Goedenavond allemaal,
Ik heb een TP-Link wdr4300 met DD-WRT draaien met daar achter een Zyxel NSA320.
In de TP-Link staan poort 80, 53 en 21 open.
Poort 21 is geforward naar de NAS om deze extern via FTP bereikbaar te maken.
Vanavond vond ik een aantal vreemde vermeldingen in de logs van de NAS:
Helaas houdt de NAS geen lang log bij. Door de vele pogingen van bovengenoemde adressen kan ik slechts tot gisterochtend terugkijken.
Na aanleiding hiervan denk ik dat iemand na een portscan via FTP probeert in te loggen op mijn NAS.
Ik heb Nmap losgelaten op de gevonden IP adressen en die heeft onderstaande topology opgeleverd:
Zoals te zien komen alledrie de IP adressen via 1 gemene deler binnen, dit laat mij geloven dat ik met een botnet te maken heb. De adressen komen uit resp. Rusland, Kazachstan, India en Zwitserland
Wat heb ik gedaan?
Preventief poort 53 dicht gezet, telnet gebruik ik toch niet.
logging verplaatst naar een lokale syslog server, zodat de lengte hiervan niet meer zo beperkt is.
Ik weet niet zo goed wat ik hier nu mee aan moet.
wat me vooral zorgen baart is de regel
Ik heb wel vertrouwen in de sterkte van mijn wachtwoorden, maarja alles is te kraken met genoeg tijd.
Ik kan een ander IP adres aanvragen bij mijn provider, maar dit is niet wenselijk en ook geen permanente oplossing.
Ik kan alleen specifieke IP adressen externe toegang geven en overige aanvragen blokkeren, maar ik moet zelf ook regelmatig remote inloggen van verschillende IP adressen (kan dit evt ook op MAC?)
Ik kan poort 21 helemaal dicht gooien, maar dan kan ik er zelf ook niet meer bij.
Veel verder dan dit gaat mijn kennis helaas niet, is er hier iemand die nog suggesties heeft?
Ik heb een TP-Link wdr4300 met DD-WRT draaien met daar achter een Zyxel NSA320.
In de TP-Link staan poort 80, 53 en 21 open.
Poort 21 is geforward naar de NAS om deze extern via FTP bereikbaar te maken.
Vanavond vond ik een aantal vreemde vermeldingen in de logs van de NAS:
code:
1
2
3
4
5
6
7
8
9
| 25 2016-01-25 16:27:38 built-in-service info User system(95.56.20.185) login FTP failed 26 2016-01-25 16:27:38 user alert Failed unknown login attempt (incorrect password or inexistent username) ... 29 2016-01-25 10:37:27 built-in-service info User logout FTP 30 2016-01-25 10:37:22 built-in-service info User admin(49.150.29.89) login FTP failed 31 2016-01-25 10:37:22 user alert Failed unknown login attempt (incorrect password or inexistent username) ... 37 2016-01-24 11:19:42 built-in-service info User aloha(27.251.65.195) login FTP failed 38 2016-01-24 11:19:42 user alert Failed unknown login attempt (incorrect password or inexistent username) |
Helaas houdt de NAS geen lang log bij. Door de vele pogingen van bovengenoemde adressen kan ik slechts tot gisterochtend terugkijken.
Na aanleiding hiervan denk ik dat iemand na een portscan via FTP probeert in te loggen op mijn NAS.
Ik heb Nmap losgelaten op de gevonden IP adressen en die heeft onderstaande topology opgeleverd:
Zoals te zien komen alledrie de IP adressen via 1 gemene deler binnen, dit laat mij geloven dat ik met een botnet te maken heb. De adressen komen uit resp. Rusland, Kazachstan, India en Zwitserland
Wat heb ik gedaan?
Preventief poort 53 dicht gezet, telnet gebruik ik toch niet.
logging verplaatst naar een lokale syslog server, zodat de lengte hiervan niet meer zo beperkt is.
Ik weet niet zo goed wat ik hier nu mee aan moet.
wat me vooral zorgen baart is de regel
code:
Er valt immers niets uit te loggen als je niet eens in bent gelogd?1
| 29 2016-01-25 10:37:27 built-in-service info User logout FTP |
Ik heb wel vertrouwen in de sterkte van mijn wachtwoorden, maarja alles is te kraken met genoeg tijd.
Ik kan een ander IP adres aanvragen bij mijn provider, maar dit is niet wenselijk en ook geen permanente oplossing.
Ik kan alleen specifieke IP adressen externe toegang geven en overige aanvragen blokkeren, maar ik moet zelf ook regelmatig remote inloggen van verschillende IP adressen (kan dit evt ook op MAC?)
Ik kan poort 21 helemaal dicht gooien, maar dan kan ik er zelf ook niet meer bij.
Veel verder dan dit gaat mijn kennis helaas niet, is er hier iemand die nog suggesties heeft?
:strip_exif()/u/389747/iconcroppedresizedsmallercroppedcroppedresized.gif?f=community)
:strip_icc():strip_exif()/u/43400/avatar.jpeg?f=community){kind=avatar}
/u/34216/avatar-60x60.png?f=community){kind=avatar}
:strip_exif()/u/53522/crop583d477015a24.gif?f=community)
/u/61403/crop58bff192a74cb_cropped.png?f=community)