Versucht da jemand auf mein NAS zuzugreifen?

[marti]

Ich habe heute folgende Meldung erhalten:

Sehr geehrter Benutzer,

Die IP [221.226.17.14] hatte 5 fehlgeschlagene Login-Versuche innerhalb von 5 Minuten und wurde um Fri Sep 17 19:49:37 2010 blockiert.

Mit freundlichen Grüßen
Synology DiskStation

gestern übrigens genau das gleiche, nur mit einer anderen IP Adresse. Beide Adressen sind in China beheimatet:

http://www.whois.sc/

netnum: 221.226.17.12 - 221.226.17.15
netname: NANJING-YIGE-INFORMATION-CORP
descr: Nanjing Yige Information Technology Co., Ltd.
descr: Nanjing City
descr: Jiangsu Province
country: CN
admin-c: CH481-AP
tech-c: CH481-AP
changed: 20100506


was kann man da tun. Habe nun das Passwort nochmals 'verstärkt' bzw. ein komplizierteres gespeichert. Die Sperrung habe ich auf drei Versuche runtergesetzt. Gibts noch mehr Massnahmen die ich ergreiffen kann. Bin da nicht so der Profi.

Gruss
Marti

 

[babapapa]

"Sharest" du dein NAS ins Internet und ist das so gewollt?

 

[marti]

nein, aber Zugriff auf meine Fotostation von extern, sprich via Internet ist eingerichtet.

 

[xentric]

Dann kann man auch nichts weiter machen. Wenn du dich von außen anmelden kannst, können andere das natürlich auch.

Kannst halt ne blacklist erstellen mit IP ranges aus China z.b., oder automatisch, wenn die 5x in 10sek sich falsch anmelden. Da gibts tools, wie z.b.

http://www.pettingers.org/code/sshblack.html

oder per firewwall, oder wie auch immer dein Login dort aussieht, ..

 

[xentric]

Ah, als kleine Anmerkung:

Irgendwelche Aktivitäten auf allen Ports ist aber idR normal. Irgendwelche scripts und bots versuchen immer neue Rechner zu kapern mit einfachen Mitteln, ..

Auf meinem Server hab ich auch unzählige Zugriffe aus China:

Sep 15 12:57:27 host sshd[15461]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.144.112.20 user=root
Sep 15 12:57:28 host sshd[15461]: Failed password for root from 211.144.112.20 port 56345 ssh2
Sep 15 12:57:29 host sshd[15677]: error writing /proc/self/oom_adj: Operation not permitted
Sep 15 12:57:32 host sshd[15677]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.144.112.20 user=root
Sep 15 12:57:34 host sshd[15677]: Failed password for root from 211.144.112.20 port 56649 ssh2
Sep 15 12:57:38 host sshd[16014]: error writing /proc/self/oom_adj: Operation not permitted
Sep 15 12:57:41 host sshd[16014]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.144.112.20 user=root
Sep 15 12:57:43 host sshd[16014]: Failed password for root from 211.144.112.20 port 56969 ssh2
Sep 15 12:57:44 host sshd[16184]: error writing /proc/self/oom_adj: Operation not permitted
Sep 15 12:57:47 host sshd[16184]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=211.144.112.20 user=root
Sep 15 12:57:49 host sshd[16184]: Failed password for root from 211.144.112.20 port 57460 ssh2

Da sind in einer Minute schon 6 Stück. Das gleiche bestimmt auch noch über andere Ports, Mail usw, ..

Will dicht nicht be(un)ruhigen. Am besten ist immer, sich mit Sicherheit zu beschäftigen, aber solang die Software aktuell ist, die passwörter nicht zu einfach sind, und man alles richtig konfiguriert hat, ..

 

[marti]

nun gut mein Passwort ist 8 stellig und weder mein Geburtsdatum noch sonstwas einfaches, ich arbeite zudem immer mit einem Ersatzadmin...

Au jeden Fall vielen Dank.

 

[DrunkenFreak]

Port wechseln würde zumindest das Hintergrundrauschen entfernen. Dann hast du höchstens noch 'richtige' Einbruchsversuche in den Logs.