Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: EFischer op 15 februari 2023, 00:21:46
-
Sinds gisteren krijg ik een stroom meldingen binnen van de Synology Router (Safe Access)...
Geblokkeerd om veiligheidsredenen, categorie kwaadaardig...
Er zit overigens steeds precies een kwartier verschil tussen de meldingen....
Het gaat om een enorm aantal verschillende IP adressen. Ik heb van een paar een WHOIS gedaan.. Lijken naar Frankfurt am Main te wijzen...
Wat ik me afvraag.. wat is m'n NAS aan het doen? Waar probeert verbinding mee te maken en waarom? Hoe kan ik dat opzoeken?
Ik zie nu alleen de logs van de router..
-
Kun je dan eens een aantal van die IP addresses hier weergeven waar kennelijk op wordt geblokkeerd?
(Mogelijk zitten ze allemaal in een bepaalde subnet range).
En heb je nog extra web-filters ingesteld in Safe Access waarop wordt gefilterd, voor het gehele netwerk, of alleen de NAS?
-
wat is m'n NAS aan het doen?
Is het de nas? Of is het een device op je netwerk die deze verbindingen probeert te maken?
-
ik heb voor nu eerst eens alle dockers uitgezet.. (speedtest, uptime Kuma, flame) kijken of het daar aan ligt
-
Als bijlage een screenshot van de laatste uren..
-
Ik zie dat ze niet alleen vanaf de nas komen. Bij je iPhone komt een melding uit het IP block: 138.199.36.0/23 Bij de nas komen ook veel meldingen uit dat block van 512 adressen met als eigenaar "Datacamp Limited". https://www.datacamp.com/about Het is een bedrijf dat websites analyseert. Overigens komt het IP adres van je Windows machine uit het 169.150.247.0/24 blok, dat ook van Datacamp is.
Gebruik je een eigen DNS server? Want dan hoeft dit verkeer niet vanuit de nas te komen. In de praktijk zijn het steeds DNS opvragen op uitgaande poort 53 die onderschept worden. Altijd jammer dat niet de bijbehorende domeinnamen gelogd worden. Draai je een website op je nas?
-
Zelf heb ik ook blokkades van IP's in het bereik 138.199.36.xx en 138.199.37.xx
Enkele vanuit mijn laptop omdat ik gisteren heb geprobeerd dat IP te benaderen.
Meer van een bepaald type smartphone in het gast netwerk, van een buur die van mijn WiFi gast netwerk gebruik maakt.
Bij elkaar 34 regels.
-
Overigens komt het IP adres van je Windows machine uit het 169.150.247.0/24 blok, dat ook van Datacamp is.
Ik dacht dat een 169 adres geen geldig IP adres is??
(Als er geen actieve netwerkverbinding is, wordt er door de nic zelf een 169 adres toegewezen?).
-
Ik dacht dat een 169 adres geen geldig IP adres is??
Zeker wel. Alleen de range 169.168.xx.yy is gereserveerd voor privé gebruik. Dat is nog geen half % van de 169 reeks.
Privé adres reeksen (https://en.wikipedia.org/wiki/Private_network)
-
De reeks die jij noemt 169.168.xx.yy komt niet voor in de WiKi als privé adres.
Wel 169.254.1.0 tot 169.254.254.255
-
Ik had net ook 10 mailtjes in 10 minuten tijd dat er IP adressen van 1 bepaalde mac geblokkeerd waren. Dit waren ook allemaal IP adressen uit de boven genoemde reeksen.
Ik heb even in de browsergeschiedenis gekeken en in die periode is er slechts 1 website bezocht op die mac. Ik bezoek daarom die website weer en per omgaande komt er weer een blokkeringsmail. (Ik zal die website hier maar niet vermelden)
Ik gok dat het een module op die site is die advertenties laad of trackers gebruikt. En die module zal door meer websites gebruikt worden. Dan blijft het de vraag waarom de nas dit soort meldingen krijgt, want die surft niet op het internet.
-
De meldingen die mn iPhone betreft zijn denk ik pogingen om te checken welk domein het betreft.
Ik heb geen DNS server draaien op deze NAS. Wel een (statische) website. nas.ericfischer.nl
Ik verdacht een docker die ik draai, een speedtest - ook omdat deze bad request aangaf .
Deze gestopt maar dat mocht niet baten.
Verder nog Invoice Ninja in een docker.
NAS maar eens herstart.. Kijken wat er nu verder gebeurt
-
Zet Uptime Kuma eens uit dan?? Da's als ik het wel heb een tool om te zien of je site (of server) wel up is....
-
Vandaag stond in de krant dat Pieter Pot failliet dreigde te gaan en er nu een nieuwe eigenaar is. Dus kijk ik voor de aardigheid even op hun website "www.pieter-pot.nl".
En prompt komen de meldingen van de router dat er bepaalde IP adressen geblokkeerd zijn. Weer allemaal uit bovenstaande reeksen.
(Edit: Het waren 138.199.37[.]229, 169.150.247[.]37, 169.150.247[.]33 en 138.199.37[.]227. Alles van Datacamp)
-
Geprobeerd met mijn laptop, en inderdaad meteen 4 meldingen in de log terug te vinden.
(Hoewel slechts één melding als "kwaadaardig" is aangemerkt met verwijzing naar IP 169.150.247.39 ).
-
Uit nieuwsgierigheid even in het browser error log gekeken. Daarin staat:
[Error] Failed to load resource: Het certificaat van deze server is ongeldig. Mogelijk maak je verbinding met een server die zich voordoet als 'gdprcdn.b-cdn.net', waardoor je vertrouwelijke informatie gevaar kan lopen. (https://gdprcdn.b-cdn.net/js/gdpr_cookie_consent.min.js?shop=puurbezorgd.myshopify.com)
De melding van het ongeldige certificaat komt doordat de router de verbinding blokkeert en dan het certificaat van de router toont. Die is natuurlijk ongeldig voor de site "gdprcdn.b-cdn.net".
Even het IP opgezocht:
iMac-DDR2% host gdprcdn.b-cdn.net
gdprcdn.b-cdn.net has address 169.150.247.36
gdprcdn.b-cdn.net has IPv6 address 2400:52e0:1e00::1082:1
Het mailtje dat ik kreeg was overigens:
De verbinding van iMac-DDR2-2 met 185.59.220[.]194 is geblokkeerd om veiligheidsredenen(Kwaadaardig).
Wel een ander IP, maar ook van Datacamp. Gezien de link uit het errorlog betreft het hier een tracking link, waarbij Datacamp het bezoek aan "puurbezorgd.myshopify.com" aan het tracken is.
Het kan best zijn dat deze site zelf niet kwaadaardig is, maar dat Datacamp ook diverse kwaadaardige sites aan het tracken was. Hoe dan ook, als zij hun klanten niet controleren dan is het terecht dat de IP adressen van Datacamp ook als kwaadaardig te boek komen.
-
Het is inderdaad allemaal Datacamp.
Nu nog uitvinden wie of wat op de NAS die uitgaande verbindingen maakt
-
Met het uitschakelen van de Flame docker lijkt het nu voorbij te zijn.
Sinds gisteravond geen meldingen meer.
Binnenkort maar eens checken of het Flame zelf is of één van de links die ik daar heb verzameld...