Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Connection attempts op eigen servertje

Pagina: 1
Acties:

vrijdag 1 januari 2016 19:31

Acties:
  • cedrique
  • Registratie: September 2008
  • Laatst online: 23-11 10:01

cedrique

Topicstarter
Hallo,

Ik heb al een tijdje een ouder pc'tje ingericht als thuisserver.
Het beestje draait Windows 7 (met standaard firewall enabled), en dient voor filesharing (samba & (S)FTP), sabnzbd, µtorrent en muziek streaming.
Deze pc heeft een vast IP in mijn eigen netwerkje, en enkele poorten zijn geforward in de modem/router van mijn ISP.

Enkele dagen terug zag ik in de logging van mijn FTP server programma (FileZilla) dat er regelmatig connecties van buitenaf (internet) gemaakt worden, maar met verkeerde credentials. Meestal werden generieke usernames gebruikt zoals "admin" of "guest" of iets dergelijks.
Het bron IP was telkens verschillend. Misschien van een botnet ?

Aangezien FTP niet zo veilig is (wachtwoorden in plain text over het netwerk), ben ik overgestapt op SFTP. Ik gebruik het programma freeFTPd.
In de modem/router heb ik dus enkel nog poort 22 geforward die nodig is voor de SFTP connectie van buitenaf.

Nu zie ik, na een halve dag, dat er ook verschillende connectie attempts geweest zijn :

01-01-2016 11:35:49 SFTP server started
01-01-2016 15:49:50 IP 123.196.116.66 SFTP connection attempt
01-01-2016 15:49:58 IP 123.196.116.66 SFTP aatul access denied
01-01-2016 15:50:03 IP 123.196.116.66 SFTP aatul disconnected
01-01-2016 16:39:05 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:11 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:16 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:39:21 IP 222.186.42.207 SFTP connection attempt
01-01-2016 16:39:27 IP 222.186.42.207 SFTP admin access denied
01-01-2016 16:39:32 IP 222.186.42.207 SFTP admin disconnected
01-01-2016 16:48:16 IP 180.153.151.102 SFTP connection attempt
01-01-2016 16:48:24 IP 180.153.151.102 SFTP root access denied
01-01-2016 16:48:28 IP 180.153.151.102 SFTP root disconnected
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:29 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:30 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP disconnected
01-01-2016 17:03:39 HOST 189-73-53-37.ip.ukrtel.net SFTP connection attempt
01-01-2016 17:03:41 HOST 189-73-53-37.ip.ukrtel.net SFTP admin access denied
01-01-2016 17:03:42 HOST 189-73-53-37.ip.ukrtel.net SFTP admin disconnected
01-01-2016 18:03:38 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP connec
tion attempt
01-01-2016 18:03:43 HOST 12.145.195.113.adsl-pool.jx.chinaunicom.com SFTP discon
nected

Nu mijn vraag aan mijn mede tweakers :
Moet ik mij zorgen maken ?
Heeft iemand het gemunt op mijn data ?
Of is dit eerder een resultaat van script-kiddies die zomaar poorten afscannen en met standaard logins proberen binnen te geraken ?

vrijdag 1 januari 2016 19:44

Acties:
  • Firesphere
  • Registratie: September 2010
  • Laatst online: 28-11 02:35

Firesphere

Yoshis before Hoshis

Dat is een bot die openstaande poorten scant en daar inlogpogingen op doet.

Bij succes, ben je de sjaak ja.

I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!

vrijdag 1 januari 2016 20:17

Acties:
  • Yariva
  • Registratie: November 2012
  • Laatst online: 28-11 22:32

Yariva

Moderator Internet & Netwerken

Power to the people!

Idd, maak je zorgen.

Een groot hinder dat je kan opzetten is een tijdelijke lockout van bijv 15 minuten. Een tool die dit doet is fail2ban. Zeer simpel om op te zetten en werkt met veel generieke services.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

vrijdag 1 januari 2016 20:28

Acties:
  • Koldur
  • Registratie: Juni 2003
  • Laatst online: 12:22

Koldur

En even je poort 22 naar een andere poort doorzetten, ook kan gebruik maken van certificaten helpen, kan je password authenticatie uitzetten en is het redelijk onmogelijk om er in te komen voor mensen zonder certificaat.

i7 12700K,GB WindForce RTX4090,32GB KF436C16RB1K2/32,Gigabyte Z690 UD DDR4,Corsair RM1000x,WD Black SN850 2TB,Phanteks Eclipse P360A,Quest 3 VR Headset,Corsair iCUE H100i RGB Pro XT 240mm

vrijdag 1 januari 2016 20:39

Acties:
  • jeroen3
  • Registratie: Mei 2010
  • Laatst online: 10:56

jeroen3

Net als google websites indexeerd, zoeken diverse andere instanties het internet af naar FTP servers, IP camera's, telefooncentrales en routers welke zijn opgesteld op internet.
Zoals Shodan.io bijvoorbeeld.

Zorg dus voor een sterk wachtwoord, versleuteling, geo-blocking en auto-ban.
Of publiceer helemaal geen TCP sockets zodat je immuun bent tegen port scans.

vrijdag 1 januari 2016 20:46

Acties:
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 10:59

ThinkPad

Als je de poort naar buiten toe opent via bijv. 8022 ipv 22 ben je 90% al kwijt waarschijnlijk.
Maar dat is meer 'security through obscurity'. Normaalgesproken wil je een firewall hebben die bij een x-aantal pogingen de verbindende host blokkeert. Precies wat fail2ban doet inderdaad, alleen is dat voor Linux en niet voor Windows dacht ik.

[ Voor 58% gewijzigd door ThinkPad op 01-01-2016 20:47 ]

vrijdag 1 januari 2016 21:34

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Dit is internetruis. Zo lang je goede authenticatie op je services hebt, negeren.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 1 januari 2016 22:04

Acties:
  • geenwindows
  • Registratie: November 2015
  • Niet online

geenwindows

Fail2ban is na mijn weten niet beschikbaar voor Windows...
wat je wel kunt doen is OpenVPN installeren en alleen die poort (1194 UDP standaard) open te zetten.

Fan van: Unraid, ProxMox, Pi-hole, PlexMediaServer, OPNsense. Meer een gluurder dan een reaguurder.

vrijdag 1 januari 2016 22:14

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

CyBeR schreef op vrijdag 01 januari 2016 @ 21:34:
Dit is internetruis. Zo lang je goede authenticatie op je services hebt, negeren.
Dit vind ik over het algemeen juist een goede reden om security by obscurity toe te passen.

Zonder security by obscurity moet je alles afdoen als internetruis en wellicht wel belangrijke dingen missen.
Met security by obscurity schakel je de ruis uit en kan je gewoon naar de meldingen kijken want die zullen echte meldingen zijn.

vrijdag 1 januari 2016 23:14

Acties:
  • Koldur
  • Registratie: Juni 2003
  • Laatst online: 12:22

Koldur

Gomez12 schreef op vrijdag 01 januari 2016 @ 22:14:
[...]

Dit vind ik over het algemeen juist een goede reden om security by obscurity toe te passen.

Zonder security by obscurity moet je alles afdoen als internetruis en wellicht wel belangrijke dingen missen.
Met security by obscurity schakel je de ruis uit en kan je gewoon naar de meldingen kijken want die zullen echte meldingen zijn.
Ik denk dat er meer mee bedoeld wordt, dat als je security gewoon afdoende is, er helemaal geen zorgen over hoeft te maken. Als je met bijvoorbeeld SSH-2-RSA 2048 bits sleutels werkt en password authenticatie uitzet, dan is er gewoon niets aan de hand en kunnen ze je proberen te bruteforcen wat ze willen, maar dat zal niets doen.

i7 12700K,GB WindForce RTX4090,32GB KF436C16RB1K2/32,Gigabyte Z690 UD DDR4,Corsair RM1000x,WD Black SN850 2TB,Phanteks Eclipse P360A,Quest 3 VR Headset,Corsair iCUE H100i RGB Pro XT 240mm

vrijdag 1 januari 2016 23:46

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

Koldur schreef op vrijdag 01 januari 2016 @ 23:14:
[...]
Ik denk dat er meer mee bedoeld wordt, dat als je security gewoon afdoende is, er helemaal geen zorgen over hoeft te maken. Als je met bijvoorbeeld SSH-2-RSA 2048 bits sleutels werkt en password authenticatie uitzet, dan is er gewoon niets aan de hand en kunnen ze je proberen te bruteforcen wat ze willen, maar dat zal niets doen.
Alleen is het concept afdoende security een heel uitgebreid en moeilijk concept. Waarbij enkel maar SSH-2-RSA 2048 bits sleutels roepen geen afdoende security is. Voor afdoende security met die SSH-2-RSA 2048 bits sleutels heb je ook nog een standaard airgap tussen internet en jouw sleutels nodig en een protocol hoe te handelen moet je die sleutels gebruiken (en wat is dan de impact van het tijdelijk opheffen van die airgap)

Je wilt echt niet weten hoeveel private keys er al sinds napster en andere p2p netwerken door de eigenaren zelf ongevraagd het internet opgegooid zijn, zoals ze nu weer met dropbox / box.io / onedrive ook weer in grootte mate in the cloud gegooid worden.
Maar uiteraard doet de gemiddelde gebruiker dat niet, die zet het keurig in my documents, waar vele malware standaard gaat kijken naar dit soort bestanden, of je mailt hem eens naar je vriendin zodat die er ook bijkan en gooit hem in haar my documents etc. etc.

En als je vandaag "afdoende security" hebt bereikt, dan is die morgen weer outdated want de hackers gaan ook steeds door. Oftewel SSH2-RSA-4096 bits sleutels zijn een leuk onderdeel van een beveiliging, maar geen beveiliging op zichzelf, net zoals log-interpreting ook een onderdeel van een beveiliging is maar geen beveiliging op zichzelf, net zoals security by obscurity ook geen beveiliging op zichzelf is, maar wel je log-interpreting makkelijker maakt door het ruis eruit te filteren waardoor als jouw SSH-key vrijgekomen is je dit redelijk snel op kan pikken vanuit je logs en er actie op kan ondernemen (of als iemand een flaw in jouw SSH library gevonden heeft en hem wel kan bruteforcen)

vrijdag 1 januari 2016 23:52

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Valt best mee toch ?

Beetje internet ruis. Ik draai ftpes echt certificaatje er op, en met een ip whitelist
0,0 ruis

[ Voor 4% gewijzigd door Fish op 01-01-2016 23:56 ]

Iperf

zaterdag 2 januari 2016 00:02

Acties:
  • cedrique
  • Registratie: September 2008
  • Laatst online: 23-11 10:01

cedrique

Topicstarter
Bedankt voor de vele reacties.
Ik leer vooral uit :
- Security through obscurity : Best wel dom van mij om de standaard poort 22 te gebruiken => Zo net aangepast naar poort 8022.
- Geo-blocking : iets waar ik ook totaal niet aan gedacht had. Na wat opzoekingswerk ben ik bij PeerBlock gekomen. Een gratis programmaatje om IP adressen per land te blokkeren. Uiteraard kunnen hackers via proxies dit omzeilen, maar het is terug een kleine extra blokkade. Ik vrees echter dat dit mijn µTorrent kan verstoren.

De password authenticatie vervangen door een certificaat zie ik minder zitten.
Ik verbind regelmatig van op andermans PC met mijn servertje, dus ik heb niet altijd het certificaat bestand bij de hand.

Ik zou ook niemand nog aan aanraden freeFTPd te gebruiken. Er zit geen functie in om een IP te blokkeren voor een bepaalde tijd na een aantal verkeerde login pogingen. Dus geen beveiliging tegen brute force.

[ Voor 43% gewijzigd door cedrique op 02-01-2016 01:14 ]

zaterdag 2 januari 2016 01:58

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Gomez12 schreef op vrijdag 01 januari 2016 @ 22:14:
[...]

Dit vind ik over het algemeen juist een goede reden om security by obscurity toe te passen.

Zonder security by obscurity moet je alles afdoen als internetruis en wellicht wel belangrijke dingen missen.
Met security by obscurity schakel je de ruis uit en kan je gewoon naar de meldingen kijken want die zullen echte meldingen zijn.
Wat is een "echte melding" in jouw optiek?

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 2 januari 2016 02:30

Acties:
  • Firesphere
  • Registratie: September 2010
  • Laatst online: 28-11 02:35

Firesphere

Yoshis before Hoshis

cedrique schreef op zaterdag 02 januari 2016 @ 00:02:
De password authenticatie vervangen door een certificaat zie ik minder zitten.
Ik verbind regelmatig van op andermans PC met mijn servertje, dus ik heb niet altijd het certificaat bestand bij de hand.
Dan moet je hier een andere oplossing voor vinden dus. Een optie daarvoor is een bridge opzetten, dat je inlogt op de bridge, die dan weer kan inloggen op de eigenlijke server.

Hiervoor moet je echter wel wat meer verstand van firewalls etc. hebben, dan een huis-tuin-keukentje, en waarschijnlijk ook niet het geld waard.

Wat is de reden dat je vanaf de PC van anderen inlogt? Ik zie niet helemaal waar dat nodig voor zou moeten zijn.

I'm not a complete idiot. Some parts are missing.
.Gertjan.: Ik ben een zelfstandige alcoholist, dus ik bepaal zelf wel wanneer ik aan het bier ga!

zaterdag 2 januari 2016 09:44

Acties:
  • cedrique
  • Registratie: September 2008
  • Laatst online: 23-11 10:01

cedrique

Topicstarter
Ik log soms in bij familie/vrienden om muziek/foto's/documenten te tonen.

zaterdag 2 januari 2016 11:19

Acties:
  • Mijzelf
  • Registratie: September 2004
  • Niet online

Mijzelf

cedrique schreef op zaterdag 02 januari 2016 @ 00:02:
Ik zou ook niemand nog aan aanraden freeFTPd te gebruiken. Er zit geen functie in om een IP te blokkeren voor een bepaalde tijd na een aantal verkeerde login pogingen. Dus geen beveiliging tegen brute force.
Het blocken van IP's geeft alleen schijnveiligheid. Een botnet heeft voldoende IP's op voorraad om daar omheen te komen. Je moet gewoon sterke wachtwoorden gebruiken.

zaterdag 2 januari 2016 11:37

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Je moet ook niet blocken maar gewoon whitelisten. alleen mensen met nog een 56k6 modem hebben last van een los ip de rest is stabiel genoeg

Iperf

zaterdag 2 januari 2016 11:52

Acties:
  • Koldur
  • Registratie: Juni 2003
  • Laatst online: 12:22

Koldur

Fish schreef op zaterdag 02 januari 2016 @ 11:37:
Je moet ook niet blocken maar gewoon whitelisten. alleen mensen met nog een 56k6 modem hebben last van een los ip de rest is stabiel genoeg
Jammer dat je alle smartphone gebruikers even buiten beschouwing laat ;)
cedrique schreef op zaterdag 02 januari 2016 @ 00:02:
Bedankt voor de vele reacties.
Ik leer vooral uit :
- Security through obscurity : Best wel dom van mij om de standaard poort 22 te gebruiken => Zo net aangepast naar poort 8022.
- Geo-blocking : iets waar ik ook totaal niet aan gedacht had. Na wat opzoekingswerk ben ik bij PeerBlock gekomen. Een gratis programmaatje om IP adressen per land te blokkeren. Uiteraard kunnen hackers via proxies dit omzeilen, maar het is terug een kleine extra blokkade. Ik vrees echter dat dit mijn µTorrent kan verstoren.

De password authenticatie vervangen door een certificaat zie ik minder zitten.
Ik verbind regelmatig van op andermans PC met mijn servertje, dus ik heb niet altijd het certificaat bestand bij de hand.

Ik zou ook niemand nog aan aanraden freeFTPd te gebruiken. Er zit geen functie in om een IP te blokkeren voor een bepaalde tijd na een aantal verkeerde login pogingen. Dus geen beveiliging tegen brute force.
Je kan het certificaat makkelijk op een USB stick meenemen welke je encrypt of gewoon op je smartphone welke je beveiligt hebt. Als je echt veilig bezig wil zijn is een certificaat gebruiken echt aan te raden.

[ Voor 65% gewijzigd door Koldur op 02-01-2016 11:55 ]

i7 12700K,GB WindForce RTX4090,32GB KF436C16RB1K2/32,Gigabyte Z690 UD DDR4,Corsair RM1000x,WD Black SN850 2TB,Phanteks Eclipse P360A,Quest 3 VR Headset,Corsair iCUE H100i RGB Pro XT 240mm

zaterdag 2 januari 2016 12:06

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Koldur schreef op zaterdag 02 januari 2016 @ 11:52:
[...]


Jammer dat je alle smartphone gebruikers even buiten beschouwing laat ;)
Die heeft toch per definitie een tunnel met thuis :*) als we ons toch zo veilig willen voelen

Iperf

zaterdag 2 januari 2016 12:10

Acties:
  • Koldur
  • Registratie: Juni 2003
  • Laatst online: 12:22

Koldur

Fish schreef op zaterdag 02 januari 2016 @ 12:06:
[...]

Die heeft toch per definitie een tunnel met thuis :*) als we ons toch zo veilig willen voelen
Een SSH versleutelde verbinding met SFTP en certificaat is net zo veilig als een VPN. Ik ben voorstander van VPN hoor, maar via een VPN je SSH server bereiken is wat omslachtig. Maar toegeven, veiliger als je op die manier whitelist, alleen als je die manier gebruikt dan kan je dus gewoon elk extern IP adres blokkeren omdat je dan toch alles binnen je VPN bereik of lokale netwerk benaderd.

i7 12700K,GB WindForce RTX4090,32GB KF436C16RB1K2/32,Gigabyte Z690 UD DDR4,Corsair RM1000x,WD Black SN850 2TB,Phanteks Eclipse P360A,Quest 3 VR Headset,Corsair iCUE H100i RGB Pro XT 240mm

zaterdag 2 januari 2016 15:49

Acties:
  • Fish
  • Registratie: Juli 2002
  • Niet online

Fish

How much is the fish

Bij mij speelt er meer mee dan de iK- factor alleen, ik heb ook nog vrienden die mijn ftp mogen bereiken

Iperf

zaterdag 2 januari 2016 16:28

Acties:
  • cedrique
  • Registratie: September 2008
  • Laatst online: 23-11 10:01

cedrique

Topicstarter
Fish schreef op zaterdag 02 januari 2016 @ 15:49:
Bij mij speelt er meer mee dan de iK- factor alleen, ik heb ook nog vrienden die mijn ftp mogen bereiken
Bij mij ook. Ik heb een aparte login voorzien waar je maar 1 directory kan mee bereiken, maar wel schrijfrechten krijgt. Een soort van "pool" waar ook vrienden/familie hun stuf met mij kunnen delen.

zaterdag 2 januari 2016 16:39

Acties:
  • Yariva
  • Registratie: November 2012
  • Laatst online: 28-11 22:32

Yariva

Moderator Internet & Netwerken

Power to the people!

Whitelisten, inlog limiet erop zetten, 2FA, alleen met VPN bereikbaar, gebruikers chroot'en naar 1 directory. Kiezen en nou niet meer zeuren :)

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

zaterdag 2 januari 2016 17:03

Acties:
  • Koldur
  • Registratie: Juni 2003
  • Laatst online: 12:22

Koldur

Dan maak je voor de verschillende users certificaten aan, is een fluitje van een cent, ook een optie ;)

i7 12700K,GB WindForce RTX4090,32GB KF436C16RB1K2/32,Gigabyte Z690 UD DDR4,Corsair RM1000x,WD Black SN850 2TB,Phanteks Eclipse P360A,Quest 3 VR Headset,Corsair iCUE H100i RGB Pro XT 240mm

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq