Safe Acces

[GerardR]

Sinds een paar dagen krijg ik een melding dat de verbinding vanuit mijn NAS DS218+ met een ip adres om veiligheidsredenen is geblokkeerd. Zie bijlage
Tot op heden is het mij niet gelukt de oorzaak te achterhalen. Heeft iemand een idee?

[zandhaas]

herken je de ip-adressen die je daar ziet?

147.119.204.167 is een adres uit Groot Brittannië
122.8.91.151  is een adres uit China

Dus ik vermoed dat jij deze adressen ook niet kent.

Dit zijn waarschijnlijk adressen via welke bot's proberen om op heel veel adressen over de hele wereld in te breken op de daarop aangesloten computers. Deze bots proberen met verschillende standaard users in te loggen. Als dat op jou NAS gebeurt en ze proberen het te vaak zal het gebruikte adres op je NAS geblokkeerd worden en in de lijst gezet worden die je ziet zodat een volgende poging vanaf die adressen direct geweigerd worden.

[GerardR]

Ter info: bij Safe Acces is het van binnen naar buiten en niet andersom.
Voor mij allemaal onbekende adressen. Via IP tracker controleer ik altijd eerst de adressen

[zandhaas]

Je hebt gelijk 
Ik was in de war met de auto blocking feature van de NAS zelf.

Ik zie dat op mijn mr2200ac ook gebeuren maar dan zijn het meldingen die veroorzaakt worden door werkstations (laptops, telefoons o.i.d.) die websites bezoeken waar "doorlinks" op staan naar externe sites. dat kunnen dus sites zijn die niet al te positief bekend staan en dus geblokkeerd worden. Ik heb dat bij mijn dames ook al eens nagevraagd of ze daar dan wat van zien. Maar zij zeggen daar niets van te merken.

Dus het lijkt dat jou NAS op de een of andere manier ook externe sites benaderd die qua betrouwbaarheid minder zijn. Maar dat hangt er dus vanaf wat jij aan pakketten hebt draaien op je NAS die gegevens opvragen op het internet.

Heb jij iets van een mailserver draaien op je NAS?
Volgens https://www.whatismyip.com/ip-whois-lookup/ lijkt het adres 147.119.204.167 eigendom te zijn van "Royal Mail Group Limited" lijkt dus iets met post te maken te hebben.

inetnum:        147.119.0.0 - 147.119.255.255
netname:        UKPOIT-NET
descr:          Royal Mail Group Limited
country:        GB

[Babylonia]

Ter info: bij Safe Acces is het van binnen naar buiten en niet andersom.
Voor mij allemaal onbekende adressen. Via IP tracker controleer ik altijd eerst de adressen

Precies de reden om dat dataverkeer dan te blokkeren.  Het valt onder dataverkeer wat "onbekend" is vanuit instellingen of services
die je "wel" op een of andere wijze toestemming hebt gegeven, of "normaal" is om naar buiten te mogen communiceren.

[GerardR]

Na het opschonen van de mailboxen op de mailserver (leegmaken prullebakken, spam verwijderen) geen meldingen meer.
Vermoedelijk kunnen dus ook niet geopende spam berichten dit veroorzaken.

[Briolet]

Ik hoop maar dat dit toeval is.

Het zou heel beangstigend zijn als een ongeopend bericht al dataverkeer kan veroorzaken. Dat zou inhouden dat alleen het sturen van een kwaadaardige mail al genoeg is om een computer over te nemen. Wat ik niet geloof.

[GerardR]

De oorzaak heb ik niet kunnen achterhalen. Het is gissen, maar onbekende emails en spam worden nooit geopend.
In ieder geval een geruststelling dat er geen meldingen meer zijn en het euvel is verholpen.

[Briolet]

Even aanhaken op dit onderwerp omdat ik hetzelfde had en nu wel een duidelijke oorzaak zie.

Ik kreeg vannacht twee mailtjes over een geblokkeerd IP:

Code: [Selecteer]

De verbinding van DS415-port-A met 5.188.206[.]246 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
en
De verbinding van 00:11:32:3a:0e:ce met 5.188.206[.]246 is geblokkeerd om veiligheidsredenen(Kwaadaardig).

De 2 ethernet poorten van mijn nas staan in een bond en de eerste is de naam van mijn poort A en de tweede het ethernet adres van mijn poort B. (Ik heb geen idee waarom verschillende weergaves gebruikt worden)

Inloggen op de router gaf:



Opvallend is dat hij de blokkering per poort in de bond logt. En waarom beide poorten van de bond? Ik kan me alleen voorstellen dat de nas het niet via de ene poort naar buiten krijgt en het dus via de andere poort probeert.

Het log is vergelijkbaar met dat van Gerard hierboven. Het is de nas die verbinding met dat kwaadaardige IP wil maken. Vervolgens zoek ik het IP op bij myip.ms. Daar staat hij sinds 2 april blacklisted met als reden dat Spamhause het hele block 5.188.206.0/24 op de blacklist gezet heeft. Bij spamhouse denk ik direct aan spam en dus mail. (Waarom blockt de router hem dan als kwaadaardig en niet als spam?)

Kijk ik in mijn maillog, dan vind ik dit IP weer terug:

Code: [Selecteer]

2021-04-10T02:49:27+02:00 postfix/smtpd[6114]: connect from unknown[5.188.206.246]
2021-04-10T02:49:35+02:00 postfix/policy-spf[6149]: Policy action=PREPEND Received-SPF: none (fdvcbg.longmusic.com: No applicable sender policy available) receiver=GedeeldeData; identity=mailfrom; envelope-from="kgjqutjwcgq@fdvcbg.longmusic.com"; helo="[5.188.206.246]"; client-ip=5.188.206.246
2021-04-10T02:49:36+02:00 postfix/smtpd[6114]: NOQUEUE: reject: RCPT from unknown[5.188.206.246]: 554 5.7.1 Service unavailable; Client host [5.188.206.246] blocked using dnsbl-1.uceprotect.net; IP 5.188.206.246 is UCEPROTECT-Level 1 listed. See http://www.uceprotect.net/rblcheck.php?ipr=5.188.206.246; from=<kgjqutjwcgq@fdvcbg.longmusic.com> to=<mxxnkgxylyx@mijndomein.nl> proto=ESMTP helo=<[5.188.206.246]>
2021-04-10T02:49:37+02:00 postfix/smtpd[6114]: disconnect from unknown[5.188.206.246] ehlo=1 mail=1 rcpt=0/1 quit=1 commands=3/4

Dat IP heeft inderdaad geprobeerd een mail te sturen naar gebruiker "mxxnkgxylyx@mijndomein.nl". Een willekeurige gebruiker in de hoop dat hij in een catch-all mailbox komt? In elk geval staat dit IP ook al in de uceprotect blacklist die mailserver gebruikt en heeft ook mailserver de verbinding afgebroken.

Nog even in het DarkStat  log naar dat IP gekeken:



Daar is ook verkeer geregistreerd via de smtp poort. Ik verbaasde me eerst nog even dat ik wel uitgaand verkeer zag, terwijl de router dit geblokkeerd zou hebben. Maar dit is natuurlijk verkeer dat de nas verlaat. Dat wil niet zeggen dat dit ook door de router doorgelaten is.

Terug komend op het oude topic waar het idee in de lucht hing dat ongeopende mail hier voor verantwoordelijk is. Waarschijnlijk niet en is er hetzelfde gebeurd als hier.

[Briolet]

Ik keek net even naar de useprotect link uit het maillog: http://www.uceprotect.net/en/rblcheck.php?ipr=5.188.206.246

Dat is blijkbaar een heel actief spam-IP. Usenet geeft aan:

IP-Information

Your IP 5.188.206.246 is part of
AS
200391 KREZ999AS, BG
and the Networks 5.188.206.0/24

KREZ999AS, BG / AS200391 IS AT THIS TIME RANKED POSITION 1 OF THE 5 WORST BOTNET HOSTERS WORLDWIDE.

Dus de top1 botnet hoster van dit moment. Dat IP block zal dan waarschijnlijk niet alleen vanwege spam in de lijsten staan, maar ook vanwege andere kwaadaardige activiteiten. Wat dan de reden is dat SafeAccess hem ook in een kwaadaardig lijstje heeft staan. 

Ik was nooit eerder een IP tegengekomen bij useprotect dat een hoger level had dan 3. Deze heeft ook nog een level-2 listing (heel IP blok) en een level-1 listing. (Alle IP blokken van een geregistreerde domein eigenaar) In totaal 7603 mailtjes die de afgelopen 7 dagen naar een spamtrap gestuurd zijn.

PS: Dat IP blok is geregistreerd in Hongkong