FTP-Zugriffsversuch von IP des Routers

RockNLol

Lieutenant
Registriert
Aug. 2008
Beiträge
814
hi,
hab einen FTP-Server auf einem meiner PCs laufen, und im Log von heute folgendes gefunden:

(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> Connected on port 21, sending welcome message...
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 220 Willkommen
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> USER admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 331 Password required for admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> PASS ********
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 530 Login or password incorrect!
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> USER admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 331 Password required for admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> PASS *****
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 530 Login or password incorrect!
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> USER admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 331 Password required for admin
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> PASS ********
(000088)15.01.2017 17:43:40 - (not logged in) (192.168.1.1)> 530 Login or password incorrect!
(000088)15.01.2017 17:43:41 - (not logged in) (192.168.1.1)> USER admin
(000088)15.01.2017 17:43:41 - (not logged in) (192.168.1.1)> 331 Password required for admin
(000088)15.01.2017 17:43:42 - (not logged in) (192.168.1.1)> PASS ******
(000088)15.01.2017 17:43:42 - (not logged in) (192.168.1.1)> 421 Temporarily banned for too many failed login attempts
(000088)15.01.2017 17:43:42 - (not logged in) (192.168.1.1)> disconnected.

192.168.1.1 ist mein Netgear Nighthawk R7000 auf dem DD-WRT r28882 läuft.

Erst habe ich vermutet, dass das ein WLAN-Client war. Die werden allerdings mit ihrer korrekten IP im Log angezeigt. Der Zugriff kam also wirklich vom Router. Da die Abfragen so schnell hintereinander kamen scheint das ein Skript gewesen zu sein.
Habe erstmal das Routerpasswort geändert.
Habt ihr eine Ahnung was hier los ist?
 
Standard Skripte die nach typischen FTP und SSH Verbindungen suchen und durchprobieren um Geräte zu infizieren.
 
aber wie kann so ein Skript von meiner Router-IP aus agieren? Das Skript muss ja dann auf meinem Router gelaufen sein oder?
 
ist ein port-forwarding konfiguriert? was sagt "iptables -L -n" und "iptables -L -n -t nat"?
 
An NAT-Loopback hab ich gar nicht gedacht, das muss es wohl sein. Also kann es eigentlich jeder Client in meinem Netz sein. Lässt sich das irgendwie zurückverfolgen welcher client das war?

Portforwardings sind eben für FTP und VPN auf meinen Server konfiguriert.
 
Zuletzt bearbeitet:
Ist der FTP-Server von außerhalb deines LANs erreichbar? Hast du für den z.B. ein IP-Forward im Router eingestellt?
 
VPN -> du tunnelst zu dir selber durch und der Angreifer sitzt doch draussen

Weis nicht warum Leute so gerne VPN benutzen und damit ihre Firewall ausschalten ?
 
Übeltäter identifiziert, Trojaner auf dem alten Rechner den mein Mitbewohner zum Netflixgucken verwendet.
 
Zurück
Oben