Hallo,
Ik heb al een tijdje een ouder pc'tje ingericht als thuisserver.
Het beestje draait Windows 7 (met standaard firewall enabled), en dient voor filesharing (samba & (S)FTP), sabnzbd, µtorrent en muziek streaming.
Deze pc heeft een vast IP in mijn eigen netwerkje, en enkele poorten zijn geforward in de modem/router van mijn ISP.
Enkele dagen terug zag ik in de logging van mijn FTP server programma (FileZilla) dat er regelmatig connecties van buitenaf (internet) gemaakt worden, maar met verkeerde credentials. Meestal werden generieke usernames gebruikt zoals "admin" of "guest" of iets dergelijks.
Het bron IP was telkens verschillend. Misschien van een botnet ?
Aangezien FTP niet zo veilig is (wachtwoorden in plain text over het netwerk), ben ik overgestapt op SFTP. Ik gebruik het programma freeFTPd.
In de modem/router heb ik dus enkel nog poort 22 geforward die nodig is voor de SFTP connectie van buitenaf.
Nu zie ik, na een halve dag, dat er ook verschillende connectie attempts geweest zijn :
01-01-2016 11:35:49 SFTP server started
01-01-2016 15:49:50 IP 123.196.116.66 SFTP connection attempt
01-01-2016 15:49:58 IP 123.196.116.66 SFTP aatul access denied
01-01-2016 15:50:03 IP 123.196.116.66 SFTP aatul disconnected
01-01-2016 16:39:05 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:11 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:16 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:39:21 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:27 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:32 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:48:16 IP 180.153.151.102 SFTP connection attempt
01-01-2016 16:48:24 IP 180.153.151.102 SFTP root access denied
01-01-2016 16:48:28 IP 180.153.151.102 SFTP root disconnected
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:30 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:41 HOST 189-73-53-37.ip.ukrtel.net SFTP admin access denied
01-01-2016 17:03:42 HOST 189-73-53-37.ip.ukrtel.net SFTP admin disconnected
01-01-2016 18:03:38 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP connec
tion attempt
01-01-2016 18:03:43 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP discon
nected
Nu mijn vraag aan mijn mede tweakers :
Moet ik mij zorgen maken ?
Heeft iemand het gemunt op mijn data ?
Of is dit eerder een resultaat van script-kiddies die zomaar poorten afscannen en met standaard logins proberen binnen te geraken ?
Ik heb al een tijdje een ouder pc'tje ingericht als thuisserver.
Het beestje draait Windows 7 (met standaard firewall enabled), en dient voor filesharing (samba & (S)FTP), sabnzbd, µtorrent en muziek streaming.
Deze pc heeft een vast IP in mijn eigen netwerkje, en enkele poorten zijn geforward in de modem/router van mijn ISP.
Enkele dagen terug zag ik in de logging van mijn FTP server programma (FileZilla) dat er regelmatig connecties van buitenaf (internet) gemaakt worden, maar met verkeerde credentials. Meestal werden generieke usernames gebruikt zoals "admin" of "guest" of iets dergelijks.
Het bron IP was telkens verschillend. Misschien van een botnet ?
Aangezien FTP niet zo veilig is (wachtwoorden in plain text over het netwerk), ben ik overgestapt op SFTP. Ik gebruik het programma freeFTPd.
In de modem/router heb ik dus enkel nog poort 22 geforward die nodig is voor de SFTP connectie van buitenaf.
Nu zie ik, na een halve dag, dat er ook verschillende connectie attempts geweest zijn :
01-01-2016 11:35:49 SFTP server started
01-01-2016 15:49:50 IP 123.196.116.66 SFTP connection attempt
01-01-2016 15:49:58 IP 123.196.116.66 SFTP aatul access denied
01-01-2016 15:50:03 IP 123.196.116.66 SFTP aatul disconnected
01-01-2016 16:39:05 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:11 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:16 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:39:21 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:27 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:32 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:48:16 IP 180.153.151.102 SFTP connection attempt
01-01-2016 16:48:24 IP 180.153.151.102 SFTP root access denied
01-01-2016 16:48:28 IP 180.153.151.102 SFTP root disconnected
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:30 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:41 HOST 189-73-53-37.ip.ukrtel.net SFTP admin access denied
01-01-2016 17:03:42 HOST 189-73-53-37.ip.ukrtel.net SFTP admin disconnected
01-01-2016 18:03:38 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP connec
tion attempt
01-01-2016 18:03:43 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP discon
nected
Nu mijn vraag aan mijn mede tweakers :
Moet ik mij zorgen maken ?
Heeft iemand het gemunt op mijn data ?
Of is dit eerder een resultaat van script-kiddies die zomaar poorten afscannen en met standaard logins proberen binnen te geraken ?