Hallo zusammen,
Ich möchte mal in die Runde fragen ob ich ein allgemeines oder evtl. sogar Sicherheitsproblem habe.
Auf dem produktiven NAS1 (TS-453A) ist, auch nach einem reboot gestern, permanent ein admin user (http) eingeloggt:
(hier seit knapp 17 Stunden - da hatte ich mal eine reboot durchgeführt)
Auf dem 2. NAS (TS-431) ist das nicht der Fall
Malwareremover mal durchlaufen lassen. Der sagt "alle ok".
Gibt es für diesen permanenten connect dieses admin users irgendeine Erklärung? Bzw. kann ich nachprüfen woher der Connect kommt? Evtl. habe ich ja etwas im Netz was ich verkonfiguriert habe. Apache logs finde ich leider keine.
Beide laufen mit der 4.3.3 im Profil
Danke schon einmal und Gruß
Ich habe mal ein wenig im Interweb gesucht was ich bzgl. der http Verbindungen so an Informationen bekommen kann. Viel schlauer bin ich nicht, jedoch sind die Unterschiede auch dort zu sehen:
Hier das 'normale' NAS (431)
[~] # netstat -an | grep :80 | sort
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:50345 127.0.0.1:8080 TIME_WAIT
udp 0 0 255.255.255.255:8097 0.0.0.0:*
udp 8384 0 255.255.255.255:8097 0.0.0.0:*
[~] #
und hier das 453A wo ich den komischenPort 80 admin (Zeile 7) vermute (453A)
[~] # netstat -an | grep :80 | sort
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8080 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:8081 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:46386 127.0.0.1:8080 TIME_WAIT
tcp 0 0 127.0.0.1:46436 127.0.0.1:8080 TIME_WAIT
tcp 0 0 192.168.178.26:53749 52.222.168.176:80 TIME_WAIT
udp 0 0 255.255.255.255:8097 0.0.0.0:*
udp 2304 0 255.255.255.255:8097 0.0.0.0:*
[~] #
52.222.168.xxx ist cloudfront - die IP ändert sich übrigens auch. Der Port liest sich jetzt nicht so fischig wie gedacht. Wobei ich da einfach zu wenig Ahnung hab.
Irgendjemand eine Idee?!