Router wird ständig angegriffen --> Sic herheit
Stefan Schmidt
versuchen, meinen Router auf irgendeinen Port anzusprechen. Also z.B.
folgendes:
Jul 14 18:35:53 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=64156 F=0x4000 T=114
SYN (#10)
Jul 14 18:35:50 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=38014 F=0x4000
T=103 SYN (#10)
Jul 14 18:35:47 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=63298 F=0x4000 T=114
SYN (#10)
Jul 14 18:35:44 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=37913 F=0x4000
T=103 SYN (#10)
Jul 14 18:35:41 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=37807 F=0x4000
T=103 SYN (#10)
Ist dies normal oder muss ich mir ernsthaft sorgen machen?
Kann mir vielleicht jemand die obige Meldung näher erläutern? Ich
entnehme daraus, dass mein Router irgendeinen Verbindungsaufbau von
außen abgewiesen hat.
Kann man eigentlich die Connections zu entfernten Computern irgendwie
mitloggen, also in eine *.log-Datei schreiben lassen, sodass man genau
abrufen kann, zu welchem Zeitpunkt eine Verbindung zum jeweiligen
Computer bestand?
Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
fli4l-Router generell ist. Ist es zum Beispiel schwierig für einen
Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang herauszufinden?
Danke schon mal für die Beantwortung meiner Fragen...
Ralf Zilian
> Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
> fli4l-Router generell ist. Ist es zum Beispiel schwierig für einen
> Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang herauszufinden?
Du willst doch wohl nicht von außen über Telnet auf deinen Router
zugreifen? Dafür würde ich SSH nehmen und als Software für deinen Client
entweder Putty oder WinSCP.
Gruß Ralf
--
Wer einen Computer hat, hat probleme.
Wer keinen Computer hat, hat keine probleme.
Die i-mehl ist aktuell und funktioniert.
Alle Mails die größer 48 kByte sind werden automatisch gelöscht.
Joerg Hoh
> Ich erhalte unter Syslog ständig irgendwelche Mitteilung, dass Rechner
> versuchen, meinen Router auf irgendeinen Port anzusprechen. Also z.B.
> folgendes:
>
> Jul 14 18:35:53 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=64156 F=0x4000 T=114
> SYN (#10)
> Jul 14 18:35:50 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=38014 F=0x4000
> T=103 SYN (#10)
> Jul 14 18:35:47 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=63298 F=0x4000 T=114
> SYN (#10)
> Jul 14 18:35:44 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=37913 F=0x4000
> T=103 SYN (#10)
> Jul 14 18:35:41 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 216.228.205.228:3136 217.186.189.40:445 L=48 S=0x00 I=37807 F=0x4000
> T=103 SYN (#10)
>
>
> Ist dies normal oder muss ich mir ernsthaft sorgen machen?
> Kann mir vielleicht jemand die obige Meldung näher erläutern? Ich
> entnehme daraus, dass mein Router irgendeinen Verbindungsaufbau von
> außen abgewiesen hat.
Nicht weiter tragisch. Da versucht irgendwas (Skript-Kiddie,Wurm,
whatever) einen Windows-Dienst auf Port 445 zu erreichen (war das nicht
RPC?)
> Kann man eigentlich die Connections zu entfernten Computern irgendwie
> mitloggen, also in eine *.log-Datei schreiben lassen, sodass man genau
> abrufen kann, zu welchem Zeitpunkt eine Verbindung zum jeweiligen
> Computer bestand?
Ja, geht, aber die Auswertung ist ein wenig schwierig; die Datenmengen
können Festplatten leicht in ein Platzproblem treiben.
> Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
> fli4l-Router generell ist. Ist es zum Beispiel schwierig für einen
> Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang herauszufinden?
Kommt drauf, ob sie so einfach sind wie "12345" oder "hallo". Es gibt im
Netz mehr als eine Seite, die sich mit sicheren Passwörtern befasst.
Gruß
Jörg
--
Fachbegriffe der Informatik (Nr 248): Virenwarnung
- MS Outlock wird mal wieder getestet.
Manfred Worm Schäfer
Jörg W Mittag
> Stefan Schmidt schrieb
>> Ich erhalte unter Syslog ständig irgendwelche Mitteilung, dass Rechner
>> versuchen, meinen Router auf irgendeinen Port anzusprechen. Also z.B.
>> folgendes:
>>
>> Jul 14 18:35:53 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
>> 209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=64156 F=0x4000 T=114
>> SYN (#10)
> whatever) einen Windows-Dienst auf Port 445 zu erreichen (war das nicht
> RPC?)
Port 445 ist DirectSMB, also CIFS/SMB über TCP/IP ohne Umweg über
NetBIOS/NetBEUI.
jwm
--
Eterm-0.9.2% ./configure
checking for life_signs in -lKenny... no
Oh my god, they killed Kenny! You bastards!
rene reckschwardt
> Jul 14 18:35:53 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
> 209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=64156 F=0x4000 T=114
> SYN (#10)
Das ist ganz normal, schalt das logging ab.
> abrufen kann, zu welchem Zeitpunkt eine Verbindung zum jeweiligen
> Computer bestand?
Warum willst du das Nachvollziehen können? Außerdem wurde die Verbindung
zum andern Computer abgelehnt.
> Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
> fli4l-Router generell ist.
sehr sicher, wenn er richtig konfiguriert ist.
> Ist es zum Beispiel schwierig für einen
> Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang
herauszufinden?
Wenn du _wirklich_ vorhast, von außen httpd-,ftp- oder telnet-Zugang zu
erlauben, brauchst du keinen Router, klemme das Modem an die Windoofbüchse.
spart Strom und nerven.
ré
Frank Zavelberg
wrote:
>Ich erhalte unter Syslog ständig irgendwelche Mitteilung, dass Rechner
>versuchen, meinen Router auf irgendeinen Port anzusprechen.
Nicht nur Du. :-)
>Jul 14 18:35:53 fli4l kernel: Packet log: input REJECT ppp0 PROTO=6
>209.215.1.119:3908 217.186.189.40:445 L=48 S=0x00 I=64156 F=0x4000 T=114
>SYN (#10)
[...]
Das sind typische Wurm-Ports. Connectversuche von außen auf
137-139,445 stammen von den derzeit massiv grassierenden
Windows-Würmern. Kannst Du auf dem fli getrost ignorieren.
>Ist dies normal oder muss ich mir ernsthaft sorgen machen?
Solang Du die betreffenden Ports nicht zu einem ungepatchten Windows
forwardest, nein. :-)
>Kann mir vielleicht jemand die obige Meldung näher erläutern? Ich
>entnehme daraus, dass mein Router irgendeinen Verbindungsaufbau von
>außen abgewiesen hat.
Genau, die Firewall hat ein Paket REJECTed.
>Kann man eigentlich die Connections zu entfernten Computern irgendwie
>mitloggen, also in eine *.log-Datei schreiben lassen, sodass man genau
>abrufen kann, zu welchem Zeitpunkt eine Verbindung zum jeweiligen
>Computer bestand?
Ich kann jetzt im Moment nur für fli 2.1.x sprechen, das IPTABLES
verwendet. Da kannst Du Logging-Regeln auch für akzeptierte Pakete
eintragen, so daß auch erlaubte Verbindungsaufbau-Vorgänge geloggt
werden. Genaue Syntax muß ich mal rauskramen.
--
Gruß, Frank
Stefan Krister
Hi Stefan,
Stefan Schmidt schrieb am 14.07.2004 18:52:
>
> Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
> fli4l-Router generell ist. Ist es zum Beispiel schwierig für einen
> Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang herauszufinden?
Zeige mir Deine c:\fli4l\img\rc.cfg (Passwörter aus-x-en) per Mail
(nicht hier!) und ich sage Dir, wie sicher Dein Fli4l ist.
Erst gestern ist es mir wieder gelungen, einen offenen Fli4l zu
entdecken. Ein verwurmter Win-PC hinter einem Fli4l hat mich mit einer
Wurmmail beglückt. Ein Portscan auf die sendende IP ergab einen offenen
Port 80 mit laufendem mini-httpd. Ansich noch nicht problematisch - aber:
Der mini-httpd hatte eine Sicherheitslücke, die dazu führt, daß man sich
_alle_ Dateien auf dem Fli4l ansehen kann. Somit konnte ich auf alle
Einstellungen und Passwörter Zugriff nehmen.
Über seine T-Online-Nummer und das Impressum auf der Kundenwebseite
erhielt ich die postalische Anschrift und seine Mailadresse.
Fli4l ist, wenn richtig konfiguriert und sparsam mit Diensten
ausgestattet, sicher. Andererseits können wir nur dann Löcher stopfen,
wenn sie uns bekannt sind. Es ist durchaus möglich, daß in den
verwendeten Serverdiensten noch weitere Löcher stecken. Deshalb gibt es
den Grundsatz, keine Dienste auf dem Router laufen zu lassen - wo nix
läuft, ist nichts angreifbar.
Ftp ist eh böse[tm]. Und telnet macht man nicht im Internet, da
unverschlüsselt - selbst das Passwort beim Login kann man mitsniffen.
Nimm lieber ssh, das verschlüsselt. So nebenbei kann ssh mittels scp
(oder winscp) auch Dateien übertragen - das ist wesentlich sicherer als ftp.
MfG
Stefan Krister
[fli4l/eisfair-Team]
--
Easy Router: http://www.fli4l.de.
Easy Server: http://www.eisfair.org - den gibt's auch mit DSL.
Stefan Schmidt
>
> Hi Stefan,
>
> Stefan Schmidt schrieb am 14.07.2004 18:52:
>
>>
>> Und allgemein hätte ich gerne eine Abschätzung, wie sicher der
>> fli4l-Router generell ist. Ist es zum Beispiel schwierig für einen
>> Hacker, meine Passwörter zum httpd-,ftp- oder telnet-Zugang
>> herauszufinden?
>
>
> Zeige mir Deine c:\fli4l\img\rc.cfg (Passwörter aus-x-en) per Mail
> (nicht hier!) und ich sage Dir, wie sicher Dein Fli4l ist.
>
> Erst gestern ist es mir wieder gelungen, einen offenen Fli4l zu
> entdecken. Ein verwurmter Win-PC hinter einem Fli4l hat mich mit einer
> Wurmmail beglückt. Ein Portscan auf die sendende IP ergab einen offenen
> Port 80 mit laufendem mini-httpd. Ansich noch nicht problematisch - aber:
Sind eigentlich solche Portscans auf Port 80 legal?
Wie kann denn der Port überhaupt von außen offen sein, wenn
standardmäßig beim fli4l der Port über die Firewall-Einstellung auf
REJECT steht?
Johannes Karl
Am Thu, 15 Jul 2004 11:48:21 +0200, hat Stefan Schmidt hier geschreiben:
>> Zeige mir Deine c:\fli4l\img\rc.cfg (Passwörter aus-x-en) per Mail
>> (nicht hier!) und ich sage Dir, wie sicher Dein Fli4l ist.
>>
>> Erst gestern ist es mir wieder gelungen, einen offenen Fli4l zu
>> entdecken. Ein verwurmter Win-PC hinter einem Fli4l hat mich mit einer
>> Wurmmail beglückt. Ein Portscan auf die sendende IP ergab einen offenen
>> Port 80 mit laufendem mini-httpd. Ansich noch nicht problematisch - aber:
>
> Sind eigentlich solche Portscans auf Port 80 legal?
> Wie kann denn der Port überhaupt von außen offen sein, wenn
> standardmäßig beim fli4l der Port über die Firewall-Einstellung auf
> REJECT steht?
Indem man die Firewallregeln ändert oder die FW abschaltet. Bei mir ist
Port 80 offen aber da läuft ein Webserver hinter (nicht auf dem Router),
also musste ich das ändern.
Portscans sind doch nicht verboten...das ist das selbe als würdest du bei
Google etwas suchen meiner Meinung nach. Ich seh ja nur immer soviel wie
mich der User sehen lassen will. Weitere Aktionen, wie mit diesen Daten in
das System einsteigen etc. sind natürlich nicht erlaubt, es seidenn der
User hat keine Passwörter und so gesetzt, weil man dann ja keine
Sicherheitsrichtlinien umgehen muss. Aber ich lasse mich gerne eines
besseren belehren :-)
--
MfG Johannes
Access-FAQ: www.donkarl.com
Ralf Zilian
> Portscans sind doch nicht verboten...das ist das selbe als würdest du bei
> Google etwas suchen meiner Meinung nach.
Ein Portscan ist wie das Klingeln an der Haustür das AFAIK auch nicht
verboten ist (Drücker usw.).
Florian Bischoff
Da habe ich doch gleich noch eine Frage dazu: In der 2.1.7ner Version
sind doch standartmässig alle Ports von außen dicht..oder hab ich da was
mißverstanden??
Johannes Karl
Am Fri, 16 Jul 2004 03:27:53 +0200, hat Florian Bischoff hier geschreiben:
> Da habe ich doch gleich noch eine Frage dazu: In der 2.1.7ner Version
> sind doch standartmässig alle Ports von außen dicht..oder hab ich da was
> mißverstanden??
Nein...du musst die Ports in der FW freigeben, was IMO erheblich schöner
ist. Ports die geforwardet werden müssen nicht freigegeben werden, aber
dazu mehr in den Dokus...
--
MfG Johannes
Matthias Mickler
> Ports die geforwardet werden müssen nicht freigegeben werden, aber
> dazu mehr in den Dokus...
Jetzt bin ich neugierig... wo steht denn das?
--
Tschöö
Matthias :)
Antworten bitte nur in die Newsgroup!
Pflicht-Lektüre: http://pamer.net/usenet/
Florian Bischoff
Das ist mir bekannt ^_^ aber ich hab ja auch nicht von geforwardeten
Port geredet...
Thilo Gass
[2.1.7]
>> Ports die geforwardet werden müssen nicht freigegeben werden, aber
>> dazu mehr in den Dokus...
>
> Jetzt bin ich neugierig... wo steht denn das?
Mein Tipp: Doku ;-)
--
Gruss
Thilo
Johannes Karl
Am Fri, 16 Jul 2004 10:13:08 +0200, hat Florian Bischoff hier geschreiben:
>>>Da habe ich doch gleich noch eine Frage dazu: In der 2.1.7ner Version
>>>sind doch standartmässig alle Ports von außen dicht..oder hab ich da was
>>>mißverstanden??
>> Nein...du musst die Ports in der FW freigeben, was IMO erheblich schöner
>> ist. Ports die geforwardet werden müssen nicht freigegeben werden, aber
>> dazu mehr in den Dokus...
> Das ist mir bekannt ^_^ aber ich hab ja auch nicht von geforwardeten
> Port geredet...
Wollte das dir nur ma so mit auf den Weg geben ;-) und dich nicht für blöd
verkaufen...sorry
--
MfG Johannes
Frank Zavelberg
<eineh...@hotmail.com> wrote:
>Das ist mir bekannt ^_^ aber ich hab ja auch nicht von geforwardeten
>Port geredet...
Korrekt, in der 2.1.x werden Ports nicht mehr explizit gesperrt,
sondern explizit freigegeben für Zugriff von außen auf den fli-Rechner
(iptables -A INPUT).
Unabhängig davon ist aber in der Tat im LAN alles erlaubt, und
geforwardete Ports werden automatisch freigegeben (iptables -A
FORWARD).
--
Gruß, Frank
Matthias Mickler
> >> Ports die geforwardet werden müssen nicht freigegeben werden, aber
> >> dazu mehr in den Dokus...
> > Jetzt bin ich neugierig... wo steht denn das?
> Mein Tipp: Doku ;-)
Ach, das konnte ich dem Posting gerade so auch entnehmen... ;-)
Aber wo? Zitat? Qelle? Rubrik? Abschnitt? Absatz?
Meine Suche blieb erfolglos... :-)
Johannes Karl
Am Fri, 16 Jul 2004 12:16:01 +0200, hat Matthias Mickler hier geschreiben:
> Ach, das konnte ich dem Posting gerade so auch entnehmen... ;-)
>
> Aber wo? Zitat? Qelle? Rubrik? Abschnitt? Absatz?
> Meine Suche blieb erfolglos... :-)
Schonma nen Anlaufpunkt:
http://www.fli4l.de/german/extern/doku/unstable/node14_mn.html
--
MfG Johannes
Jean Wolter
> Hallo Thilo,
>
> > >> Ports die geforwardet werden müssen nicht freigegeben werden, aber
> > >> dazu mehr in den Dokus...
> > > Jetzt bin ich neugierig... wo steht denn das?
>
> > Mein Tipp: Doku ;-)
>
> Ach, das konnte ich dem Posting gerade so auch entnehmen... ;-)
>
> Aber wo? Zitat? Qelle? Rubrik? Abschnitt? Absatz?
> Meine Suche blieb erfolglos... :-)
Irgendwie musst Du die falsche Doku lesen. Das steht klar und deutlich
an der Stelle, wo es hingehört, nämlich bei der Variablen, mit der man
einen Port aufmachen kann.
Mfg,
Jean
Matthias Mickler
> Irgendwie musst Du die falsche Doku lesen.
Das glaub ich auch mittlerweile... LÖL
> Das steht klar und deutlich
> an der Stelle, wo es hingehört, nämlich bei der Variablen, mit der man
> einen Port aufmachen kann.
Danke dir!! :-)
Matthias Mickler
> http://www.fli4l.de/german/extern/doku/unstable/node14_mn.html
Das hab ich heute mittag 3 Stunden studiert wegen der config meiner
firewall beim WLAN-VPN... ;-)
Florian Bischoff
So hab ich das nicht aufgefasst, sonst hätte ich den Smilie weggelassen
^_^ kein Problem... ich war nur etwas unsicher geworden..hatte in
letzter Zeit viel streß und konnte mich nicht richtig
konzentrieren...deswegen bin ich eben selbst ins Wanken geraten und
hatte für einen kuren Moment die Schrecksekunde: ist mein Router etwa
soooo offen???
^_^
ist aber vorbei...