Nextcloud, unbefugte versuchen Zugriff was tun?

Meine Nextcloud läuft bei mir Zuhause auf meinen NAS. Ich habe eine Fritzbox 5590 und kein mega krasses Netz. Ich habe Port 80 und 443 offen die habe ich meinem Raspberry Pi dann Zugewissen. Dort läuft mein Nginx Proxy Manger. Jetzt würde vor 2 15 mal versucht sich einzuloggen von 3 unterschiedlichen IPs und 5 unterschiedlichen Mail Adressen. Er hat es zwar nicht geschafft aber trotzdem bin ich beunruhigt. Die Domain ist eine IPV64 sub Domain bei dem DynDns Anbieter. Die Domain zeigt direkt auf meine Private Public IP. Es gibt nur ein Netz bei mir dort sind alle Geräte drin auch mein Server und die Sachen meiner Eltern.

4 Antworten

Rafael3112

02.05.2025, 13:35

password länger machen. und ggf nicht öffentlich machen sonder per vpn. ka ob nextcloud etwas gegen bruteforce hat aber wenn ja dann bitte aktivieren.

was auch hilft ist geoblocking. china russland indien turkei und usa zu blocken. teilweise auch kenia

MisterMaster3D

Beitragsersteller

02.05.2025, 13:38

Ja daran hab ich auch gedacht also Geoblocking. VPN will ich nicht dann würde sie ihren Zweck nicht mehr erfüllen können sie wie ich das will.

BeamerBen

02.05.2025, 13:39

Achso, deine Domain zeigt auf deine private public IPv64 Adresse. Alles klar.

Wenn du Sorge hast, sicher den Zugang durch ein VPN oder so etwas wie Cloudflare Access ab. Es reicht sogar, die Portfreigabe zu entfernen, und dafür den VPN Server in der Fritzbox zu konfigurieren. So hast du ein zusätzliches Layer, was deinen Server schützt.

Es ist normal, dass bots auf öffentlich erreichbare Dienste zugreifen. Gerade bei IPv4 ist es kein Problem nach Diensten zu scannen, insbesondere natürlich auf Standard Web Ports (80/443). Solange du deine Nextcloud sicher hälst, also immer alles aktuell und mit sicherern Einstellungen, musst du dir nicht zu viele Sorgen machen, solltest aber Updates zu Sicherheitslücken in Nextcloud verfolgen.

Wenn du möchtest, schaue mal nach zu wem die IPs gehören. Auch die Mail Adressen mit denen sich eingeloggt wurde. Stell fest, ob es ein einfacher automatisierter Angriff ist, oder ob da jemand gezielter auf deine Sachen zugreifen möchte.

MisterMaster3D

Beitragsersteller

02.05.2025, 13:45

Die Nextcloud ist aktuell und hat ein A+ Rating bekommen bei dem Security Check von Nextcloud auf deren Seite. Das sind halt Mails wie outlook.com und recodz.com und nicht eine anderen Mail Anbieter.

BeamerBen

02.05.2025, 13:50

@MisterMaster3D

Musst du dir halt überlegen. Entweder du schränkst den Zugang ein, oder du lebst damit, dass öffentlich erreichbare Dienste bot traffic bekommen.

Ohne Infos was für IPs das sind und was die machen kann ich dir auch nicht mehr empfehlen als ein VPN vor zu packen.

Du sagst ja noch nicht mal, was das für login versuche sind, oder von welchem Land/ISP sie kommen.

Klar kannst du geoblocking, anti spam listen (z.b. spamhaus), vielleicht sogar ein Captcha vor dem Zugriff und so weiter implementieren. Das reduziert zumindest noise in den logs, aber garantiert keine Sicherheit.

MisterMaster3D

Beitragsersteller

02.05.2025, 19:13

@BeamerBen

Die erste IP Adresse stammt aus Norwegen Provider des Anschlusses M247 Europe. Die zweite IP Adresse ist eine Deutsche der Provider ist M-net und die dritte ist auch eine Deutsche vom Anbieter M247 Europe. Die IP Adressen sind 185.206.255.147 88.217.180.127 193.27.14.186

Thomasg

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Server

02.05.2025, 13:36

Offensichtlich hast du keine Ahnung, wie man ein solches System sicher betreibt und daher ist es fahrlässig, dass du es aus dem Internet erreichbar gemacht hast.

Wie du schon richtig befürchtest, könnten dadurch Angreifer Zugriff auf euer gesamtes Heimnetz erlangen.

Also, die Portfreigaben abschalten und ein VPN auf der Fritzbox einrichten, über welches du dann von ausserhalb auf dein Nextcloud zugreifen kannst.

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

MisterMaster3D

Beitragsersteller

02.05.2025, 13:37

Dann würde die Nextcloud ihren Zweck nicht mehr erfüllen mit einem VPN.

Bird00700

02.05.2025, 14:13

@MisterMaster3D

Weshalb?

MisterMaster3D

Beitragsersteller

02.05.2025, 17:34

@Bird00700

Ich nutze die in der Schule um von den Schulrechnern meine Sachen hochzuladen und da kann ich kein VPN konfigurieren.

Thomasg

02.05.2025, 17:40

@MisterMaster3D

dann überlass den Betrieb am besten Leuten, die das können und schließe damit die Sicherheitslücke in deinem Heimnetz:

https://ocloud.de/product/nextcloud-dedicated.html

MisterMaster3D

Beitragsersteller

02.05.2025, 18:14

@Thomasg

Was soll das eigentlich ich suche ja nur nach Tipps die Angreifer sind ja nicht reingekommen. Ich habe nur Login Versuche gesehen in den Logs mehr nicht. Ich möchte einfach nur wissen was ich noch für die Sicherheit tun kann. Ich interessiere mich dafür und deswegen Frage ich das. Klar ich könnte meine paar Sachen auch auf Google Drive oder so ablegen aber das macht kein Spaß. Die Nextcloud ist der einzigste Dienst in meinem Heimnetz der von außen erreichbar ist und wichtig sind die Daten darauf auch nicht unbedingt es sind halt Schulsachen. Mein restlichen Dienste erreiche ich nur über meinen Wireguard.

zasch

02.05.2025, 19:24

Das Webapplikationen im Netz angegriffen werden und das 24x7 ist jetzt wenig überraschend

was doof ist mit portforwarding zu arbeiten und damit wahrscheinlich any nach intern über 80 und 443 darf und wahrscheinlich auch es so oft wie man will Logins ausprobieren darf

du kannst wie schon erwähnt mit VPN arbeiten

du kannst bspw mit fail2ban gegen brute force vorgehen

du könntest mit nftables die Zugriffe/Zeit eingrenzen

du kannst wie erwähnt mit geoblocking arbeiten

—

Ansonsten gewöhn dich dann wenn du etwas publizierst im netz dann wird das meist nach wenigen Minuten sofort attackiert

Woher ich das weiß:Berufserfahrung – +8 Jahre Berufserfahrung ..

MisterMaster3D

Beitragsersteller

02.05.2025, 19:25

Die Nextcloud ist schon seit einigen Monaten online bisher her nichts erst nach dem änderen der Domain direkt in der Nacht danach.

zasch

02.05.2025, 19:27

@MisterMaster3D

Dann änder doch die Domain wenn die schon ein beliebtes Ziel ist 🤷🏻‍♂️

zasch

02.05.2025, 19:29

@zasch

Ich hab schon mehrfach bei Firmen Server betreut die bei Hostern IP‘‘s bekommen haben die schlichtweg unerträglich schon verbrannt waren und da kannste auch kein kundensystem drauf betreiben also - ändern

Ähnliche Beiträge

Strato-Domain mit RaspberryPi?

Moin zusammen,

ich möchte meine Domain, die ich bei Strato habe, mit meinem RaspberryPi verknüpfen. Auf diesem läuft aktuell meine Nextcloud, die ich gerne von extern erreichbar machen würde. Dazu habe ich mir jetzt eine Domain bei Strato gekauft..

Bei dieser Domain habe ich in den DNS-Einstellungen die Dynamic DNS aktiviert. Bei dem RaspberryPi habe ich ddclient installiert und eingerichtet. Danach habe ich es mittels Befehl in der Konsole überprüft und folgende Meldung erhalten: SUCCESS: <MEINE-DOMAIN>: skipped: IP address was already set to <MEINE-IP-ADRESSE>. Diese Meldung lässt ja darauf schließen, dass die Verbindung vom RaspberryPi zur Domain efolgreich war..

Wenn ich meine Domain jetzt im Webbrowser eingebe, passiert nichts. Die Nextcloud öffnet sich nicht über die Domain. Port 80 und Port 443 habe ich in meinem Router freigegeben.

Wäre echt cool, wenn mir von euch jemand helfen könnte..

Danke :)

...zum Beitrag

SSL auf Raspberry Pi für Nextcloud in Docker Container?

Ich habe auf meinem Raspberry Pi 4 Casa OS installiert. Darin läuft unter anderem eine NextCloud-Instanz.

Von Aussen (aka Internet) kann ich über domain.de:5011 zugreifen. Der Router leitet den Port zu meinem Raspberry Pi auf den Port von der NextCloud weiter. Das Problem ist, dass die Verbindung noch unverschlüsselt ist.

Ich habe bereits auf x verschiedene Wege versucht SSL über den Nginx Proxy Manager einzurichten. Das einzige, das mir (irgendwie) gelungen ist, ist ein Zertifikat zu erstellen. Aber das höchste aller Gefühle war dann immer eine Bad-Gateway-Fehlermeldung.

Weiss jemand, wie ich eine verschlüsselte Verbindung entsprechend einrichten kann bei meinem Setup:

"domain.de:5011". Von Aussen habe ich diesen Port im Router zur Verfügung.
Nextcloud ist in einem Docker Container installiert (Port 10081)
Nginx Proxy Manager in einem Docker Container hört auf dem Port 80 und 443 zu (Admin Panel auf Port 81)

Vielleicht noch als Nebeninformation. Im gleichen Netzwerk laufen auch Synology-Services, die jedoch verschlüsselt arbeiten und ebenfalls über 5000-er Ports von aussen erreichbar sind. (In den Tutorials, die ich gefunden habe, wurde die SSL-Einrichtung im Nginx Proxy Manager nie über Ports ermöglicht. Erschweren diese Ports das Ganze?)

Ich verstehe wirklich nicht, wie ich das am besten einrichten soll. Kann man den Raspberry Pi "allgemein" verschlüsselt kommunizieren lassen (soll heissen, dass auch der Traffic im lokalen Netz bereits verschlüsselt ist. Das ist bei den Synology-Services so.) oder geht es einfacher, wenn nur der Traffic nach aussen verschlüsselt ist?

Vielen Dank im Voraus :) Ich bin wirklich langsam überfragt...

...zum Beitrag

Nextcloud? Strict-Transport-Security“-HTTP-Header?

Hallo,

ich habe eine Nextcloud auf meinem Server zuhause installiert. Das ganz läuft in einer VM und ist öffentlich via 443 und 80 erreichbar. Bzgl. der IP gibts eine DynDns Adresse. Die Nextcloud ist wie folgt installiert.

-> Nextcloud via Snap installiert (Ubuntu 18.04)

-> Trusted Domain für DynDns Adresse

-> SSL via Let's Encrypt

Nun erscheint die Meldung:

Der "Strict-Transport-Security“-HTTP-Header ist nicht auf mindestens "15552000“ Sekunden eingestellt. Für mehr Sicherheit wird das Aktivieren von HSTS empfohlen, wie es in den Sicherheitshinweisen erläutert ist.

Nun zur eigentlichen Frage. Ich habe bereits im Internet erfolglos gesucht, finde allerdings nicht heraus wo in welcher Datei dieser Wert angepasst wird. Wichtig ist die Basis der Snap Installation. Da hier die Angaben der Speicherorte anders sind als bei der manuellen Installation.

Vielen Dank im Voraus

...zum Beitrag

NGINX Reverse Proxy sicher konfigurieren?

Hallo,

ich habe eine grundsätzliche Frage dazu, wie man NGINX sicher als Reverse Proxy einsetzt und leider nicht wirklich was dazu im Netz gefunden.

Mal angenommen auf Server A läuft eine Webapplikation, die auf 10.0.0.1:5000 hört und auf Server B läuft mein NGINX, der auf 10.0.0.2:80/443 hört. Ich möchte also von Server A zu B einen Reverse Proxy machen und die Verbindung soll mit TLS abgesichert sein.

upstream serverA {
    server 10.0.0.1:5000;
}

server {
    server_name example.org;
    listen [::]:443 ssl ipv6only=on;
    listen 443 ssl;
    ssl_certificate /etc/ssl/certs/example.org.crt;
    ssl_certificate_key /etc/ssl/private/example.org.key;

    location / {
        proxy_pass http://serverA;
        proxy_http_version 1.1;
        proxy_set_header Upgrade $http_upgrade;
        proxy_set_header Connection "upgrade";
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto https;
        proxy_set_header X-Nginx-Proxy true;
        proxy_redirect off;
    }

}

... HTTPS redirect

Aber jetzt ist doch nicht der Traffic von Server B also dem NGINX, auf den der Nutzer zugreift zu Server A, der Webapplikation verschlüsselt oder liege ich da falsch? Falls er nicht verschlüsselt ist, wie erreiche ich das? Ist hier eine einfache Firewall Regel auf Server A schon ausreichend? Im Sinne von

ufw allow in from 10.0.0.2 to any port 5000/tcp

Danke für alle Antworten

...zum Beitrag

Port443 und 80 mehrmals nutzen?

Hallo,

ich habe das problem das Mein nextcloud auf port 80 bzw 443 läuft jetzt möchte ich aber Vaultwarden (bitwarden) im docker installiern. hab dann vom docker aber den error bekommen das port .0.0.0.0:80 schon gebunden ist.

Jetzt meine frage, es muss doch ne möglichkeit geben das trotzdem zu installieren.

mein OS ist ubuntu server

...zum Beitrag

DynDNS Port?

Hallo, ich habe vor einen Nextcloud Server in meinem Heimnetz einzurichten. Ich habe einen Anschluss mit DS-Lite, aber mein Anbieter stellt mir ein paar IPv4 Ports zur Verfügung. Was muss ich machen, dass ich, wenn ich meine Domain (von einem DDNS Anbieter), direkt auf den Server verbunden werde. Danke

...zum Beitrag

Domain (Nextcloud) ist am PC nicht erreichbar, am Smartphone schon und von einem anderen Netz auch, warum?

Hallo Leute,

ich habe Nextcloud 27 frisch in einem LXC installiert und alles so konfiguriert, dass Nextcloud mir einen grünen Haken für die Sicherheitsüberprüfung zurück gibt. Leider habe ich das Problem, dass ich an meinem Mac mit Safari, Chrome, Brave & Firefox meine Nextcloud nicht aufrufen kann. Das gleiche mit meinem Gaming pc, auf dem Chrome und Edge installiert ist.

An einem Laptop mit Linux mint geht es auch nicht. In allen fällen erhalte ich folgende ähliche Fehlermeldung

Jetzt kommt es. Mit einem Smartphone, Tablet und dem Android Smartphone meines Vaters kann ich die Domain aufrufen, problemlos. Ich habe dann meinen Kollegen gebeten, von zuhause auf meine Domain aufzurufen. Es geht am PC als auch mit dem Smartphone nur nicht bei mir.

Nextcloud ist für IPv6 konfiguriert und nur erreichbar und dementsprechend zeigt meine Subdomain auf einen AAAA-Record.

Aus Sicherheitsgründen nutze ich nicht den Standard 443 Port sondern einen Highport (TCP/IP)

Ich drehe langsam am Rad

Was kann es sein????

PS:

Ich rufe so meine Nextcloud auf:
https://cloud.musterdomain.net:55555/

Exposed Host ist natürlich korrekt an der Fritzbox konfiguriert.

Auch die ufw Firewall ist korrekt konfiguriert

...zum Beitrag

Fritzbox: Einen Port an zwei Geräte umleiten?

weißt du ob fritzbox port 80 von außen freigeben kann an zwei geräte? hintergrund ist ich will raspberry1.domain.de auf lan 192.168.178.10 und raspberry2.domain.de auf lan 192.168.178.20 ... der haut mir ein port 80 immer raus gegen random port wenn ich 2 anlege...

kriegs nich hin und befürchte ich muss einen "master" raspberry rangeben, nur für den port 80 reinhauen und er guckt von welcher domain der request läuft und leitet dann entsprechend an 192.168.178.10 oder 192.168.178.20 um (z.b. mit einem simplen nginx server).... nur wäre das halt wieder ein gerät mehr am netz, iwann summieren sich die 3,5 watt meiner ganzen raspberrys...

...zum Beitrag

Kann man 2 Domains auf einem Raspberry Pi 4 nutzen?

Hi,

ich habe einen Raspberry pi 4b 8 GB RAM ich hab Nextcloud auf Ubuntu installiert mit einer Domain. Ich würde neben Nextcloud aber auch WordPress nutzen mit einer anderen Domain. Ich habe DynDNS auf dem Raspberry Pi installiert, ich besitze eine Fritz!Box 7530. Vielleicht kann mir da jemand helfen. Danke schonmal im vorraus.

Ich habe diese Tutorials verwndet :

https://www.youtube.com/watch?v=cqjdSzJr1lo&t=

https://www.youtube.com/watch?v=AhrXxHwbss8

Liebe Grüße

Florian

...zum Beitrag

Nextcloud auf Raspberry Pi mit Strato DynDNS einrichten?

Ich habe Nextcloud auf einem Raspberry Pi 4 (4GB) eingerichtet. Jetzt kann ich Nextcloud in meinem eigenen Netzwerk nutzen. Ich würde aber gerne von überall aus auf Nextcloud zugreifen. Dafür braucht man so wie ich gedacht habe DynDNS. Leider habe ich momentan nur einen Speedport. Aber auch auf einem Speedport kann man DynDNS mit Strato einrichten. Ich habe für meine Domain in Strato DynDNS aktiviert und auch das Passwort für DynDNS festgelegt. Im Speedport habe ich dann unter dem Punkt DynDNS Strato ausgewählt, Domainname und Benutzername und das festgelegte Passwort eingeben. Ich habe auch Portfreigaben eingestellt (ich glaube hier hab ich was falsch gemacht) Dann bin ich auf die Domain gegangen und es kommt nur die Meldung dass die Domain von einem Strato Kunden reserviert wurde. Vielleicht weiß jemand was ich falsch gemacht habe oder noch machen muss? Außerdem habe ich niemals den Raspberry Pi festgelegt! Und ich denke man muss den ja auch auswählen wenn man über eine Domain auf den Raspberry Pi zugreifen will muss man das ja vorher festlegen, aber wo?🙏Bitte helft mir! Ich habe es außerdem nach diesem Video gemacht: https://youtu.be/BdVPU-HZGHk

Es ist kein NextcloudPi sondern das normale mit SNAP installiert

Bilder:

...zum Beitrag

NextCloud Portfreigabe funktioniert nicht?

Hallo,

ich haben mir auf einem RaspberryPi3 B eine NextCloud eingerichtet. Vom Heim-WLan aus funktioniert alles, doch ich möchte sie auch gerne aus dem Internet erreichen.

Ich habe mir einen DynDNS Domain bei No-IP eingerichtet, die Ports 80 und 443 wie verlangt auf meinem Telekom Speedport freigegeben (TCP) und auf demselben Gerät natürlich auch DynDNS aktiviert (die No-IP Adresse wird auch als registeriert angezeigt). Trotz allem erhalte ich eine Fehlermeldung bei [letsencrypt], wenn ich im NC-wizard die Freigabe erteilen möchte. In der Systeminfo der NextCloud werden mir die Ports sogar als geschlossen angezeigt.

Kann mir jemand weiterhelfen?

Viele Grüße

...zum Beitrag

Brauche mal eure Hilfe beim Thema Server?

Das System besteht aus Proxmox und Debian als Betriebssystem, wobei eine FritzBox als Router fungiert. Der heute eingerichtete Nextcloud-Server ist trotz korrekt konfigurierter Portweiterleitung (Port 80 und 443) über die Domain nicht erreichbar; der Zugriff leitet stattdessen zur FritzBox-Administrationsoberfläche um. Derzeit ist lediglich IPv6 nutzbar.

...zum Beitrag

Port Forwarding aktivieren?

Ich habe einen Raspberry Pi auf dem die Nextcloud läuft. Nun möchte ich diese auch von außen erreichbar machen. Habe Port Forwarding beim Router aktiviert und mir einen Hostname bei No-IP besorgt, die IP ist bei No-IP eingetragen ebenso wie alles im Bereich DynDNS auf dem Router eingetragen ist.

Das Problem ist aber das ich trotzdem nicht von außen auf die Nextcloud zugreifen kann.

Router ist die O2 Homebox.

...zum Beitrag

Collabora online über Port bereitstellen?

Hey, ich habe bei mir zuhause einen Linux Server mit Nextcloud darauf stehen und will Collabora online dafür installieren. Allerding kann ich auf grund von dyndns das nicht mit Domains tun . Deswegen wollte ich fragen ob jemand vlt. eine Idee oder eine Ahnung hat das mit oder ohne Docker so zu konfigureren das es über über z.B. https://localhost/onlineoffice oderüber Ports wie z.B. https://localhost:54 ereichbar ist.

Webserver: Apache2

https://markus-blog.de/index.php/2019/03/23/how-to-deploy-collabora-online-office-on-ubuntu-with-apache2-as-reverse-proxy-and-docker/

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen