HILFE! Fremder Zugriff über FTP !!! Protokollauswertung !!!

    Moin!


    Habe gestern zum Test einen FTP Zugang eingerichtet.


    Heute morgen hatte ich dann 8 mal E-Mail Alarm vom Qnap. Schön das es funtioniert. 8-) Aber schade das es passiert ist :cursing:


    Also wenn ich das jetzt richtige sehe hat jemand probiert bei mir rein zugkommen.
    Auch wenn es nur für ein paar Sekunden war.
    Oder war es nur ein IP, Port scann.


    Kann mir jemand aufschluss über die Protokolle geben.
    Ist es schlimm?


    Also Login Fail klar Loginversuch ist fehlgeschlagen.
    Was ist mit dem Fettgedrucktem?



    Hier das Systemereingnis-Protokoll:


    Code
    2011-01-30 09:47:21	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:20	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:19	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:18	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:16	System	127.0.0.1	localhost	[Security] Access Violation from 195.43.150.233 with TCP (port=21)	2011-01-30 09:47:15	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:14	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.	2011-01-30 09:47:13	System	127.0.0.1	localhost	Add IP: [195.43.150.233] to ban list for 5 minutes.



    Und hier das Systemverbindung-Protokoll:


    Code
    2011-01-30 09:47:15	Administrator	195.43.150.233	localhost	FTP	---	Login Fail
	2011-01-30 09:47:13	Administrator	195.43.150.233	localhost	FTP	---	Login Fail
	2011-01-30 09:47:13	Administrator	195.43.150.233	localhost	FTP	---	Login Fail
	2011-01-30 09:47:13	Administrator	195.43.150.233	localhost	FTP	---	Login Fail
	2011-01-30 09:47:13	Administrator	195.43.150.233	localhost	FTP	---	Login Fail
	2011-01-30 09:47:13	Administrator	195.43.150.233	localhost	FTP	---	Login Fail




    Gruß Marco

    Einmal editiert, zuletzt von Terz () aus folgendem Grund: Code Blocks hinzugefügt

    Hi Marco,


    schau mal auf deinen Logs nach, was an der exakten Uhrzeit zwischen Systemereignis und Systemverbindung los war - das Zeitpaar ist in deinen Listen nicht drin.


    Falls dein NAS WebDAV kann, schalte FTP aus und mach die Datentransfers via WebDAV, am besten via https oder noch besser alles über VPN.

    Moin!


    FTP wollte ich nur mal testen. Erstemal angemacht gleich nen IP Scann bekommen. SUPER.
    Interessant da ich ne DHCP nutze. oder ist das egal?
    Die IP kommt aus Frankreich. 195.43.150.233 ist jetzt bei mir unter geblockten eingetragen.


    Systemereingnis-Protokoll:
    Zugriff von 09:47:13 bis 09:47:21


    09:47:16 [Security] Access Violation from 195.43.150.233 with TCP (port=21)



    Systemverbindung-Protokoll: Zugriff von 09:47:03 bis 09:47:15, alles "LOGIN FAIL"


    09:47:03 1x
    09:47:12 26 x
    09:47:13 11x
    09:47:15 1x


    WEBDAV ist vorhaden.
    SSL nutze ich auschließlich.



    So mal gucken was heute Nacht passiert. Will es nochmal wissen.
    FTP ist heute Nacht an. aber mit so vielen, groß, klein und Sonderzeichen. Das kann selbst ich mir nicht merken. Ist ja eh nur ein test.
    Bin gespannt. IP wird dann nach 5 Zugriffen in einer min. für immer gesperrt.



    Gruß Marco

    Hi,


    das mit "für immer sperren" macht keinen Sinn, die Bots etc. werden ihre IPs häufig wechseln, und du machst dir nur deine Logs und Listen voll - das kann sogar zum Absturz des NAS führen.

    Hallo,


    habe auch so einen Eintrag:

    Code
    Typ	Datum	Uhrzeit	Benutzer	Quellen-IP	Computername	Inhalt	
Warnung	2018/02/25	10:47:12	System	127.0.0.1	localhost	[Security] Added IP: [192.168.178.XX] to ban list for 5 minutes.

    Die IP ist aber mein PC von dem aus ich Dateien auf den QNAP schieben möchte.
    Wie sage ich dem qnap das dieIP alles darf ??


    Gruß

    Zitat von dogfight76
    Code
    Typ	Datum	Uhrzeit	Benutzer	Quellen-IP	Computername	Inhalt	
Warnung	2018/02/25	10:47:12	System	127.0.0.1	localhost	[Security] Added IP: [192.168.178.XX] to ban list for 5 minutes.

    Die IP ist aber mein PC von dem aus ich Dateien auf den QNAP schieben möchte.
    Wie sage ich dem qnap das dieIP alles darf ??

    Das ließt sich für mich am ehesten so bzw. ich hoffe, mich nicht zu irren, als ob dein PC einen Logindaten übermittlungsfreien Zugriff versucht hat. Hab die Tage nen neuen PC zusammengebaut und softwaretechnisch aufgesetzt. Da hatte ich solche Meldungen bzw. vom PC aus gesehen ein: die NAS lässt mich abblitzen, auch. Nachdem ich dann einmal unter Win10 pro 64 bit -> Mein PC -> Netzwerk ->meine Nas über: Netzlaufwerk verbinden eingerichtet hatte, kam eine Zugangsname & Passwort Abfrage, habe ausgefüllt, auf die Daten dauerhaft speichern geklickt und seitdem ist Ende mit diesen 5 min meine PC IP gebannt haben Meldungen.
    Sofern du ein minderbefugtes Konto zusätzlich zum admin Konto auf deiner NAS hast und das unter win hinterlegst, musst du evt noch drauf achten, per NAS Admin die Zugriffsbefugnis auf jenen gewünschten Datei Platzierungs Ordner frei zu geben..

    Woher kommen diese Login Versuche überhaupt? Ich habe nämlich schon die DynDNS gewechselt aber die Login Versuche hören nicht auf. Auch mit bestimmten Benutzern die nicht admin, anonymous oder irgendwelche Standard Benutzer sind habe ich Login Versuche und diese User kenne eigentlich nur ich.