Auteur Topic: 'hack' statistieken  (gelezen 6882 keer)

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
'hack' statistieken
« Gepost op: 29 januari 2016, 19:16:25 »
Ik heb nu een aantal maanden mailserver actief en ik dacht laat ik de postfixlog eens analyseren.

Grafiek: disconnect from unknown
aantal meldingen per ip nummer van: postfix/smtpd disconnect from unknown
Dit is per ip nummer het aantal connecties/poging tot connective wat is voorgekomen per ipnummer.
In de grafiek is uitsluitend meer dan 50 pogingen opgenomen.

Grafiek: SLIBUserRealNameGet failed
Aantal meldingen van met wel account met heft gepoogd mail te versturen.
Aantal voorkomende namen > 40

Instellingen Synology:
Autoblock  na 5 pogingen in 1 uur
Email staat blokkeer IPnr's uiteraard ook aan.
Echter dit zijn (voor zover ik weet) pogingen op niveau van telnet  naar poort 25 en deze worden niet gedetecteerd.
Uiteraard staat poort 25 open vanaf buiten.


  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 201
  • -Ontvangen: 218
  • Berichten: 1.808
Re: 'hack' statistieken
« Reactie #1 Gepost op: 29 januari 2016, 21:17:41 »
"Uiteraard staat poort 25 open"
Die dan gauw maar dicht zetten.....dat is ook vragen om ellende !

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
'hack' statistieken
« Reactie #2 Gepost op: 29 januari 2016, 21:47:59 »
OK maar dan kan je thuis geen mailserver meer draaien hé...
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: 'hack' statistieken
« Reactie #3 Gepost op: 29 januari 2016, 21:50:29 »
Ja hoe wil je anders je mailserver draaien?

Ts kan wel aangeven in de firewall dat sommige landen wel of geen toegang hebben tot poort 25.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Tim__

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 353
  • -Ontvangen: 81
  • Berichten: 975
Re: 'hack' statistieken
« Reactie #4 Gepost op: 29 januari 2016, 22:04:52 »
Welke landen zou je dan blokkeren?
  • Mijn Synology: 1517+
  • HDD's: 4 x 4TB WD RED
  • Extra's: 215j & 218+

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: 'hack' statistieken
« Reactie #5 Gepost op: 29 januari 2016, 22:09:33 »
Landen waar je van weet waar geen mail vandaan komt voor jou.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: 'hack' statistieken
« Reactie #6 Gepost op: 29 januari 2016, 22:11:31 »
SLIBUserRealNameGet geeft bij mij oom met legale mail altijd eenerror.

Jan 29 16:33:43 GedeeldeData postfix/smtpd[29177]: postfix: SLIBUserRealNameGet(user=riolet) failed
Op de mac valt bij mij altijd de eerste letter van de accountnaam weg. Dat gebeurd zowel met hoofd- als kleine letters als eerste. En met Apple mail als met Outlook 2011.
Gelukkig probeert hij na deze error de "sasl_method=LOGIN" om te authenticeren en kan ik toch mail versturen.

Bij alle externe hackpogingen vallen er geen letters weg. Ik denk dat er bij mij per jaar zo'n 2000 "SLIBUserRealNameGet" errors in het log komen waarvan de helft een "hackpoging".
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: 'hack' statistieken
« Reactie #7 Gepost op: 29 januari 2016, 22:13:08 »
@Handige Harry: hoe weet je uit welke landen geen mail komt? Mailservers kunnen overal in de wereld staan en niet perse in het land van de verzender.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: 'hack' statistieken
« Reactie #8 Gepost op: 29 januari 2016, 22:19:37 »
@Briolet geen idee, proberen kan altijd.
Stel hij word veel uit china 'gehacked' , probeer China eens te blokkeren.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Hutje

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 201
  • -Ontvangen: 218
  • Berichten: 1.808
Re: 'hack' statistieken
« Reactie #9 Gepost op: 29 januari 2016, 22:26:05 »
OK maar dan kan je thuis geen mailserver met draaien hé...
SORRY !
Ik ben in de war met poortje 22....telnet !
 :lol: :lol: :lol:

DS1515+  [3x 8TB + 1x 4TB + 1x 3TB]  8 GB DDR3 DSM 6.1.7-15284 Update 3
DS1512+  [3x 4TB + 2x 2TB]  4 GB DDR3 DSM 6.1.7-15284 Update 3
DS411j     [3 x 2TB SHR] DSM 6.1.7-15284 Update 3
DS211j     [TEST-NAS] DSM 6.1-15101
RT1900    [AP-mode] SRM 1.2-7742
UPS          APC Back-UPS ES 700G

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: 'hack' statistieken
« Reactie #10 Gepost op: 29 januari 2016, 22:32:58 »

Telnet 23  ;-)
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.551
Re: 'hack' statistieken
« Reactie #11 Gepost op: 29 januari 2016, 23:06:33 »
Een landen-blokkade voor de smtp poot is zelden een goed idee. Beter is het om sterke wachtwoorden af te dwingen via de settings. (zelf gebruik je natuurlijk sterke wachtwoorden, maar doen alle gebruikers dat?).

Daarnaast zet je limiet van het aantal dagelijkse mailtjes zo laag mogelijk. b.v. 20 voor alle gebruikers en een wat hoger aantal voor specifieke gebruikers die wel veel mailen. Als er dan toch een gebruiker slordig is met zijn wachtwoorden en zijn account wordt gehacked, dan kan een spammer toch niet veel spam versturen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: 'hack' statistieken
« Reactie #12 Gepost op: 29 januari 2016, 23:14:16 »
@Briolet je hebt gelijk dat het vaak niet handig is.

Maar ts heeft een vraag, en die probeer ik te beantwoorden.

Of het de beste manier is , geen idee, maar proberen kan altijd.

Het instellen van een maximaal versturen van mailtjes is een goede tip, dit was ik net aan het typen. Maar je was me voor
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Robert Koopman

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 272
  • -Ontvangen: 1802
  • Berichten: 10.985
    • http://www.dwvbb.nl
Re: 'hack' statistieken
« Reactie #13 Gepost op: 29 januari 2016, 23:53:59 »
Heb ook wel eens met wat landen blokken zitten klooien.
Oostenrijk, ken ik niemand, dus in de blokkade.
Al mijn kennissen met een UPC adres konden mij niet meer mailen, server stond in Oostenrijk  ;D

In mail server kan je de uitgaande mailtjes per gebruiker begrenzen.
Ben je ooit gehackt dan kan dat nog een redding zijn.
Krijgen ze nooit meer mail weg dan wat daar staat.
RS812+ : 3*WD60EFPX 6.2.4-25556 Update 7 SHR
RS814+ : 3*WD30EFRX 7.1.1-42962 Update 6 Btrfs

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: 'hack' statistieken
« Reactie #14 Gepost op: 30 januari 2016, 12:16:09 »
Wauw wat een reacties.
(don't shoot de messenger)

Mijn postfixlog bestand is inmiddels >148.000 regels groot.
Het enige wat ik gedaan heb is deze uitgefilterd (via een klein scriptje) en grafisch zichtbaar gemaakt via excel.
Ik denk dat als ik via mijn scriptje de postfix log bestand van anderen analyseer ik identieke resultaten verkrijg.
Wil dit graag eens testen, wie wil mij zijn bestand sturen?

Grafiek: disconnect from unknown
Deze meldingen zijn uitsluitend zichtbaar in het postfixlog bestand.
Deze meldingen triggeren geen 'ipnr blocked bij email' deze heb ik slechts een 10 tal keer ontvangen in de afgelopen periode.
Of (de hoeveelheid) meldingen een probleem is of een aanwijzing voor een probleem?
Ik heb geen idee.
Vindt het wel 'ongewenst'.
Ik zie hier ipnr's van over de hele wereld, sterker nog sommige meldingen zijn verspreid over ip nr's van een complete subnet.
In de grafiek wordt het uitsluitend 'inzichterlijker'.

Grafiek: SLIBUserRealNameGet failed
Laat netjes zien wat de meest gebruikte accounts zijn waarvan men verwacht dat deze 'raadbaar' zijn.
Leuk om te weten welke account namen je dus beslist niet moet gebruiken.
Tref daar ook inlog pogingen aan met onkiese engelse namen, waarna de inlog pogingen stoppen.

Zou het leuk vinden als iemand bereid zou zijn om mijn vbscriptje (20 regels) om te zetten naar iets wat te gebruiken is een DSM app of website.
Daar moet dan wel nog aan toegevoegd worden maak een grafiek (is nu excel).

Hierna kan dan elk willekeurig unix logbestand 'inzichtelijk' gemaakt worden.

Iemand belangstelling?

Hans

  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb


 

Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 3998
Laatste bericht 22 februari 2007, 21:04:10
door Frank
[OPGELOST] 7K bezoekers (11 & 12-04-2013) op mijn website, een hack/aanval?

Gestart door m4v3r1ckBoard The lounge

Reacties: 30
Gelezen: 10602
Laatste bericht 04 mei 2013, 10:13:49
door m4v3r1ck
Gestolen NSA hack-tools, MS timmert niet alles dicht!

Gestart door m4v3r1ckBoard The lounge

Reacties: 7
Gelezen: 1876
Laatste bericht 17 april 2017, 00:27:28
door aliazzz
VERPLAATST: Hack aanval op account niveau

Gestart door BirdyBoard Overige mods

Reacties: 0
Gelezen: 6438
Laatste bericht 29 juli 2019, 10:01:51
door Birdy
Webalizer bijwerkfrequentie statistieken

Gestart door henkgBoard Webalizer

Reacties: 2
Gelezen: 12929
Laatste bericht 29 december 2010, 15:02:51
door henkg