Jemand will mein NAS bruteforcen

Diskutiere mit über: Jemand will mein NAS bruteforcen im Internet- und Netzwerk-Hardware Forum

  1. beagle

    beagle Thread Starter Gast

    Tag, ich habe ein NAS (LaCie Ethernet Disk Mini) auf dem es einige Freigaben gibt, die auch per FTP erreichbar sind.
    Nun ist mir beim Log lesen aufgefallen, dass jemand versucht, sich per Bruteforce Zugang zu verschaffen. Dazu verwendet er einen Account Administrator, den es nicht gibt. So sieht das aus:

    Code:
    Apr 4 16:15:48  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 122 usecs 
    		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
    		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
    		Apr 4 16:15:49  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 288 usecs 
    		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
    		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
    		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - Maximum login attempts (3) exceeded 
    		Apr 4 16:15:50  proftpd[16585]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session closed. 
    		Apr 4 16:15:50  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session opened. 
    		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
    		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
    		Apr 4 16:15:51  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 372 usecs 
    		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
    		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
    		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 70 usecs 
    		Apr 4 16:15:52  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - mod_delay/0.5: delaying for 354 usecs 
    		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - no such user 'Administrator' 
    		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - USER Administrator: no such user found from 211.99.156.152 [211.99.156.152] to 192.168.178.2:21 
    		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - Maximum login attempts (3) exceeded 
    		Apr 4 16:15:53  proftpd[16586]:            localhost.localdomain (211.99.156.152[211.99.156.152]) - FTP session closed. 
    
    uswusf
    Leider lässt sich der FTP Service nur rudimentär konfigurieren und immer Logs lesen ist schon etwas mühsam. Das Webinterface zeigt nur an, dass jemand verbunden ist, nicht wer. Dazu muss man die Logs lesen.

    Gibt es für die Lacie Ethernet Disk Mini vielleicht erweiterte Firmware, damit sie etwas auskunftsfreudiger wird?
     
  2. DickUndDa

    DickUndDa Thread Starter Gast

    ich denke mal dass jeder öffentliche FTP dererlei angriffen ausgesetzt ist...
     
  3. beagle

    beagle Thread Starter Gast

    Das schon. Bisher lief bei mir ein FileZilla Server, den ich aus Stromspargründen abgeschafft und durch ein NAS ersetzt hab. Da konnte man schon einiges unternehmen, zB 3 Einloggversuche mit falschem Account/Passwort und die IP wurde ein paar Stunden gesperrt usw.
    Man konnte da auch live sehen, was passiert, d.h. welcher User was macht und musste nicht recht umständlich Logfiles wälzen.
    Leider bietet die Firmware der LaCie sowas nicht.
     
  4. MacMännchen

    MacMännchen MacUser Mitglied

    Beiträge:
    2.877
    Zustimmungen:
    213
    Registriert seit:
    03.10.2006
    Hast du die Möglichkeit, die IP per Firewall auszusperren?
    Dann kannst du in Ruhe nach anderen Lösungen suchen.
     
  5. DickUndDa

    DickUndDa Thread Starter Gast

    Ach was, das sind bot angriffe, das einzige was die erzeugen ist ein bisschen serverlast
     
    Zuletzt von einem Moderator bearbeitet: 05.04.2007
  6. StruppiMac

    StruppiMac MacUser Mitglied

    Beiträge:
    2.835
    Zustimmungen:
    39
    Registriert seit:
    18.05.2006
    Kommt übrigens aus China (BEIJING) :D
    Nebenbei: Das passiert mit ALLEN Diensten, die im Netz hängen. 50% aller Windowsmaschinen botten sich durchs Netz.
    Also einfach nicht beachten - Du willst gar nicht wissen, was sonst noch so für Traffic an Deine Tür klopft
     
  7. MacMännchen

    MacMännchen MacUser Mitglied

    Beiträge:
    2.877
    Zustimmungen:
    213
    Registriert seit:
    03.10.2006
    Diese Attacken kommen oft aus China. Bei uns in der Firma sperren wir die IPs einfach temporär aus. Auch ein erhöhter Load kann nerven.
     
  8. St.Garg

    St.Garg MacUser Mitglied

    Beiträge:
    1.002
    Zustimmungen:
    91
    Registriert seit:
    16.12.2004
    trotzdem würd ich das sehr beunruhigend finden. Denn wenn das PW mal geknackt ist, sind deine Daten garantiert alle futsch!
     
  9. DickUndDa

    DickUndDa Thread Starter Gast

    wie er oben schon geschrieben hat gehen die von einem benutzer wie administrator oder ähnlichem aus. Und wenn das Passwort einigermaßen sicher ist dann hat man von einer Bruteforce-Attacke nicht viel zu Befürchten.

    Natürlich reduziert das aussperren die Serverlast. Oder man verzögert die Anfrage einfach immer mehr wenn sehr oft hintereinander jemand versucht sich auf einen account einzuloggen - das macht bruteforce praktisch unmöglich. Muss aber natürlich die Serversoftware unterstützen ;)
     
  10. qwertzy0815

    qwertzy0815 MacUser Mitglied

    Beiträge:
    480
    Zustimmungen:
    19
    Registriert seit:
    12.06.2005
    Schreib denen doch mal ;-)

    ++++ whois Ausgabe wegen Unzulässigkeit gelöscht ++++
     
    Zuletzt von einem Moderator bearbeitet: 08.04.2007
Die Seite wird geladen...
Ähnliche Themen - Jemand will mein Forum Datum
Telekom Speedport W724V: Kennt jemand einen Trick, wie sich ein Telefonbuch importieren lässt? Internet- und Netzwerk-Hardware 01.05.2016
Hat Jemand Erfahrung mit der LaCie 5big NAS Pro Internet- und Netzwerk-Hardware 18.03.2013
Outdoor Access Point gesucht , jemand Erfahrungen ? Internet- und Netzwerk-Hardware 08.02.2013
Jemand Erfahrung mit Airport Express in USA Hotels ohne Laptop? Internet- und Netzwerk-Hardware 19.07.2011
Versucht da jemand auf mein NAS zuzugreifen? Internet- und Netzwerk-Hardware 17.09.2010

Diese Seite empfehlen

Benutzerdefinierte Suche