Jemand will mein NAS bruteforcen

B

beagle

Tag, ich habe ein NAS (LaCie Ethernet Disk Mini) auf dem es einige Freigaben gibt, die auch per FTP erreichbar sind.
Nun ist mir beim Log lesen aufgefallen, dass jemand versucht, sich per Bruteforce Zugang zu verschaffen. Dazu verwendet er einen Account Administrator, den es nicht gibt. So sieht das aus:

Code: 
Apr 4 16:15:48  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 122 usecs 
		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 288 usecs 
		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - Maximum login attempts (3) exceeded 
		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session closed. 
		Apr 4 16:15:50  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session opened. 
		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 372 usecs 
		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 70 usecs 
		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 354 usecs 
		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - Maximum login attempts (3) exceeded 
		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session closed. 

uswusf

Leider lässt sich der FTP Service nur rudimentär konfigurieren und immer Logs lesen ist schon etwas mühsam. Das Webinterface zeigt nur an, dass jemand verbunden ist, nicht wer. Dazu muss man die Logs lesen.

Gibt es für die Lacie Ethernet Disk Mini vielleicht erweiterte Firmware, damit sie etwas auskunftsfreudiger wird?
 
ich denke mal dass jeder öffentliche FTP dererlei angriffen ausgesetzt ist...
 
Das schon. Bisher lief bei mir ein FileZilla Server, den ich aus Stromspargründen abgeschafft und durch ein NAS ersetzt hab. Da konnte man schon einiges unternehmen, zB 3 Einloggversuche mit falschem Account/Passwort und die IP wurde ein paar Stunden gesperrt usw.
Man konnte da auch live sehen, was passiert, d.h. welcher User was macht und musste nicht recht umständlich Logfiles wälzen.
Leider bietet die Firmware der LaCie sowas nicht.
 
Hast du die Möglichkeit, die IP per Firewall auszusperren?
Dann kannst du in Ruhe nach anderen Lösungen suchen.
 
Kommt übrigens aus China (BEIJING) :D
Nebenbei: Das passiert mit ALLEN Diensten, die im Netz hängen. 50% aller Windowsmaschinen botten sich durchs Netz.
Also einfach nicht beachten - Du willst gar nicht wissen, was sonst noch so für Traffic an Deine Tür klopft
 
Diese Attacken kommen oft aus China. Bei uns in der Firma sperren wir die IPs einfach temporär aus. Auch ein erhöhter Load kann nerven.
 
trotzdem würd ich das sehr beunruhigend finden. Denn wenn das PW mal geknackt ist, sind deine Daten garantiert alle futsch!
 
St.Garg schrieb:
trotzdem würd ich das sehr beunruhigend finden. Denn wenn das PW mal geknackt ist, sind deine Daten garantiert alle futsch!
Zum Vergrößern anklicken....

wie er oben schon geschrieben hat gehen die von einem benutzer wie administrator oder ähnlichem aus. Und wenn das Passwort einigermaßen sicher ist dann hat man von einer Bruteforce-Attacke nicht viel zu Befürchten.

Natürlich reduziert das aussperren die Serverlast. Oder man verzögert die Anfrage einfach immer mehr wenn sehr oft hintereinander jemand versucht sich auf einen account einzuloggen - das macht bruteforce praktisch unmöglich. Muss aber natürlich die Serversoftware unterstützen ;)
 
Schreib denen doch mal ;-)

++++ whois Ausgabe wegen Unzulässigkeit gelöscht ++++
 
Zuletzt bearbeitet von einem Moderator:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten