Lijst met verdachte ip adressen?

[Stokstaart]

Beste Forumleden,

Omdat ik sinds de laatste update mijn DSM opnieuw moest installeren en er nu binnen 5 dagen alweer een hoop IP adressen ge"autoblocked" lijkt het mij dat er een hoop bots/pc's aan het proberen zijn om onze synology's binnen te komen zonder geldige reden.

In hoeverre is er een lijst beschikbaar met deze ip-adressen zodat deze direct opgenomen kunnen worden in de blokkerings-regels?

Zal ik alvast een voorzetje geven met de ip-adressen welke M.I. zo al geblockt kunnen worden omdat deze, bij mij, zonder enige reden al getracht hebben binnen te komen??

91.109.11.14
219.153.13.45
58.215.229.94
60.199.169.144
121.78.116.218
200.16.118.77
211.157.179.71
76.76.105.218

Aanvullen mag, maar interessanter is wellicht de vraag, bestaat er niet al zo'n lijst? En hoe krijg je die makkelijk in je firewall/blocklist geschoten??

[Birdy]

Goeie voorzet !
Wat denk je hiervan:
https://www.iblocklist.com/lists.php
Echter, nu nog importeren 

En deze ?
http://forum.synology.com/enu/viewtopic.php?f=3&t=75643

[Stokstaart]

Goeie voorzet !
Wat denk je hiervan:
https://www.iblocklist.com/lists.php
Echter, nu nog importeren 

En deze ?
http://forum.synology.com/enu/viewtopic.php?f=3&t=75643

Over goede voorzetjes gesproken

Maar nu nog een manier om deze adressen makkelijk in de Nas geschoten te krijgen.... iemand?

[TonVH]

Ik wil niemands enthousiasme kwetsen maar dit is een vrij hopeloze zaak. Vaak zijn het geen echte adressen en spooft dezelfde hacker continu nieuwe adressen. Je krijgt dus ellenlange lijsten. M.i. heeft preventief adressen invoeren dus weinig nut.

Beter is gewoon om een goede toegangs ID/Wachtwoord te bedenken mits Synology eindelijk zo slim is om 'admin' volledig uitschakelaar te maken. v5 weet ik niet maar bij v4  kon onder bepaalde omstandigheden toegang gekregen worden met 'admin' ook als die uitgeschakeld was.

[Briolet]

v5 weet ik niet maar bij v4  kon onder bepaalde omstandigheden toegang gekregen worden met 'admin' ook als die uitgeschakeld was.

Dat kan ook nog met V5. De gebruiker 'root' is altijd actief, gebruikt het 'admin' wachtwoord en blijft actief als admin uit staat.
Dus als je telnet of ssh aan hebt staan, wees dan zeker dat admin sterke wachtwoorden gebruikt. Beter is het om poort 22 en 23 niet in de router te forwarden. Indien wel, maak dan firewall rules aan zodat je alleen vanaf bepaalde adressen op die poorten binnen kunt komen.

[hansiedown]

Helemaal eens met Briolet. Als ik poort 22, 23 of de mailserver poorten openzet op mijn router en deze forward naar mijn NAS, zie ik allerlei pogingen om binnen te komen. Dit gebeurd uit willekeurige landen, vaak vanuit een universiteit. Er worden hierbij de standaard wachtwoorden gebruikt voor diverse applicaties.
Advies zet deze poorten dicht op je router en kijk of je niet op een andere manier via internet toegang kunt instellen naar je NAS. Is het echt nodig om dit te doen via poort 22 of 23?

[TonVH]

Voor reguliere externe toegang zul je poorten 22 en 23 volgens mij nooit nodig hebben want daarvoor zijn 21 (FTP) en 7000 (Filestation) voldoende.

Persoonlijk zou ik ook poorten voor de div. packages zoals Sickbeard, Transmission en meer niet openzetten.

[Redbull]

Kun je het in DSM 5.0 niet omdraaien ? Alleen een lijst met ip adressen die wel mogen ? Er is wel een whitelist maar of je daarmee automatisch al het overige gaat blokkeren weet ik niet ?

[pauluz_first]

Ik las op synology.com dat je via https://www.synology.com/en-global/form/inquiry/feedback de mogelijkheid hebt om een verzoek voor een uitbreiding in te dienen.
Zodat Synology de mogelijkheid gaat ondersteunen om IP adres ranges, GEO IP in te voeren of het gebruik laten toestaan van automatische blokkeringlijsten zoals  ipdeny.com .
Hoe meer mensen het verzoek in dienen hoe eerder je de kans hebt dat het geïmplementeerd wordt.

[Birdy]

Kan nu niet kijken maar die opties zijn er toch in 5.1 (ff uit m'n hoofd dus)

[pauluz_first]

Birdy, ik ben nieuw in versie 5.1 zo jij tzt eens willen kijken waar ik het kan opgeven?

[Briolet]

5.1 heeft alleen geo-blokkering. Je kunt niet gebruik maken van de diverse sites die blocklists bijhouden van bekende malware IP's.

Wat ik zelf gedaan heb is op https://www.dan.me.uk/tornodes een lijst van alle huidige Tor exit nodes te downloaden (ca 6000 de ook als een pure tekstfile vanaf die link te downloaden is.) en die in de blocklist te importeren. Ik vertrouw anonieme inloggers bij voorbaat niet en ook de bekende synolocker malware maakte intensief gebruik van Tor. De kans ik ook grot dat de besmetting zelf ook via Tor liep.

[TonVH]

lijst van alle huidige Tor exit nodes te downloaden (ca 6000 de ook als een pure tekstfile vanaf die link te downloaden is.) en die in de blocklist te importeren.

Als je zulke aantallen in die lijst gaat zetten dan lijkt mij dat dit op de meeste DS'en toch wel negatief effect op de performance moet hebben.


Ik krijg van enkele NASsen de mail over geblokkeerde pogingen toegestuurd en die is zodanig hoog dat er wel effect moet zijn door deze manier van blokkeren.


Overigens is het opvallend dat bij 3 systemen op (vrijwel) hetzelfde moment vanuit dezelfde IP (die overigens weer onderling sterk verschillen) pogingen plaatsvinden.

[Briolet]

Je vergeet de kracht van de computer; 6000 adressen vergelijken stelt echt niets voor. Verder ga ik er toch vanuit dat de lijst gesorteerd is op IP zodat vergelijken efficiënt gaat. In DSM wordt de lijst getoond met sortering op verval datum, maar ik ga er toch vanuit dat hij intern op IP gesorteerd is. (wie?)

Aanvallen zijn soms ook echt landelijk. Vorig jaar had ik b.v. 12 uur lang, elk uur een tiental pogingen. (dat was extreem veel vaker dan normaal). Toen is dat aan een kennis melde die aan de andere kant van Nederland woonde, gaf hij aan dat er bij hem hetzelfde gaande was.

Zelf heb ik alleen de 3 smtp poorten internationaal open staan en dat zijn ook de enige aanvallen die ik nu waarneem. Ik had een tijdje ssh alleen open voor Nederland en toen waren er nog steeds aanvallen vanuit Nederland. Voor ssh heb ik nu alleen een vaste lijst met een paar IP adressen die er bij mogen, de rest niet.

[Ben(V)]

Misschien heb je wat aan deze lijst?
http://www.blocked-ip.org/
of deze
http://ibl.gamechaser.net/f/tagqfxtteucbuldhezkz/bt_level1.gz