Logwatch - Vom eigenen Netzwerkrouter getestet?

1313
sealz

Ich hatte ein bisschen Spaß mit Apache, der auf einem Ubuntu-Server läuft. Es ist als globaler Webserver eingerichtet und gibt einige Dateien frei, auf die ich überall zugreifen kann. Ich verwende es auch, um sich mit meiner Musik zu verbinden und sie über mein Android-Handy abzuspielen, wenn Sie nicht in meinem Haus sind. Es enthält auch Freigaben, die nur für mein lokales Netzwerk sichtbar sind.

Ich habe vor einigen Wochen Logwatch eingerichtet und mir jeden Morgen Protokolle per E-Mail schicken lassen. Hin und wieder sehe ich das in meinen Protokollen (oder etwas sehr ähnlichem).

Attempts to use known hacks by 1 hosts were logged 3 time(s) from: <Routers local IP Address>: 3 Time(s) 

Logwatch zeigt keine erfolgreichen Versuche und ich bin mir ziemlich sicher, dass ich nicht wirklich gehackt werde. Aber was würde dazu führen, dass die lokale IP-Adresse meines Routers in logwatch als Bedrohung angezeigt wird?

Ist es heimlich, mich zu ruinieren O-o?

Nur ein paar andere Neuigkeiten über das Netzwerk:

  1. Mein Router verbirgt mein Heimnetzwerk hinter einem NAT
  2. Ich entwickle auf Android und stelle Verbindungen über den Emulator in Eclipse sowie von meinem Telefon her her.
  3. Sowohl mein Telefon als auch Heim-PCs stellen eine Verbindung zur Webfreigabe her, um Musik zu streamen und Dateien herunterzuladen (global und lokal).

Ich kann nicht genau feststellen, was dies verursacht.

  • Schlechter Android-Code?
  • Die Tatsache, dass der Server lokal und global gemeinsam genutzt wird?
  • Zugriff über ein Zellennetzwerk?

EDIT: Mehr über meine Architektur

Mein Heimnetzwerk befindet sich hinter meinem NAT-Router (die lokale IP-Adresse des Routers ist .1). Ich habe einen Laptop und einen Desktop, die statische IPs haben. Mein Desktop kann drahtlos und verkabelt werden. Ich habe auch eine Wii, die eine Verbindung herstellt, wenn sie online gehen muss usw. Nachfolgend sehen Sie die Tabelle meines Routers, die anzeigt, was verbunden ist.

.2 <MAC ADDRESS> expired (This is my Desktops Wireless Conn.) .3 <MAC ADDRESS> Forever (This is my laptop) .4 <MAC ADDRESS> Forever (This is my Desktop Wired Conn.) .8 <MAC ADDRESS> Forever (This is my Wii) .5 <MAC ADDRESS> Forever (This is my phone) 

Ich habe alle MAC-Adressen mit einem Gerät in meiner Wohnung abgeglichen.

Ich habe mir auch die Protokolle angesehen, die der Router aufzeichnet (zu lange zu posten), aber die einzigen IPs dort sind die von Geräten in meinem Haus.

Bearbeiten: Weitere Router-Informationen

  • EnGenius ESR9850
  • NAT ist aktiviert
  • Router-Firewall ist aktiviert
  • Der Router stellt zwei verschiedene SSIDs zur Verfügung (dies sollte jedoch kein Problem verursachen)
  • Der Router hat Portweiterleitung und leitet Port 80 an einen Port mit einer höheren Nummer weiter und leitet ihn an den Server um .6 weiter.
  • Der Router lässt nur IPs von .2 - .10 zu, um eine Verbindung herzustellen.
  • Der Router und jede SSID sind passwortgeschützt (alle verschiedenen Passwörter)

Bearbeiten: Einen weiteren Hackversuch erhalten

Heute habe ich folgendes erhalten

Attempts to use known hacks by 1 hosts were logged 1 time(s) from: X.X.X.X: times(1)  A total of 1 sites probed the server X.X.X.X 

Die angegebene IP-Adresse ist eindeutig eine globale IP-Adresse und nicht die meines Routers.

Aus den Antworten unten schien es, dass ich die IP des Routers nur als "Hacker" sehen würde. Wie kommt es, dass in diesem Fall eine globale IP angezeigt wird.

Hinweis: Diese globale IP-Adresse ist weder die globale IP-Adresse meines NAT noch die globale IP-Adresse meines Smartphones.

2

1 Antwort auf die Frage

5
harrymc

Da Ihr Server für das Internet geöffnet ist, ist er auch für Angriffe offen. Dies ist meiner Meinung nach der Fall. Die externe IP-Adresse Ihres Routers befindet sich in einem Adressensegment des Internets, das von einem oder mehreren infizierten Computern überprüft wird, die bekannte Exploits verwenden.

Die Angriffe auf Ihren Computer scheinen vom Router zu kommen, da sich der Router zwischen Ihnen und dem Internet befindet:

Bild

Die Angriffe erfolgen über TCP / UDP-Ports, die Sie im Router an Ihren Computer weitergeleitet haben, so dass jeder Verbindungsversuch dieser geöffneten Ports zur externen IP-Adresse Ihres Routers tatsächlich in einen Verbindungsversuch des Routers mit Ihrem Computer umgewandelt wird. der Router fungiert in diesem Fall als Agent für den externen Angreifer.

Wenn Sie angegriffen werden, ist es ratsam, Ihre Sicherheit zu verbessern.

In den LQ-Sicherheitsreferenzen finden Sie eine überwältigende Liste möglicher Maßnahmen zum Schutz Ihrer Linux-Box. Für Sie besonders interessant ist die SSH-Sektion am Ende.

Es gibt viele andere Artikel zu diesem Thema im Internet. Einige davon wären nützlich:

10 Tipps zum Sichern Ihres Apache-Webservers unter UNIX / Linux-
Sicherheitstipps - Apache HTTP Server

Danke für die Links, die ich bereits verwendet habe. Ich hätte sagen sollen, dass ich den Server gehärtet habe, bevor ich die Frage gestellt habe. Aber warum sollte der Angreifer als meine lokale IP-Adresse (der Router) und nicht als eine andere globale IP-Adresse angezeigt werden? Dies sind auch die einzigen Daten, die sich auf den "Hack-Versuch" beziehen. +1 für die Antwort! Vielen Dank! sealz vor 12 Jahren 0
Damit Ihr Telefon über das Internet eine Verbindung zu Ihrem Computer herstellen kann, müssen Sie einen Port weitergeleitet haben, der ihn für Angriffe aus dem Internet geöffnet hat. Ihr Computer hat den Eindruck, dass er vom Router kommt, da das NAT-Routing des Routers bedeutet, dass er zwei Verbindungen handhabt: mit dem ISP über Ihre externe IP-Adresse und mit Ihrem Computer mit seiner eigenen internen IP-Adresse und der Übertragung der Daten von einem zum anderen. So gelangen Internetverbindungen auf dem geöffneten Port mit der IP des Routers zu Ihrem Computer. harrymc vor 12 Jahren 0
... was auch bedeutet, dass Produkte wie Fail2Ban für Sie unbrauchbar sind. Was auch immer Blacklisting ist, muss im Router erfolgen. harrymc vor 12 Jahren 0
Ja, ich leite den Hafen weiter. Wenn ich mir die IP-Adressen anschaue, die eine Verbindung zum Router hergestellt haben, sind nur die IP-Adressen von meinen Heim-PCs vorhanden und die, die mit meinem Telefon verbunden sind. Könnte mein Telefon aus irgendeinem Grund für den Router als schlecht angesehen werden? sealz vor 12 Jahren 0
Könnten Sie einige weitere Informationen zu Ihrer Architektur und den angezeigten IPs hinzufügen? Alles, was ich wirklich habe, sind Vermutungen. harrymc vor 12 Jahren 0
Bearbeitet, um weitere Informationen hinzuzufügen sealz vor 12 Jahren 0
Benötigen Sie weitere Informationen darüber, welche IP Sie an welchem ​​Port angreift, welche Ports Sie öffnen usw. harrymc vor 12 Jahren 0
Die einzige Information in logwatch ist, was in der Frage angegeben wurde. Es sagt nur, dass meine Router ip (.1) mehrfach einen bekannten Hack X versucht haben. Es gibt keine Informationen außer dem. Ich habe die Empfindlichkeit von logwatch ein paar Tage nachdem ich die Frage gepostet habe erhöht, aber ich wurde nicht wieder "angegriffen". Ich werde weitere Informationen posten, wenn etwas angezeigt wird. Wenn es sich um einen anderen Computer handelt, würde sein MAC nicht in der Tabelle aufgeführt, die ich gepostet habe? sealz vor 12 Jahren 0
Der MAC wird nirgendwo anders als im Router aufgeführt, da der externe Computer mit Ihrem Router verbunden ist, niemals direkt mit Ihrem Computer. Siehe zum Beispiel [diesen NAT-Artikel] (http://www.howstuffworks.com/nat.htm). harrymc vor 12 Jahren 0
Ja, dieser Tisch war von meinem Router. Die MAC-Adresse eines anderen Geräts / Geräts außer dem, was ich besitze, ist im Router aufgeführt. Das würde also bedeuten, dass eines meiner Geräte etwas unternimmt, um einen Angriff oder ein falsch positives Ergebnis zu erzielen? sealz vor 12 Jahren 0
Ich rate Ihnen, den oben genannten NAT-Artikel sorgfältig zu lesen (http://www.howstuffworks.com/nat.htm). [Dieser Artikel] (http://www.9tut.com/network-address-translation-nat-tutorial) wird auch helfen. Ich glaube, der Angriff kommt von außerhalb Ihres Netzwerks und von einem Gerät, das sich nicht in der MAC-Geräteliste befindet (da es sich nicht in Ihrem Heimnetzwerk befindet). Der Router ist nur die Pipe, durch die der Angriff aus dem Internet kommt. harrymc vor 12 Jahren 0
Die Tabelle ist nicht belegt, bis etwas eine Verbindung herstellt. Zum Beispiel mein Telefon. Er befindet sich nicht im Router, aber sobald er mit dem Server (im Netzwerk) verbunden ist, wird sein MAC in dieser Tabelle registriert. Würde nicht ein anderes Gerät von außen dasselbe tun? Ich werde die Links nochmal danke lesen! ... Dann wieder, es sei denn, das Telefon hat sich nur in der Tabelle registriert, wenn ich eine WLAN-Verbindung hergestellt habe. Wie ich schon sagte, werde ich die Links lesen :) sealz vor 12 Jahren 0
Ich habe die Prämie bearbeitet und werde sie vergeben, wenn Sie dies für mich verstehen können. Heute erhielt ich einen Eintrag, dass ein bekannter Hack 1 Mal von XXXX versucht wurde. Die angegebene IP-Adresse ist eine globale IP-Adresse, nicht die IP-Adresse des Routers. Warum sollte es diesmal als global erscheinen, aber andere Angriffe von außen würden als IP des Routers erscheinen? sealz vor 12 Jahren 0
Könnten Sie bitte die Werte von XXXX und die externe IP Ihres Routers und dessen Marke angeben? harrymc vor 12 Jahren 0
Die Portweiterleitung funktioniert für eingehende und ausgehende Nachrichten unterschiedlich. Dies wird durch das Protokoll zusätzlich erschwert. Normalerweise ändert die Portweiterleitung jedoch nur die Ziel-IP-Adresse, nicht die Quell-IP-Adresse. Abhängig vom Typ / Protokoll des Angriffs wird also entweder die reale globale IP des Angreifers oder die interne IP Ihres Routers angezeigt. Ihr [Router-Handbuch] (http://www.engeniustech.com/resources/ESR9850_User_manual.pdf) hat auch "Portmapping" und "Portweiterleitung", und ehrlich gesagt glaube ich nicht, dass der Autor den Unterschied verstanden hat (also ich nicht auch) harrymc vor 12 Jahren 0
... Dies hängt auch vom Router ab und davon, wie nahe die Firmware implementiert wurde. Eine gute Erläuterung des Standards finden Sie möglicherweise in der Anleitung eines anderen Routers (http://documentation.netgear.com/wnr834b/deu/202-10171-01/WNR834B_UM-07-02.html). harrymc vor 12 Jahren 0
Danke, also irgendetwas macht irgendwo irgendwo einfach einen einfachen Scan-Hack oder so, und es ist nicht etwas, das ich innerlich nicht mache, um es loszulassen? Da es nur ein bis drei Versuche gibt und es keine Anzeichen für einen erfolgreichen Angriff gibt, scheint es nichts Besorgniserregendes zu sein. Das Beste, was ich tun kann, ist, diese IPs zu blockieren und zu sehen, was ich sonst tun kann, um den Server zu härten? sealz vor 12 Jahren 0
Ja, das ist richtig. Sie können auch versuchen, die Firewall-Einstellungen des Routers zu schützen und die Portweiterleitung so einschränkend wie möglich zu gestalten. harrymc vor 12 Jahren 0
Vielen Dank, ich hatte einige der Links, die Sie zuvor gepostet haben, gesehen, werde aber nach weiteren Informationen suchen. Vielen Dank, dass Sie alles erklärt haben. Es ist einfacher, das System zu härten, wenn Sie genau wissen, was los ist. Ich werde diese Frage eine Weile sitzen lassen, falls andere Sie mehr Wiederholungen belohnen wollen, dann gebe ich Ihnen die Prämie. Nochmals vielen Dank für die Hilfe. sealz vor 12 Jahren 0