DarkStat

[Briolet]

Een kennis wees me onlangs op het DarkStat package die via de synologycommunity te installeren is.

DarkStat logt alle verbindingen inclusief de hoeveelheid data die door de verbinding ging. En dan ga je natuurlijk ook vreemde dingen zien en hebt er vragen erover.

Ik zag b.v. twee IP's van tweeverschillende Google mail servers. Dat komt overeen met een aantal ontvangen GMail berichtjes. Mij verbaasde alleen de poorten. Dat waren geen 25, maar poorten in de range boven de 30.000. Of werkt het zo dat er initieel een verbinding over poort 25 gemaakt wordt en de dataoverdracht dan over een hoge poort gaat om poort 25 weer vrij te maken?

Verontrustender was een entry van "singlehop2.shodanhq.com". De website van "www.shodanhq" staar er om bekend dat ze wereldwijd het net afstruinen wat er achter IP adressen hangt. Dat maakt het hackers veel makkelijker een bepaald model apparaat te vinden waar een bekende backdoor in zit. Nog verontrustender is dat er verkeer over in totaal 12 hoge poorten plaats had, waarbij er 20x zoveel data door mijn nas verstuurd is dan zij naar mij gestuurd hebben. Maar hoezo is de nas van buiten benaderbaar over die poorten. Of is het, net als bij de mailserver, dat de verbinding er eerst was over een geforwarde poort en gaat die daarna verder op de hogere poorten?
Ik heb er helemaal geen behoefte aan om in hun statistieken voor te komen en heb voor de zekerheid de gehele IP range van hun ISP maar in de firewall geblokkeerd. Hun IP kwam ook voor op spam- en malware blocklists. Ben in nu paranoia?

Ik zie dat hij ook heel regelmatig data uitwisselt met "xxx.hinet.net". Nu zit dat in Taipei, dus zal dat verkeer wel naar de Synology thuisbasis zijn. Er gaat ongeveer evenveel verkeer in als uit.

In elk geval een leuk pakket dat er voor bijna alle unix based systemen is. (incl. de mac). Het mooiste is het natuurlijk om dat pakket op de router te hebben, als je router dit toelaat.

[Richard67]

Ik krijg geen hostnamen. Enig idee hoe dat kan?

[Goner]

Een kennis wees me onlangs op het DarkStat package die via de synologycommunity te installeren is.

Ik zie dat package niet meer bij de Community packages staan, weet jij nog een repository die 'm heeft ??

[Briolet]

Met googlen vond ik hem op:

http://archive.today/zXyoo

Daar staat een archief van de SynoCommunity met de laatste versie van DarkStat. Ik vraag me wel af waarom hij eruit gegooid is. Hij heeft mij mij altijd gewerkt, ook al werd soms de history gewist bij een dsm update.

Edit: ik zie hem op die site wel staan, maar bij downloaden probeert hij hem weer bij de SynoCommunity op te halen en faalt. Bij mij is dat geen archief op die manier.

[Tim__]

De link voor DarkStat voor een DUS 213+ werkt niet hoor :-)

[Briolet]

Merkte ik nu ook.

[Briolet]

Als je een beetje in Git thuis bent, kun je hem hier halen:

https://github.com/SynoCommunity/spksrc/commits/develop/spk/darkstat

op 8 mei 2013 is hij verwijderd, maar met Git kun je een checkout van elke tussenliggende versie doen, dus ook van voor de verwijdering.

[Tim__]

Sorry maar ben totaal niet thuis in Git :-(

[Briolet]

Ik kwam net nog een Duitse site tegen die een versie voor de Synology nas als download beschikbaar heeft: darkstat-3.0.718.tar.bz2

Die is zelfs nieuwer dan mijn versie 3.0.715 

Edit: Na uitpakken zie ik dat het helemaal geen installer bevat en je dus alles handmatig moet installeren. Dan kun je net zo goed naar de  hostingsite van darkstat gaan.

[DrBean]

Ik zag het topic hier, en het package stond nog op m'n lijstje: DarkStat is weer opnieuw op de SynoCommunity repository gezet.

[Briolet]

Dank. Package center gaf net aan dat er een update was van DarkStat: versie 3.0.719 

[Briolet]

De nieuwe versie van DarkStat heeft een klein bugje: Na een restart van de nas, wordt het pakket niet meer vanzelf ge-aktiveert. Je moet dit handmatig in de Package center doen.

Pro's zijn wel dat je nu in de firewall, de poort op naam kunt selecteren.
Ook verschijnt het pakket nu bij "toepassingen" zodat je gebruikers selectief toegang kunt geven. Dat had ik bij het vorige pakket al handmatig aangepast, maar nu is het volgens mij standaard aanwezig.

[DrBean]

Ik kan dat zo snel niet reproduceren. Na de reboot staat er dus geen `darkstat.pid` in `/usr/local/darkstat/var`? Welke DSM versie gebruik je?

Kun je eens testen of dit werkt: in de file `/var/packages/darkstat/scripts/start-stop-status`, wijzig

Code: [Selecteer]

su ${USER} naar

Code: [Selecteer]

su - ${USER} (Rest van de regel gewoon staan laten) en dan je reboot. Het is het enige wat ik zo kan bedenken.

De firewall en usertoegang is standaard voor SynoCommunity packages, dus inderdaad, die heb ik met het updaten van het package meegenomen

[Birdy]

Na een restart van de nas, wordt het pakket niet meer vanzelf ge-aktiveert.

Ik heb dit getest op m'n Test DS111, dus geïnstalleerd, hierna moest ik deze handmatig opstarten:



NAS reboot, DarkStat was bij mij automatisch gestart (en zie darkstat.data van voor de reboot):

[Briolet]

… Na de reboot staat er dus geen `darkstat.pid` in `/usr/local/darkstat/var`? Welke DSM versie gebruik je?

Inderdaad. Na een reboot mist de "darkstat.pid" file. Na starten staat hij er weer. (DSM 5.1 op een DS 212j)

Kun je eens testen of dit werkt: in de file `/var/packages/darkstat/scripts/start-stop-status`, …

Ik het dat - teken toegevoegd, maar het pakket is nog steeds 'gestopt' na een reboot.