लॉगवाच - खुद के नेटवर्क राउटर द्वारा जांच की जा रही है?

2

मुझे अपाचे के साथ उबंटू सर्वर पर चलने में कुछ मज़ा आ रहा है। यह एक वैश्विक वेब सर्वर के रूप में स्थापित है और कुछ फाइलें साझा करता है जिन्हें मैं कहीं भी एक्सेस कर सकता हूं। मैं इसे अपने संगीत से कनेक्ट करने और अपने घर से दूर जाने पर अपने एंड्रॉइड फोन के माध्यम से खेलने के लिए भी उपयोग कर रहा हूं। इसमें वे शेयर भी हैं जो केवल मेरे स्थानीय नेटवर्क पर दिखाई देते हैं।

मैंने कुछ सप्ताह पहले लॉगवॉच सेट किया और मुझे हर सुबह ईमेल के जरिए लॉग भेजा। हर अब और फिर मैं इसे अपने लॉग्स (या कुछ इसी तरह) में देख रहा हूं।

Attempts to use known hacks by 1 hosts were logged 3 time(s) from:
   <Routers local IP Address>: 3 Time(s)

लॉगवॉच से पता चलता है कि कोई सफल प्रयास नहीं किया गया था और मुझे पूरा यकीन है कि मैं वास्तव में हैक नहीं किया जा रहा हूं। लेकिन एक खतरे के रूप में लॉगआउट में मेरे रूटर्स लोकल आईपी एड्रेस का क्या कारण होगा?

क्या यह चुपके से मुझे बर्बाद करने के लिए है O-o?

नेटवर्क के बारे में कुछ अन्य ख़बरें:

  1. मेरा राउटर एक नेट के पीछे मेरे घर नेटवर्क को छुपाता है
  2. मैं एंड्रॉइड पर विकसित करता हूं और इसे ग्रहणकर्ता के माध्यम से और साथ ही अपने फोन से कनेक्शन बनाता हूं।
  3. मेरा फोन और होम पीसी संगीत स्ट्रीम करने के लिए वेब शेयर से कनेक्ट होते हैं और फ़ाइलें डाउनलोड करते हैं (विश्व स्तर पर और स्थानीय रूप से)

मैं वास्तव में यह क्या कारण है इंगित करने के लिए प्रतीत नहीं कर सकते ..

  • बुरा कोड?
  • तथ्य यह है कि सर्वर स्थानीय और विश्व स्तर पर साझा करता है?
  • सेल नेटवर्क से एक्सेस किया गया?

संपादित करें: मेरी वास्तुकला के बारे में अधिक

मेरा घर नेटवर्क मेरे राउटर्स NAT (राउटर लोकल IP है .1) के पीछे है। मेरे पास एक लैपटॉप और एक डेस्कटॉप है, जिसमें स्थिर आईपी हैं। मेरा डेस्कटॉप वायरलेस और वायर्ड कनेक्ट कर सकता है। मेरे पास एक Wii भी है जो कनेक्ट करता है जब इसे ऑनलाइन जाने की आवश्यकता होती है आदि नीचे मेरे राउटर से तालिका है जो दिखा रहा है कि क्या जुड़ा हुआ है।

.2    <MAC ADDRESS>   expired (This is my Desktops Wireless Conn.)
.3    <MAC ADDRESS>   Forever (This is my laptop)
.4    <MAC ADDRESS>   Forever (This is my Desktop Wired Conn.)
.8    <MAC ADDRESS>   Forever (This is my Wii)
.5    <MAC ADDRESS>   Forever (This is my phone)

मैंने अपने घर में एक डिवाइस के सभी मैक पतों का मिलान किया।

मैंने राउटर के रिकॉर्ड (पोस्ट करने के लिए लंबे समय तक) पर भी ध्यान दिया है, लेकिन मेरे घर में केवल आईपी ही हैं।

संपादित करें: अधिक रूटर जानकारी

  • EnGenius ESR9850
  • NAT सक्षम है
  • राउटर फ़ायरवॉल सक्षम है
  • राउटर दो अलग-अलग SSIDs की आपूर्ति करता है (लेकिन इससे कोई समस्या नहीं होनी चाहिए)
  • राउटर में पोर्ट फ़ॉरवर्डिंग है और फ़ॉर्वर्ड 80 से अधिक संख्या पोर्ट के लिए है और इसे सर्वर पर .6 पर अग्रेषित करें।
  • राउटर केवल एक कनेक्शन बनाने के लिए .2 - .10 से आईपी की अनुमति देने के लिए सेट है।
  • राउटर और प्रत्येक SSID पासवर्ड प्रोटेक्टेड हैं (सभी अलग-अलग पासवर्ड)

संपादित करें: एक और हैक प्रयास प्राप्त किया

आज मुझे निम्नलिखित प्राप्त हुआ

Attempts to use known hacks by 1 hosts were logged 1 time(s) from:
X.X.X.X: times(1)

A total of 1 sites probed the server
X.X.X.X

सूचीबद्ध IP स्पष्ट रूप से एक वैश्विक IP पता है और मेरे राउटर का नहीं है।

नीचे दिए गए उत्तरों से ऐसा लगा कि मैं केवल राउटर आईपी को "हैकर" के रूप में देख रहा हूं। इस मामले में कैसे यह एक वैश्विक आईपी से पता चलता है।

नोट: यह वैश्विक IP मेरे NAT का वैश्विक IP नहीं है और न ही यह मेरे स्मार्ट फोन का वैश्विक IP है।

apache-http-server  webserver  ubuntu-server  logwatch 
Sealz
स्रोत

जवाबों:

5

जैसा कि आपका सर्वर इंटरनेट के लिए खुला है, यह हमलों के लिए भी खुला है, जो कि मेरा मानना ​​है कि हो रहा है। आपके राउटर का बाहरी IP पता इंटरनेट के एक एड्रेस सेगमेंट में है जो एक या अधिक संक्रमित कंप्यूटरों द्वारा स्कैन किया जा रहा है जो ज्ञात कारनामों का उपयोग कर रहे हैं।

आपके कंप्यूटर पर हमले राउटर से आते हैं, क्योंकि राउटर आपके और इंटरनेट के बीच खड़ा होता है:

छवि

टीसीपी / यूडीपी बंदरगाहों पर हमले हो रहे हैं जिन्हें आपने अपने कंप्यूटर में राउटर में भेज दिया है, जैसे कि आपके राउटर के बाहरी आईपी पते पर इन खोला बंदरगाहों पर कोई भी कनेक्शन प्रयास वास्तव में आपके कंप्यूटर के लिए राउटर द्वारा कनेक्शन प्रयास में बदल जाता है, बाहरी हमलावर के लिए एजेंट के रूप में इस मामले में राउटर अभिनय करता है।

जैसा कि आप पर हमला किया जा रहा है, यह आपकी सुरक्षा को उन्नत करने के लिए एक अच्छा विचार होगा।

अपने लिनक्स बॉक्स को सख्त करने के संभावित उपायों की एक सूची के लिए LQ सुरक्षा संदर्भ देखें । आपके लिए विशेष रुचि अंत में एसएसएच खंड है।

इस विषय पर इंटरनेट पर कई अन्य लेख हैं। कुछ जो उपयोगी होंगे:

यूनिक्स / लिनक्स सुरक्षा युक्तियाँ पर अपने अपाचे वेब सर्वर को सुरक्षित करने के लिए 10 टिप्स
- अपाचे HTTP सर्वर

harrymc
स्रोत
लिंक के लिए धन्यवाद, मैंने पहले ही उनका उपयोग किया है। मुझे सवाल पोस्ट करने से पहले सर्वर का उल्लेख करना चाहिए था। लेकिन हमलावर मेरे स्थानीय आईपी पते (राउटर) के रूप में क्यों दिखाई देगा और वैश्विक आईपी पते के बिना नहीं होगा? इसके अलावा यह एकमात्र डेटा है जो "हैक प्रयास" के बारे में दिखा रहा है। जवाब देने के लिए +1! धन्यवाद!
19
अपने फोन को इंटरनेट के माध्यम से अपने कंप्यूटर से जोड़ने के लिए, आपने एक पोर्ट को अग्रेषित किया होगा, जिसने इसे इंटरनेट से हमला करने के लिए खोल दिया था। आपके कंप्यूटर की धारणा है कि यह राउटर से आ रहा है, क्योंकि राउटर के NAT का अर्थ है कि यह 2 कनेक्शनों को संभाल रहा है: अपने बाहरी आईपी का उपयोग कर आईएसपी को, और अपने स्वयं के आंतरिक आईपी का उपयोग करके अपने कंप्यूटर पर, और डेटा को आगे और पीछे स्थानांतरित करना। एक से दूसरे में। तो इंटरनेट कनेक्शन आपके कंप्यूटर पर राउटर के आईपी के साथ खुले पोर्ट पर पहुंचता है।
19
... जिसका मतलब यह भी है कि Fail2Ban जैसे उत्पाद आपके लिए बेकार हैं। जो कुछ भी ब्लैकलिस्ट करना है उसे राउटर में करना होगा।
हैरी
हां मैं बंदरगाह को आगे बढ़ा रहा हूं। जब मैं उन राउटरों को देखता हूं जो राउटर से संबंध बनाते हैं तो केवल मौजूद आईपी मेरे घर के पीसी से होते हैं, और वह जो मेरे फोन से जुड़ा होता है। क्या किसी कारण से मेरा फोन राउटर के लिए खराब माना जा सकता है?
सील्ज़
क्या आप अपनी वास्तुकला और आपके द्वारा देखे जाने वाले आईपी के बारे में कुछ और जानकारी शामिल कर सकते हैं। मेरे पास वास्तव में अनुमान हैं।
22
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.