Auteur Topic: Safe Acces  (gelezen 2548 keer)

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Safe Acces
« Gepost op: 03 april 2020, 08:11:38 »
Sinds een paar dagen krijg ik een melding dat de verbinding vanuit mijn NAS DS218+ met een ip adres om veiligheidsredenen is geblokkeerd. Zie bijlage
Tot op heden is het mij niet gelukt de oorzaak te achterhalen. Heeft iemand een idee?

Offline zandhaas

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 206
  • Berichten: 804
Re: Safe Acces
« Reactie #1 Gepost op: 03 april 2020, 09:13:21 »
herken je de ip-adressen die je daar ziet?

147.119.204.167 is een adres uit Groot Brittannië
122.8.91.151  is een adres uit China

Dus ik vermoed dat jij deze adressen ook niet kent.

Dit zijn waarschijnlijk adressen via welke bot's proberen om op heel veel adressen over de hele wereld in te breken op de daarop aangesloten computers. Deze bots proberen met verschillende standaard users in te loggen. Als dat op jou NAS gebeurt en ze proberen het te vaak zal het gebruikte adres op je NAS geblokkeerd worden en in de lijst gezet worden die je ziet zodat een volgende poging vanaf die adressen direct geweigerd worden.
  • Mijn Synology: DS918+
  • Extra's: 16GB RAM
DS213+  DSM 6.2  512MB
DS918+  DSM 7.2  16GB + 2*1TB NVME  Cache
VDSM      DSM 7.2
MR2200ac

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Re: Safe Acces
« Reactie #2 Gepost op: 03 april 2020, 09:51:54 »
Ter info: bij Safe Acces is het van binnen naar buiten en niet andersom.
Voor mij allemaal onbekende adressen. Via IP tracker controleer ik altijd eerst de adressen

Offline zandhaas

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 24
  • -Ontvangen: 206
  • Berichten: 804
Re: Safe Acces
« Reactie #3 Gepost op: 03 april 2020, 11:31:09 »
Je hebt gelijk  ;)
Ik was in de war met de auto blocking feature van de NAS zelf.

Ik zie dat op mijn mr2200ac ook gebeuren maar dan zijn het meldingen die veroorzaakt worden door werkstations (laptops, telefoons o.i.d.) die websites bezoeken waar "doorlinks" op staan naar externe sites. dat kunnen dus sites zijn die niet al te positief bekend staan en dus geblokkeerd worden. Ik heb dat bij mijn dames ook al eens nagevraagd of ze daar dan wat van zien. Maar zij zeggen daar niets van te merken.

Dus het lijkt dat jou NAS op de een of andere manier ook externe sites benaderd die qua betrouwbaarheid minder zijn. Maar dat hangt er dus vanaf wat jij aan pakketten hebt draaien op je NAS die gegevens opvragen op het internet.

Heb jij iets van een mailserver draaien op je NAS?
Volgens https://www.whatismyip.com/ip-whois-lookup/ lijkt het adres 147.119.204.167 eigendom te zijn van "Royal Mail Group Limited" lijkt dus iets met post te maken te hebben.

inetnum:        147.119.0.0 - 147.119.255.255
netname:        UKPOIT-NET
descr:          Royal Mail Group Limited
country:        GB
  • Mijn Synology: DS918+
  • Extra's: 16GB RAM
DS213+  DSM 6.2  512MB
DS918+  DSM 7.2  16GB + 2*1TB NVME  Cache
VDSM      DSM 7.2
MR2200ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Safe Acces
« Reactie #4 Gepost op: 03 april 2020, 16:51:24 »
Ter info: bij Safe Acces is het van binnen naar buiten en niet andersom.
Voor mij allemaal onbekende adressen. Via IP tracker controleer ik altijd eerst de adressen

Precies de reden om dat dataverkeer dan te blokkeren.  Het valt onder dataverkeer wat "onbekend" is vanuit instellingen of services
die je "wel" op een of andere wijze toestemming hebt gegeven, of "normaal" is om naar buiten te mogen communiceren.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Re: Safe Acces
« Reactie #5 Gepost op: 04 april 2020, 06:41:22 »
Na het opschonen van de mailboxen op de mailserver (leegmaken prullebakken, spam verwijderen) geen meldingen meer.
Vermoedelijk kunnen dus ook niet geopende spam berichten dit veroorzaken.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Safe Acces
« Reactie #6 Gepost op: 04 april 2020, 09:59:25 »
Ik hoop maar dat dit toeval is.

Het zou heel beangstigend zijn als een ongeopend bericht al dataverkeer kan veroorzaken. Dat zou inhouden dat alleen het sturen van een kwaadaardige mail al genoeg is om een computer over te nemen. Wat ik niet geloof.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline GerardR

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 54
  • -Ontvangen: 64
  • Berichten: 494
Re: Safe Acces
« Reactie #7 Gepost op: 04 april 2020, 10:10:06 »
De oorzaak heb ik niet kunnen achterhalen. Het is gissen, maar onbekende emails en spam worden nooit geopend.
In ieder geval een geruststelling dat er geen meldingen meer zijn en het euvel is verholpen.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Safe Acces
« Reactie #8 Gepost op: 10 april 2021, 11:58:36 »
Even aanhaken op dit onderwerp omdat ik hetzelfde had en nu wel een duidelijke oorzaak zie.

Ik kreeg vannacht twee mailtjes over een geblokkeerd IP:
De verbinding van DS415-port-A met 5.188.206[.]246 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
en
De verbinding van 00:11:32:3a:0e:ce met 5.188.206[.]246 is geblokkeerd om veiligheidsredenen(Kwaadaardig).

De 2 ethernet poorten van mijn nas staan in een bond en de eerste is de naam van mijn poort A en de tweede het ethernet adres van mijn poort B. (Ik heb geen idee waarom verschillende weergaves gebruikt worden)

Inloggen op de router gaf:



Opvallend is dat hij de blokkering per poort in de bond logt. En waarom beide poorten van de bond? Ik kan me alleen voorstellen dat de nas het niet via de ene poort naar buiten krijgt en het dus via de andere poort probeert.

Het log is vergelijkbaar met dat van Gerard hierboven. Het is de nas die verbinding met dat kwaadaardige IP wil maken. Vervolgens zoek ik het IP op bij myip.ms. Daar staat hij sinds 2 april blacklisted met als reden dat Spamhause het hele block 5.188.206.0/24 op de blacklist gezet heeft. Bij spamhouse denk ik direct aan spam en dus mail. (Waarom blockt de router hem dan als kwaadaardig en niet als spam?)

Kijk ik in mijn maillog, dan vind ik dit IP weer terug:

2021-04-10T02:49:27+02:00 postfix/smtpd[6114]: connect from unknown[5.188.206.246]
2021-04-10T02:49:35+02:00 postfix/policy-spf[6149]: Policy action=PREPEND Received-SPF: none (fdvcbg.longmusic.com: No applicable sender policy available) receiver=GedeeldeData; identity=mailfrom; envelope-from="kgjqutjwcgq@fdvcbg.longmusic.com"; helo="[5.188.206.246]"; client-ip=5.188.206.246
2021-04-10T02:49:36+02:00 postfix/smtpd[6114]: NOQUEUE: reject: RCPT from unknown[5.188.206.246]: 554 5.7.1 Service unavailable; Client host [5.188.206.246] blocked using dnsbl-1.uceprotect.net; IP 5.188.206.246 is UCEPROTECT-Level 1 listed. See http://www.uceprotect.net/rblcheck.php?ipr=5.188.206.246; from=<kgjqutjwcgq@fdvcbg.longmusic.com> to=<mxxnkgxylyx@mijndomein.nl> proto=ESMTP helo=<[5.188.206.246]>
2021-04-10T02:49:37+02:00 postfix/smtpd[6114]: disconnect from unknown[5.188.206.246] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Dat IP heeft inderdaad geprobeerd een mail te sturen naar gebruiker "mxxnkgxylyx@mijndomein.nl". Een willekeurige gebruiker in de hoop dat hij in een catch-all mailbox komt? In elk geval staat dit IP ook al in de uceprotect blacklist die mailserver gebruikt en heeft ook mailserver de verbinding afgebroken.

Nog even in het DarkStat  log naar dat IP gekeken:



Daar is ook verkeer geregistreerd via de smtp poort. Ik verbaasde me eerst nog even dat ik wel uitgaand verkeer zag, terwijl de router dit geblokkeerd zou hebben. Maar dit is natuurlijk verkeer dat de nas verlaat. Dat wil niet zeggen dat dit ook door de router doorgelaten is.

Terug komend op het oude topic waar het idee in de lucht hing dat ongeopende mail hier voor verantwoordelijk is. Waarschijnlijk niet en is er hetzelfde gebeurd als hier.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Safe Acces
« Reactie #9 Gepost op: 10 april 2021, 12:24:33 »
Ik keek net even naar de useprotect link uit het maillog: http://www.uceprotect.net/en/rblcheck.php?ipr=5.188.206.246

Dat is blijkbaar een heel actief spam-IP. Usenet geeft aan:

Citaat
IP-Information

Your IP 5.188.206.246 is part of
AS
200391 KREZ999AS, BG
and the Networks 5.188.206.0/24

KREZ999AS, BG / AS200391 IS AT THIS TIME RANKED POSITION 1 OF THE 5 WORST BOTNET HOSTERS WORLDWIDE.

Dus de top1 botnet hoster van dit moment. Dat IP block zal dan waarschijnlijk niet alleen vanwege spam in de lijsten staan, maar ook vanwege andere kwaadaardige activiteiten. Wat dan de reden is dat SafeAccess hem ook in een kwaadaardig lijstje heeft staan.  ;)

Ik was nooit eerder een IP tegengekomen bij useprotect dat een hoger level had dan 3. Deze heeft ook nog een level-2 listing (heel IP blok) en een level-1 listing. (Alle IP blokken van een geregistreerde domein eigenaar) In totaal 7603 mailtjes die de afgelopen 7 dagen naar een spamtrap gestuurd zijn.

PS: Dat IP blok is geregistreerd in Hongkong
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

php safe mode write access problemen

Gestart door cogmiosBoard Synology DSM 5.1 en eerder

Reacties: 3
Gelezen: 2305
Laatste bericht 26 juni 2008, 22:13:20
door cogmios
Safe Access na upgrade naar SRM 1.2-7742

Gestart door AtmikesBoard Synology Router

Reacties: 14
Gelezen: 3019
Laatste bericht 05 november 2018, 21:31:44
door Atmikes
Security bug in Safe Access?

Gestart door BrioletBoard Synology Router

Reacties: 19
Gelezen: 3421
Laatste bericht 28 maart 2021, 12:21:57
door Babylonia
Ring deurbel gaat in power safe mode

Gestart door Tristan87Board Synology Router

Reacties: 17
Gelezen: 8093
Laatste bericht 04 april 2019, 09:15:40
door Birdy
Safe shutdown of niet

Gestart door TazmanianBoard Synology DSM algemeen

Reacties: 1
Gelezen: 905
Laatste bericht 25 juni 2020, 17:35:22
door André PE1PQX