Zugriffe auf Samba-Shares aus dem Internet
Ich betreibe einen FTP Server und seit neuestem einen Samba Server und stelle tausende von Zugriffen auf meinen Rechner fest. Kann es sein, daß die betreffenden User gar nichts davon wissen?
Hallöchen alle zusammen,
seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.
Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?
Mit freundlichen Grüßen
kruemeltee
Hallöchen alle zusammen,
seit geraumer Zeit betreibe ich auf einen ThinClient mittels ArchLinux einen kleinen Web-, FTP- und NFS-Server. Ich kontrollierte hierbei das erste mal meine Log-Dateien und stellte fest, daß ziemlich viele IPs versuchten, Zugriff auf meinen FTP Server zu bekommen. Da dieser allerdings keinen anonymen Zugang erlaubt wurden sämtliche Versuche geblockt und im Logfile festgehalten. Dies irritierte mich anfangs und schrieb daraufhin bereits in einem anderen Forum einen kleinen Beitrag dazu. Das kuriose war, daß der Großteil der IPs aus dem Raum China kamen. Ich selbst versuchte es mir dann so zu erklären, daß eben viele Personen im Internet unterwegs sind und versuchen, FTP Server zu "missbrauchen". Erkennbar war dies auch für mich, daß pro Woche etwa 20 IPs versuchten, Zugriff auf den FTP Server zu bekommen. Jede dieser IPs versuchte, scheinbar mit einer Art Brute-Force, Kombinationen aus Benutzernamen und Passwörtern zu ermitteln, die einen Zugang zum FTP Server ermöglichten. Tausende Einträge á là "connection denied to XX.XX.XX.XX, username 'michael' unknown" sind in den Logs aufgetaucht, mit unterschiedlichsten Benutzernamen. Hier habe ich nun mittels eines kleinen How-To's die Einstellung getätigt, daß nach 3-maligem falschen Einloggen die IP für zunächst eine Stunde gesperrt wird. Seither habe ich weitestgehend Ruhe und meine Logs sind auch erträglich groß.
Heute habe ich festgestellt, daß auf meinem Desktop-Rechner ähnliche Zugriffe statt finden, und zwar auf meine Samba-Shares. Ich habe seit etwa einen halben Jahr Samba auf meinem Desktop-Rechner und nutze diesen um Dateien und gar meinen Drucker im Netzwerk freizugeben. Samba ist ebenfalls durch Benutzernamen und Passwörter geschützt. Hier stellte ich nun hingegen fest, daß etwa alle 20 Sekunden eine neue IP versucht, auf meine Samba-Shares zuzugreifen. Ich habe nun erst einmal samba nur noch den Zugriff aus dem internen Netzwerk gestattet, welches mir eine Menge "access denied" in den Logs einbringt. Was mich nun am meisten verwundert sind die IP Adressen der Angreifer, denn diese scheinen zu etwa 98% (ich habs extra mal nachgerechnet) aus dem IP Pool von Kabel Deutschland zu kommen (bei welchen ich auch bin).
Nun interessiert mich, warum gerade so viele aus dem Bereich "Kabel Deutschland" versuchen auf meine Samba Shares zuzugreifen. Weder habe ich in meinem Router eine Port-Weiterleitung für diesen ominösen "microsoft-ds" Port (445) eingerichtet, noch glaube ich, daß dies bewusste Attacken aus dem Internet sind.
Ist es möglich, daß Kabel Deutschland mittels einer Software oder gar durch ihre eigenen Router versucht, die Shares zu durchsuchen (zu welchem Zwecke auch immer). Kennt jemand das Problem? Kommt dies immer so häufig vor, oder nur, da ich bei Kabel Deutschland bin?
Mit freundlichen Grüßen
kruemeltee
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 130497
Url: https://administrator.de/forum/zugriffe-auf-samba-shares-aus-dem-internet-130497.html
Ausgedruckt am: 26.12.2024 um 04:12 Uhr
2 Kommentare
Neuester Kommentar
Hallo Kruemeltee,
ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.
Gruß
Peter
ein klein wenig herumgoogeln ergab, daß es bis Herbst 2008 tatsächlich beim Fenster-OS ein Prob mit Port 445 gab. Theoretisch wäre es möglich, daß Kabel D. versucht, mal nachzuschaun, ob man nicht diesen fürchterlich viel Traffic verursachenden Web-Server auf einer Kunden-IP irgendwie abschalten könnte, aber das halte ich für unwahrscheinlich.
Soviel ich weiss bekommen Kabel-D-Kunden keinen Router, sondern ein Modem (oder haben zumindest früher), d.h. die Computer dieser Kunden sind relativ schutzlos dem Internet ausgeliefert, sofern die sich nicht selbst um Firewall und Virenschutz kümmern. Wenn Du weiter davon ausgehst, daß ein Virus, Wurm oder sonstiges sich ausgehend von der eigenen IP versucht auf- oder absteigend fortzupflanzen, dann bekommst Du also frisch ins Haus geliefert: die IPs der Kabel-D-Kunden, die offensichtlich seit über einem Jahr ein Viren-Problem haben und es nicht wissen.
Böse Scherzkekse würden so etwas gnadenlos ausnutzen, um über einen Proxy ... ähm .... ja .... hust ... sowas tun wir netten administrator.de-Mitglieder natürlich nicht.
Gruß
Peter