ist nicht exposed host. Was meinst du mit IP von außen scannen?

Protokolliert werden sie nicht im Router (Fritzbox 6590 Cable).

Upnp ist aus, ich hab die Ports und die Maskierung alles händisch gemacht.

Die Protokollierung erfolgte per Warnung im Sicherheitsmanager oder wie das Ding heißt und dann in der Anmeldeanalyse ist das mit ssh root und Port - aufgeführt. Sind 6 Seiten voll Anmelde ersuche bis ich die IP händisch blockiert hab. Seitdem nutze ich die Firewall der Synology und habe Ruhe.
 

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.633
Punkte für Reaktionen
5.808
Punkte
524
Screenshots?
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Also im DSM ist dein SSH Port NICHT mehr Port 22, korrekt? Kannst DU von außen auf SSH zugreifen? Hast du SFTP aktiv? Wenn ja, mit welchem Port?
Genau 22 ist es nichtmehr, ich weiß nicht wie mna über ssh zugreift und hab es demzufolge auch nicht probiert. Ich habe sftp aktiv aber mit verändertem Port. Also auch nicht der Standard-Port. Und den dann nochmal maskiert im Router, wie bei allen anderen Ports.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.765
Punkte für Reaktionen
3.740
Punkte
468
Schau auch mal im Router unter Diagnose, Sicherheit. Nicht dass da doch was offen ist.
 

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Das mit dem Port steht da nicht aber stand immer oben bei den Benachrichtigungen wenn mir das gemeldet wurde also Port -
 

Anhänge

  • 17317528406501481170663185909460.jpg
    17317528406501481170663185909460.jpg
    166,1 KB · Aufrufe: 30

Benjo_9945

Benutzer
Mitglied seit
27. Dez 2023
Beiträge
58
Punkte für Reaktionen
8
Punkte
8
Automatische Blockierung war auf den Standardwert eingestellt
 

Anhänge

  • 17317530056848950585929559857808.jpg
    17317530056848950585929559857808.jpg
    145 KB · Aufrufe: 23

geimist

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
04. Jan 2012
Beiträge
5.541
Punkte für Reaktionen
1.373
Punkte
234

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.836
Punkte für Reaktionen
753
Punkte
128
Wie sieht es bei dir bei Systemsteuerung -> Info Center -> Dienst aus? Taucht dort noch SSH auf?
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat