Ich habe seit einiger Zeit bemerkt, dass das Symbol für den freigegebenen Bildschirm in meiner Menüleiste alle paar Minuten flackert (MacBook Pro, MAC OS X 10.8.4). Ich dachte, es wäre eine Panne oder ein Fehler. Ich habe die Konsole überprüft und es gibt fast jede Minute Verbindungsversuche. 99% stammen von einer bestimmten Adresse:
26/07/13 00:41:51,569 screensharingd[49866]: Authentication: FAILED :: User Name: N/A :: Viewer Address: 89.96.146.134 :: Type: VNC DES
Ist das ein Brute-Force-Angriff? Soll ich besorgt sein? Ich benötige die Bildschirmfreigabe, da ich häufig eine Verbindung zu diesem Mac herstelle. Ich habe überlegt, die Firewall zu aktivieren, aber es hilft nichts, wenn ich nicht alle eingehenden Verbindungen blockiere.
Gibt es eine Möglichkeit zu verhindern, dass diese IP überhaupt eine Verbindung herstellt? Der Mac befindet sich hinter einem Flughafen-Extreme-Router, dessen VNC-Ports von NAT auf diesen Mac hingewiesen wurden. Gibt es eine Möglichkeit, diese Verbindungen auf dieser Ebene zu filtern?
Antworten:
Wenn es wirklich nur diese eine Adresse ist und keine (oder nur wenige) andere und Sie wirklich keinen Davide Farci aus Verona kennen (diese IP-Adresse ist Teil eines kleinen Subnetzes, das ihm zugewiesen wurde, klein genug, um ein persönliches Netzwerk zu sein oder sehr In einem kleinen Büro und wir werden uns in Kürze darum kümmern. Dann können Sie durch die einzelnen Schritte springen, um eine echte Firewall (z. B. IPTables) entweder auf diesem System oder auf Ihrem Router einzurichten (letzteres ist besser, da es sich dann darum kümmern kann) andere Bedrohungen). Wenn das zu viel Mühe ist oder Sie es wirklich auf dieser Workstation tun möchten, dann schlage ich Little Snitch vor, mit dem sowohl eingehende als auch ausgehende Verbindungen gefiltert, protokolliert und natürlich blockiert werden können (Double Click hat seit der Erstinstallation keinen Datenverkehr von oder zu diesem System verwaltet). Viele Leute benutzen es, um ärgerliche Programme zu stoppen, die gerne "nach Hause telefonieren" und über sie berichten.
Wie auch immer, es ist sehr konfigurierbar, sehr effektiv und sehr intuitiv. Empfohlen für Benutzer aller Schwierigkeitsgrade.
Nun zurück zu Davide Farci. Es kann sein, dass er einen Angriff auf Ihr System startet. Das ist durchaus möglich. Es ist jedoch wahrscheinlicher, dass er ohne Kenntnis Ihrer Situation nur ein gewöhnlicher Herr von Verona ist, dessen eigenes System kompromittiert wurde. In jedem Fall sollten Sie diese Protokolle sammeln und an die Sicherheits- und / oder Supportabteilung seines vorgelagerten Netzwerkanbieters weiterleiten (senden Sie sie an [email protected]), damit dieser seinen Kunden aufklärt (indem er sie reparieren oder booten lässt) ihn aus dem Netz, je nachdem, was am besten geeignet ist und wahrscheinlich das erstere).
Übrigens stammen alle diese Informationen von einem whois-Check der IP-Adresse in Ihrer Frage. Wenn man die meisten RIPE-bezogenen Dinge weglässt (RIPE ist das europäische Äquivalent von ARIN in Amerika und APNIC in Asien und Ozeanien), gibt es immer noch folgende Informationen:
Da es für Davide Farci keine E-Mail-Adresse gibt, muss die Adresse [email protected] kontaktiert werden. Versuchen Sie, der Versuchung zu widerstehen, der ich erlegen bin, und verweisen Sie in Ihrem Bericht nicht auf Shakespeare. ;)
quelle
IP-Blacklisting ist kein sehr wirksames Mittel zur Verteidigung. IPs sind so häufig vorhanden, dass die meisten Benutzer dynamische IPs verwenden. Wenn sie sich auf einer schwarzen Liste befinden, müssen sie nur ihre Modems neu starten und eine andere IP von ihrem ISP zuweisen. Ich empfehle Ihnen, Ihre eigene IP-Adresse zu ändern und sichere Passwörter zu verwenden.
quelle