bandycoad
Goto Top

Angriffe auf NAS

Hallo und guten Tag an die administrator.de Gemeinde wünscht ein recht unerfahrener Anwender.

Mein NAS wird angegriffen und wollte wissen ob ich damit Leben muss

Folgende Situation:

Ich habe zwei NAS (QNAP TS-119) an verschiedenen Standorten eingerichtet welche mich, wie auch die verwendeten Router, per syslog auf dem laufenden halten.

Vor einer Woche fanden pro Tag hunderte Login Versuche mit verschiedenen Benutzername und von verschiedenen IP-Adressen statt.
Ich hatte den Port 445 zur Konfiguration über das Netz freigegeben.
Jetzt habe ich in der Firewall des Routers, o2 Surf & Phone Box, den Zugriff über den IP-Range eingeschränkt.
Seit dem meldet mir der Router minütliche Zugriffsversuche von verschieden IP-Adressen auf allen möglichen Ports.

Meine Frage ist nun ob es sich hierbei um einen gezielten Angriff handelt oder ob Bots ins blaue hinein ihr Glück versuchen, und ob ich damit Leben muß.

Beide NAS werden über DDNS erreichbar gemacht, dessen Account ich auch schon gewechselt hatte. Ohne Erfolg.
Der zweite NAS, ISP ist hier Telekom, ist davon nicht betroffen.

Vielen Dank für euer Interesse und noch einen schönen Abend.

Steve

Content-ID: 126161

Url: https://administrator.de/forum/angriffe-auf-nas-126161.html

Ausgedruckt am: 27.12.2024 um 22:12 Uhr

45877
45877 30.09.2009 um 18:09:01 Uhr
Goto Top
Hi,

ob es grundrauschen oder ein gezielter Angriff ist, kann man wohl erst sagen, wenn man die Logs sehen kann.....
bandycoad
bandycoad 30.09.2009 um 18:22:19 Uhr
Goto Top
Hallo chewbakka.

Verzeih bitte. Hier ein Ausschnitt aus dem Log:

18:08:49 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:08:46 router-kahe-heim: src="89.34.156.80:1119" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:07:09 router-kahe-heim: src="77.12.101.66:18774" dst="77.12.205.85:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:01:35 router-kahe-heim: src="77.12.101.66:24130" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
18:00:01 router-kahe-heim: src="67.234.244.230:3731" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:54:24 router-kahe-heim: src="77.12.81.242:10071" dst="77.12.227.52:135" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:49:52 router-kahe-heim: src="193.251.80.117:3257" dst="77.12.227.52:137" msg="Firewall default policy: UDP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:38 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:35 router-kahe-heim: src="188.132.115.162:3019" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:13 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:47:10 router-kahe-heim: src="89.204.181.48:4034" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:36 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
17:44:33 router-kahe-heim: src="188.18.87.124:2005" dst="77.12.227.52:445" msg="Firewall default policy: TCP (W to W/PRESTIGE)" note="ACCESS DROPPED" devID="88A860" cat="Access Control"
45877
45877 30.09.2009 um 18:46:08 Uhr
Goto Top
Hallo,

also bei der Häufigkeit würde ich jetzt nicht einen Angriff vermuten.
bandycoad
bandycoad 30.09.2009 um 19:03:58 Uhr
Goto Top
Danke für Deine schnelle Antwort.

Du sprachst vorhin von einem grundrauschen. Meinst Du damit das die Verbindungsversuche von Rechnern kommen die sich was eingefangen haben.

Habe jetzt bei meinem privaten Router (feste IP) Syslog aktiviert und siehe da. Auch hier Verbindungsversuche am laufenden Band.

Was meinst Du kann man diese Syslog Meldungen schlicht ignorieren. Ich meine wegen der Übersicht und größe der Logdatei.

Stutzig bin ich anfangs wegen der vielen Login Versuchen geworden:

17:03:03 qlogd conn log: Users: globus, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:06 qlogd conn log: Users: condor, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:07 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: tomcat, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:09 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:10 qlogd conn log: Users: cadi, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: cady, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: global, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:13 qlogd conn log: Users: marine, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>
17:03:15 qlogd conn log: Users: root, Source IP: 202.54.49.194, Computer name: ---, Connection type: SSH, Accessed resources: ---, Action: Login Fail<000>

u.s.w.

Vielen Dank für Dein Interesse.
45877
45877 30.09.2009 um 19:26:28 Uhr
Goto Top
grundrauschen sind halt Einbruchsversuche, die nicht gezielt gegen dich gerichtet sind sondern halt einfach eine bestimmte ip range abklappern und überall einen bestimmten exploit versuchen. oder portscan, oder verbindungsversuche auf rechner die früher deine ip hatten usw.

wenn es wirklcih jemand auf di abgesehen hätte, würdest du wohl eher hunderte verbindungen von einer ( oder verschiedenen ips, wenn er ein botnet zur verfügung hat) sehen, die viele exploits abgrasen oder logins versuchen.