Hoe weer je de hackers uit China?

[Briolet]

En NXS internet stuurt deze reeks 80.246.176.0/20 het internet op (waar dus vele duizenden IP adressen inzitten) en deze blokken hebben dan de stempel Nederland in de GeoIP database. http://www.maxmind.com/en/geolocation_landing (Synology gebruikt MaxMind)

Even een heel oud topic afstoffen. Het klopt dat Synology de database van MaxMind gebruikt, alleen niet de GeoIP database, maar de GeoLite database. Dat is een kleinere database die waarschijnlijk minder nauwkeurig is.

Nu is MaxMind per 2 januari 2019 gestopt met het updaten van hu GeoLite database. Gebruikers (Lees Synology) zouden op de GeoLite2 database moeten overstappen.

Ik kwam er vandaag achter dat Synology nog steeds de verouderde GeoLite database gebruikt. (Eigenlijk had ik dat al maanden geleden gelezen, maar ik kon de bron niet meer vinden). Als ik het IP "68.183.80.165" in de blocklist zet, geeft de nas aan dat dit een USA adres is. Als ik echter de GeoLite2 database download, staat hij erin als een Indiaas adres.
Het niet updaten door Synology kan er ook toe leiden dat voormalige buitenlandse IP adressen die door Nederlandse/Belgische firma's gekocht zijn, nu door de firewall geblokkeerd worden als je buitenlandse IP adressen blokkeert.

[aliazzz]

Zeer interessante allemaal! Ben niet zo bekend met deze materie. Stel nu dat ik een aantal aanbevelingen wil opvolgen?
Zouden we dan de gegeven informatie kunnen/willen indikken tot een lijstje?

Dus welke regels je zeker moet invoerenen en welke je wellicht ook kunt invoeren?
Ik ben benieuwd!

[hansiedown]

Volgens Synology support komt er een aanpassing voor geolocation DSM 6.2.3:

We are scheduling to update DB in DSM6.2.3.

Please kindly stay tuned with our update.

[Briolet]

Hmm. We zitten nog steeds op 6.2.2.

Ik zag in mijn maillog dat Iran bij mij ook heel actief is sinds 19 december.

Code: [Selecteer]

SLIBUserRealNameGet(user=info@xxxx) failed
SLIBUserRealNameGet(user= gtm2@xxxx) failed
SLIBUserRealNameGet(user= tamra@xxxx) failed
SLIBUserRealNameGet(user= dxy@xxxx) failed
SLIBUserRealNameGet(user=www.pay@xxxx) failed
SLIBUserRealNameGet(user=test.magento@xxxx) failed
SLIBUserRealNameGet(user= biblioteka@xxxx) failed
SLIBUserRealNameGet(user= test@xxxx) failed
SLIBUserRealNameGet(user= buzon@xxxx) failed
SLIBUserRealNameGet(user= battlestar-galactica@xxxx) failed
etc.



Steeds wisselende IP nummers uit het blok 46.38.144.xxx. Ook nooit vaker dan één poging per inlognaam. (Alleen info proberen ze vaker). Met één poging kom je niet ver. Misschien hopen ze op een vergeten test account waar geen wachtwoord op zit, of het wachtwoord 'test', '1234', 'password', etc.

De server staat in de UK volgens het wois record, maar het IP staat op naam van een Iranees adres. Ook de geoblok info van Synology geeft het aan als Iranees.
De IP blok is weer onderdeel van een groter blok dat ook op naam van Iran staat. Ik heb het heel Iran maar in de geoblok gezet. (Poort 25 valt bij mij buiten de reguliere geoblok die ik op andere poorten gebruik)

[Pippin]

Code: [Selecteer]

# whois -B 46.38.144.1
% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Information related to '46.38.144.0 - 46.38.144.255'

% Abuse contact for '46.38.144.0 - 46.38.144.255' is 'mobinsaffor@yandex.com'

inetnum:        46.38.144.0 - 46.38.144.255
org:            ORG-SSJI1-RIPE
netname:        Sarang
country:        IR
admin-c:        MS48926-RIPE
tech-c:         MS48926-RIPE
status:         ASSIGNED PA
mnt-by:         mobinsaffor
created:        2019-09-13T20:13:14Z
last-modified:  2019-09-13T20:42:44Z
source:         RIPE

organisation:   ORG-SSJI1-RIPE
org-name:       Sarang System Jonoob IT LTD.
org-type:       OTHER
address:        No 81, 3rd Unit, Mehdi Building, Railway Str, Kianabad, Tehran, Iran
e-mail:         mobinsaffor@yandex.com
abuse-c:        ACRO27010-RIPE
mnt-ref:        mobinsaffor
mnt-by:         mobinsaffor
created:        2019-07-11T13:13:48Z
last-modified:  2019-09-14T11:50:00Z
source:         RIPE

person:         Mobin Saffor
address:        mobinsaffor@yandex.com
phone:          +9809121139827
nic-hdl:        MS48926-RIPE
mnt-by:         mobinsaffor
created:        2019-08-20T08:09:29Z
last-modified:  2019-09-20T19:58:51Z
source:         RIPE

% Information related to '46.38.144.0/24AS133398'

route:          46.38.144.0/24
origin:         AS133398
mnt-by:         mobinsaffor
created:        2019-10-06T10:56:19Z
last-modified:  2019-10-06T10:56:19Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.96 (BLAARKOP)

Hong Kong: https://bgp.he.net/AS133398

You're most likely just being attacked by someone in China using an IP block with stale whois info.

https://www.lowendtalk.com/discussion/comment/3073062/#Comment_3073062

[Briolet]

Ik kijk vaak op deze site: https://myip.ms/info/whois/46.38.144.1

Je krijgt vrijwel dezelfde info als je "whois" terminal commando. Alleen geven ze ook nog een IP lokatie op. Volgens mij is dat de fysieke lokatie van het IP adres. (Moet ik een beter naar kijken)

[Pippin]

Code: [Selecteer]

# traceroute -I 46.38.144.1
traceroute to 46.38.144.1 (46.38.144.1), 30 hops max, 60 byte packets
 1  10.8.4.1 (10.8.4.1)  14.933 ms  14.932 ms  20.109 ms
 2  89.39.107.3 (89.39.107.3)  22.742 ms  22.751 ms  22.758 ms
 3  109.236.95.230 (109.236.95.230)  22.764 ms  22.773 ms  22.780 ms
 4  109.236.95.167 (109.236.95.167)  22.614 ms  22.626 ms  22.634 ms
 5  80.249.210.13 (80.249.210.13)  58.685 ms  58.702 ms  58.704 ms
 6  87.110.223.130 (87.110.223.130)  62.942 ms  56.149 ms  56.116 ms
 7  87.110.254.237 (87.110.254.237)  80.385 ms  80.396 ms  80.394 ms
 8  mxbackup.microlink.lt (213.197.128.83)  62.320 ms  60.760 ms  60.727 ms
 9  46.38.144.1 (46.38.144.1)  66.287 ms  60.554 ms  60.518 ms
Zie daar voorlaatste is Litouwen, lijkt me waarschijnlijker dat IP locatie Iran is.
myip toont misschien cache info?
Daarom gebruik ik "whois -B x.x.x.x"

[Briolet]

Op de mac staat de OpenBSD versie van whois en die kent geen -B parameter.  (En die is er juist om de update info op te halen)

[thomson123]

Ik ben aan het uitzoeken of ik automatisch mijn router kan updaten met de laatste geoip informatie. Op mijn synology NAS wil ik deze informatie neerzetten en automatisch uploaden/downloaden naar mijn router. Mijn router heeft te weinig schijf ruimte om alle geoip bestanden op te slaan, dus kan alleen maar een subset, daarom deze methode. Het automatiseren omdat ik niet elke dag/week handmatig deze informatie wil updaten.

Aangezien de synology NAS deze informatie al ergens heeft staan omdat deze er zelf ook gebruik van maakt in de firewall ben ik gaan zoeken. Het lijkt te staan in /usr/share/xt_geoip, waarbij de bestanden een datum hebben van 2 april 2019...

De bestanddatum lijkt redelijk oud, wordt deze automatisch geupdate of kan ik dit handmatig forceren? En zijn er überhaupt nog updates beschikbaar nu er bij MaxMind ingelogd moet worden?

Thanks!

[Briolet]

Klopt dat ze al een tijd niet geüpdate worden. De reden heb ik hier geschreven.

In de help staat waar Synology zijn Geo info vandaan haalt. Daar kun je ook zelf nieuwere formaten van de geoip halen. (Maar zo te lezen had je daar ook al gekeken)

Overigens weet ik niet waarom Synology die grote database files op de nas heeft staan. (Het zijn zo ongeveer de grootste systeemfiles). Ze zijn alleen zo groot omdat dit IP adressen tot op straatniveau zijn. Er staat ook een heel veel kleinere database in dezelfde folder met alleen een landenkoppeling. Dat laatste lijkt me genoeg voor de firewall.

Het kan zijn dat Synology pas in DSM 7 wilde overstappen en de introductie van deze dsm-versie nu meer vertraging heeft dan vooraf ingeschat.

[aliazzz]

Is het een staische lijst of iets dergelijks?
Hm, kunnen we intussen niet het nieuwe formaat omtransformeren naar het oude formaat middels een script?
Dit heeft natuurlijk tijdelijk zin, maar hiermee kunnen we mooi de tussenliggende tijd overlappen.

[Briolet]

Ik keek zonet in mijn verbindingslog en zag iets heel vreemds. Ik zag dat er eergisteren 3x vergeefs geprobeerd is via SSH in te loggen.



Het IP is uit China. (Zowel volgens mijn eigen test als de blokkeringslijst van de nas)

Een SSH inlog zie ik nooit omdat de firewall dat niet toelaat. Mijn firewall regel is als volgt:



In de eerdere regels staan alleen 'weiger' regels of toestemmingen voor een specifiek enkel IP (Waaronder 3 Synology IP's die ook toegang tot poort 22 hebben). De twee getoonde regels betreffen alleen poort 22 waarbij ik eerst mijn LAN IP adressen toestemming geef en daarna alles weiger.

Dit IP had dus nooit de kans mogen krijgen om in te loggen. Bug in de Synology firewall?