Verdächtige Zugriffe

[bastelheini]

Schönes Beispiel, warum man auf Portforwarding verzichten sollte... Das PDF zeigt schon, dass deine IP bzw der DynDNS-Eintrag irgendwo kursiert oder sogar jemand über ein Bot-Netzwerk da irgendwas versucht. Verschiedene IPs und kleine zeitliche Abstände sind üblich, um in einfachen IDS nicht aufzufallen. Das könnten die üblichen Versuche sein, mit Username+Passwort Kombinationen reinzukommen (z.b. "admin" (passt ja schon) und den supersicheren Passwötern "123456" usw) oder gezielte Angriffe auf Schwachstellen der verwendeten Software (OpenSSL, den Webserver dahinter usw). Bei letzterem wirds eben bitter, wenn man durchkommt (was bei idR schlecht gepatchten Appliances schnell der Fall ist), denn wenn man dann auf dem System ist, ist man idR im Netzwerk und von da hopst man weiter. Was da genau reinkommt, könntest du sehen, wenn du die Requests auf einen Raspi leiten und mitloggen kannst.

(19-02-2021 16:01)ssb-security schrieb:  Nachtrag: Du solltest auch mal die DNS im Router ändern, weil das pdf auf gezielte Angriffe schließen lässt. Mach am besten folgendes: Statt Port 443 nimm z.B. den Port 10487,

Du meinst den externen Port, nicht DNS. DNS ist was anderes...