Internet-Software, Browser, FTP, SSH 4.651 Themen, 38.261 Beiträge

wer hackt da meinen FTP-Server?

Hardy© / 35 Antworten / Flachansicht Nickles

Habe neuerdings einen MEDION NAS-Server, der über die FritzBox von aussen als FTP-Server erreichbar ist. Heute sehe ich folgendes im Ereignis-Protokoll des NAS:

Sieht für mich aus wie ein Hacker-Versuch, zumal unterschiedliche User versucht werden:

Wir kann ich mich am besten schützen?

Danke

Hardy

271 2015-02-05 07:38:31 built-in-service info User Administrateur(176.74.184.29) login FTP failed
215 2015-02-05 07:45:51 built-in-service info User Administrador(176.74.184.29) login FTP failed
137 2015-02-05 07:55:42 built-in-service info User newsletter(176.74.184.29) login FTP failed
80 2015-02-05 08:02:52 built-in-service info User sales(176.74.184.29) login FTP failed
0 2015-02-05 08:11:54 built-in-service info User spam(176.74.184.29) login FTP failed
11 2015-02-05 08:11:37 built-in-service info User spam(176.74.184.29) login FTP failed
12 2015-02-05 08:11:23 built-in-service info User spam(176.74.184.29) login FTP failed
13 2015-02-05 08:11:12 built-in-service info User spam(176.74.184.29) login FTP failed
14 2015-02-05 08:11:04 built-in-service info User spam(176.74.184.29) login FTP failed
15 2015-02-05 08:11:00 built-in-service info User spam(176.74.184.29) login FTP failed
Gruß Hardy©
bei Antwort benachrichtigen
fakiauso Hardy© „was bedeutet das, ping wird abgewiesen?“
Optionen
was bedeutet das, ping wird abgewiesen?


im Prinzip nichts weiter als das Ping-Anfragen nicht beantwortet werden und diese dann verenden. Allerdings 'mea culpa', nicht der Ping an sich, sondern traceroute läuft in´s Leere und das ist normal. Das sieht dann vom letzten Hop weg so aus und dürfte an einem Abweisen durch die Firewall liegen:

10  62.115.32.94 (62.115.32.94)  65.939 ms  68.391 ms  70.802 ms
11  10ge.xe-1-0-1.por-5ltp1ops-dis-4.peer1.net (216.187.115.226)  65.847 ms  73.826 ms  68.230 ms
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

Bei einem Routen direkt zur IP so:

10  62.115.32.94 (62.115.32.94)  62.748 ms  62.747 ms  62.746 ms
11  10ge.xe-1-0-1.por-5ltp1ops-dis-4.peer1.net (216.187.115.226)  68.802 ms  68.806 ms  71.157 ms
12  176.74.184.29 (176.74.184.29)  60.845 ms  62.639 ms  45.937 ms

Es ging mir mehr um das theoretische Herausfinden des Standortes, von welchem aus die Ports abgefragt wurden. Du 'siehst' meines Erachtens letztendlich die IP, mit welcher das andere Ende beim Provider angemeldet ist, aber nicht die des eigentlichen Rechners dahinter.
Du kannst jetzt nur das annehmen, was auch schon chrissv2 schrieb, entweder hat da jemand offene Ports gesucht und mit einer Passwortdatenbank abgefragt oder jemand hatte einen Zahlendreher für einen anderen FTP-Server und hat dann aus lauter Verzweiflung mehrere Kombinationen durchgespielt. Sieht aber eher nach Ersterem aus...

"Anyone who believes exponential growth can go on forever in a finite world is either a madman or an idiot (or an economist)" - Hellsongs
bei Antwort benachrichtigen