Auteur Topic: Hoe weer je de hackers uit China?  (gelezen 26281 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #60 Gepost op: 03 augustus 2019, 12:51:30 »
En NXS internet stuurt deze reeks 80.246.176.0/20 het internet op (waar dus vele duizenden IP adressen inzitten) en deze blokken hebben dan de stempel Nederland in de GeoIP database. http://www.maxmind.com/en/geolocation_landing (Synology gebruikt MaxMind)

Even een heel oud topic afstoffen. Het klopt dat Synology de database van MaxMind gebruikt, alleen niet de GeoIP database, maar de GeoLite database. Dat is een kleinere database die waarschijnlijk minder nauwkeurig is.

Nu is MaxMind per 2 januari 2019 gestopt met het updaten van hu GeoLite database. Gebruikers (Lees Synology) zouden op de GeoLite2 database moeten overstappen.

Ik kwam er vandaag achter dat Synology nog steeds de verouderde GeoLite database gebruikt. (Eigenlijk had ik dat al maanden geleden gelezen, maar ik kon de bron niet meer vinden). Als ik het IP "68.183.80.165" in de blocklist zet, geeft de nas aan dat dit een USA adres is. Als ik echter de GeoLite2 database download, staat hij erin als een Indiaas adres.
Het niet updaten door Synology kan er ook toe leiden dat voormalige buitenlandse IP adressen die door Nederlandse/Belgische firma's gekocht zijn, nu door de firewall geblokkeerd worden als je buitenlandse IP adressen blokkeert.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: Hoe weer je de hackers uit China?
« Reactie #61 Gepost op: 15 augustus 2019, 10:24:58 »
Zeer interessante allemaal! Ben niet zo bekend met deze materie. Stel nu dat ik een aantal aanbevelingen wil opvolgen?
Zouden we dan de gegeven informatie kunnen/willen indikken tot een lijstje?

Dus welke regels je zeker moet invoerenen en welke je wellicht ook kunt invoeren?
Ik ben benieuwd!
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: Hoe weer je de hackers uit China?
« Reactie #62 Gepost op: 29 augustus 2019, 17:18:38 »
Volgens Synology support komt er een aanpassing voor geolocation DSM 6.2.3:
Citaat
We are scheduling to update DB in DSM6.2.3.

Please kindly stay tuned with our update.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #63 Gepost op: 20 januari 2020, 14:06:21 »
Hmm. We zitten nog steeds op 6.2.2.

Ik zag in mijn maillog dat Iran bij mij ook heel actief is sinds 19 december.

SLIBUserRealNameGet(user=info@xxxx) failed
SLIBUserRealNameGet(user= gtm2@xxxx) failed
SLIBUserRealNameGet(user= tamra@xxxx) failed
SLIBUserRealNameGet(user= dxy@xxxx) failed
SLIBUserRealNameGet(user=www.pay@xxxx) failed
SLIBUserRealNameGet(user=test.magento@xxxx) failed
SLIBUserRealNameGet(user= biblioteka@xxxx) failed
SLIBUserRealNameGet(user= test@xxxx) failed
SLIBUserRealNameGet(user= buzon@xxxx) failed
SLIBUserRealNameGet(user= battlestar-galactica@xxxx) failed
etc.



Steeds wisselende IP nummers uit het blok 46.38.144.xxx. Ook nooit vaker dan één poging per inlognaam. (Alleen info proberen ze vaker). Met één poging kom je niet ver. Misschien hopen ze op een vergeten test account waar geen wachtwoord op zit, of het wachtwoord 'test', '1234', 'password', etc.

De server staat in de UK volgens het wois record, maar het IP staat op naam van een Iranees adres. Ook de geoblok info van Synology geeft het aan als Iranees.
De IP blok is weer onderdeel van een groter blok dat ook op naam van Iran staat. Ik heb het heel Iran maar in de geoblok gezet. (Poort 25 valt bij mij buiten de reguliere geoblok die ik op andere poorten gebruik)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Hoe weer je de hackers uit China?
« Reactie #64 Gepost op: 20 januari 2020, 14:39:29 »
# whois -B 46.38.144.1
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '46.38.144.0 - 46.38.144.255'

% Abuse contact for '46.38.144.0 - 46.38.144.255' is 'mobinsaffor@yandex.com'

inetnum:        46.38.144.0 - 46.38.144.255
org:            ORG-SSJI1-RIPE
netname:        Sarang
country:        IR
admin-c:        MS48926-RIPE
tech-c:         MS48926-RIPE
status:         ASSIGNED PA
mnt-by:         mobinsaffor
created:        2019-09-13T20:13:14Z
last-modified:  2019-09-13T20:42:44Z
source:         RIPE

organisation:   ORG-SSJI1-RIPE
org-name:       Sarang System Jonoob IT LTD.
org-type:       OTHER
address:        No 81, 3rd Unit, Mehdi Building, Railway Str, Kianabad, Tehran, Iran
e-mail:         mobinsaffor@yandex.com
abuse-c:        ACRO27010-RIPE
mnt-ref:        mobinsaffor
mnt-by:         mobinsaffor
created:        2019-07-11T13:13:48Z
last-modified:  2019-09-14T11:50:00Z
source:         RIPE

person:         Mobin Saffor
address:        mobinsaffor@yandex.com
phone:          +9809121139827
nic-hdl:        MS48926-RIPE
mnt-by:         mobinsaffor
created:        2019-08-20T08:09:29Z
last-modified:  2019-09-20T19:58:51Z
source:         RIPE

% Information related to '46.38.144.0/24AS133398'

route:          46.38.144.0/24
origin:         AS133398
mnt-by:         mobinsaffor
created:        2019-10-06T10:56:19Z
last-modified:  2019-10-06T10:56:19Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.96 (BLAARKOP)

Hong Kong: https://bgp.he.net/AS133398

Citaat
You're most likely just being attacked by someone in China using an IP block with stale whois info.
https://www.lowendtalk.com/discussion/comment/3073062/#Comment_3073062
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #65 Gepost op: 20 januari 2020, 16:07:08 »
Ik kijk vaak op deze site: https://myip.ms/info/whois/46.38.144.1

Je krijgt vrijwel dezelfde info als je "whois" terminal commando. Alleen geven ze ook nog een IP lokatie op. Volgens mij is dat de fysieke lokatie van het IP adres. (Moet ik een beter naar kijken)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Hoe weer je de hackers uit China?
« Reactie #66 Gepost op: 20 januari 2020, 16:34:33 »
# traceroute -I 46.38.144.1
traceroute to 46.38.144.1 (46.38.144.1), 30 hops max, 60 byte packets
 1  10.8.4.1 (10.8.4.1)  14.933 ms  14.932 ms  20.109 ms
 2  89.39.107.3 (89.39.107.3)  22.742 ms  22.751 ms  22.758 ms
 3  109.236.95.230 (109.236.95.230)  22.764 ms  22.773 ms  22.780 ms
 4  109.236.95.167 (109.236.95.167)  22.614 ms  22.626 ms  22.634 ms
 5  80.249.210.13 (80.249.210.13)  58.685 ms  58.702 ms  58.704 ms
 6  87.110.223.130 (87.110.223.130)  62.942 ms  56.149 ms  56.116 ms
 7  87.110.254.237 (87.110.254.237)  80.385 ms  80.396 ms  80.394 ms
 8  mxbackup.microlink.lt (213.197.128.83)  62.320 ms  60.760 ms  60.727 ms
 9  46.38.144.1 (46.38.144.1)  66.287 ms  60.554 ms  60.518 ms

Zie daar voorlaatste is Litouwen, lijkt me waarschijnlijker dat IP locatie Iran is.
myip toont misschien cache info?
Daarom gebruik ik "whois -B x.x.x.x"
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #67 Gepost op: 20 januari 2020, 18:16:27 »
Op de mac staat de OpenBSD versie van whois en die kent geen -B parameter.  :'( (En die is er juist om de update info op te halen)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline thomson123

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 2
Re: Hoe weer je de hackers uit China?
« Reactie #68 Gepost op: 10 mei 2020, 09:37:56 »
Ik ben aan het uitzoeken of ik automatisch mijn router kan updaten met de laatste geoip informatie. Op mijn synology NAS wil ik deze informatie neerzetten en automatisch uploaden/downloaden naar mijn router. Mijn router heeft te weinig schijf ruimte om alle geoip bestanden op te slaan, dus kan alleen maar een subset, daarom deze methode. Het automatiseren omdat ik niet elke dag/week handmatig deze informatie wil updaten.

Aangezien de synology NAS deze informatie al ergens heeft staan omdat deze er zelf ook gebruik van maakt in de firewall ben ik gaan zoeken. Het lijkt te staan in /usr/share/xt_geoip, waarbij de bestanden een datum hebben van 2 april 2019...

De bestanddatum lijkt redelijk oud, wordt deze automatisch geupdate of kan ik dit handmatig forceren? En zijn er überhaupt nog updates beschikbaar nu er bij MaxMind ingelogd moet worden?

Thanks!


Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #69 Gepost op: 10 mei 2020, 10:09:35 »
Klopt dat ze al een tijd niet geüpdate worden. De reden heb ik hier geschreven.

In de help staat waar Synology zijn Geo info vandaan haalt. Daar kun je ook zelf nieuwere formaten van de geoip halen. (Maar zo te lezen had je daar ook al gekeken)

Overigens weet ik niet waarom Synology die grote database files op de nas heeft staan. (Het zijn zo ongeveer de grootste systeemfiles). Ze zijn alleen zo groot omdat dit IP adressen tot op straatniveau zijn. Er staat ook een heel veel kleinere database in dezelfde folder met alleen een landenkoppeling. Dat laatste lijkt me genoeg voor de firewall.

Het kan zijn dat Synology pas in DSM 7 wilde overstappen en de introductie van deze dsm-versie nu meer vertraging heeft dan vooraf ingeschat.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: Hoe weer je de hackers uit China?
« Reactie #70 Gepost op: 10 mei 2020, 12:54:07 »
Is het een staische lijst of iets dergelijks?
Hm, kunnen we intussen niet het nieuwe formaat omtransformeren naar het oude formaat middels een script?
Dit heeft natuurlijk tijdelijk zin, maar hiermee kunnen we mooi de tussenliggende tijd overlappen.

NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Hoe weer je de hackers uit China?
« Reactie #71 Gepost op: 16 mei 2020, 14:29:24 »
Ik keek zonet in mijn verbindingslog en zag iets heel vreemds. Ik zag dat er eergisteren 3x vergeefs geprobeerd is via SSH in te loggen.



Het IP is uit China. (Zowel volgens mijn eigen test als de blokkeringslijst van de nas)

Een SSH inlog zie ik nooit omdat de firewall dat niet toelaat. Mijn firewall regel is als volgt:



In de eerdere regels staan alleen 'weiger' regels of toestemmingen voor een specifiek enkel IP (Waaronder 3 Synology IP's die ook toegang tot poort 22 hebben). De twee getoonde regels betreffen alleen poort 22 waarbij ik eerst mijn LAN IP adressen toestemming geef en daarna alles weiger.

Dit IP had dus nooit de kans mogen krijgen om in te loggen. Bug in de Synology firewall?
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Telefoon gaat niet over / dan weer wel

Gestart door werkt-nuBoard Synology Router

Reacties: 14
Gelezen: 3610
Laatste bericht 23 februari 2017, 22:53:13
door Babylonia
Sorry, toch weer over slaapstand

Gestart door Willem27Board NAS hardware vragen

Reacties: 8
Gelezen: 2675
Laatste bericht 16 februari 2015, 10:07:50
door Willem27
Ja, ja, wéér converteer problemen....

Gestart door TegelsBoard Photo Station / Photos

Reacties: 16
Gelezen: 9156
Laatste bericht 18 mei 2013, 17:11:45
door Robert Koopman
externe unit weer aankoppelen en is deze dan weer leesbaar of niet???

Gestart door heheBoard NAS hardware vragen

Reacties: 13
Gelezen: 953
Laatste bericht 01 juni 2023, 14:58:15
door hehe
VERPLAATST: Domoticz na installeren schakeld in maar meteen weer uit?

Gestart door BirdyBoard Synology DSM 6.1

Reacties: 0
Gelezen: 2233
Laatste bericht 08 maart 2017, 20:23:19
door Birdy