Auteur Topic: Lijst met verdachte ip adressen?  (gelezen 8482 keer)

Offline Stokstaart

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 3
  • Berichten: 14
Lijst met verdachte ip adressen?
« Gepost op: 18 februari 2014, 15:49:39 »
Beste Forumleden,

Omdat ik sinds de laatste update mijn DSM opnieuw moest installeren en er nu binnen 5 dagen alweer een hoop IP adressen ge"autoblocked" lijkt het mij dat er een hoop bots/pc's aan het proberen zijn om onze synology's binnen te komen zonder geldige reden.

In hoeverre is er een lijst beschikbaar met deze ip-adressen zodat deze direct opgenomen kunnen worden in de blokkerings-regels?

Zal ik alvast een voorzetje geven met de ip-adressen welke M.I. zo al geblockt kunnen worden omdat deze, bij mij, zonder enige reden al getracht hebben binnen te komen??

91.109.11.14
219.153.13.45
58.215.229.94
60.199.169.144
121.78.116.218
200.16.118.77
211.157.179.71
76.76.105.218

Aanvullen mag, maar interessanter is wellicht de vraag, bestaat er niet al zo'n lijst? En hoe krijg je die makkelijk in je firewall/blocklist geschoten??
  • Mijn Synology: 411j

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Lijst met verdachte ip adressen?
« Reactie #1 Gepost op: 18 februari 2014, 16:02:57 »
Goeie voorzet !
Wat denk je hiervan:
https://www.iblocklist.com/lists.php
Echter, nu nog importeren  :o

En deze ?
http://forum.synology.com/enu/viewtopic.php?f=3&t=75643


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Stokstaart

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 3
  • Berichten: 14
Re: Lijst met verdachte ip adressen?
« Reactie #2 Gepost op: 18 februari 2014, 16:27:15 »
Goeie voorzet !
Wat denk je hiervan:
https://www.iblocklist.com/lists.php
Echter, nu nog importeren  :o

En deze ?
http://forum.synology.com/enu/viewtopic.php?f=3&t=75643

Over goede voorzetjes gesproken ;)

Maar nu nog een manier om deze adressen makkelijk in de Nas geschoten te krijgen.... iemand?
  • Mijn Synology: 411j

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Lijst met verdachte ip adressen?
« Reactie #3 Gepost op: 18 februari 2014, 16:41:24 »
Ik wil niemands enthousiasme kwetsen maar dit is een vrij hopeloze zaak. Vaak zijn het geen echte adressen en spooft dezelfde hacker continu nieuwe adressen. Je krijgt dus ellenlange lijsten. M.i. heeft preventief adressen invoeren dus weinig nut.

Beter is gewoon om een goede toegangs ID/Wachtwoord te bedenken mits Synology eindelijk zo slim is om 'admin' volledig uitschakelaar te maken. v5 weet ik niet maar bij v4  kon onder bepaalde omstandigheden toegang gekregen worden met 'admin' ook als die uitgeschakeld was.

Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Lijst met verdachte ip adressen?
« Reactie #4 Gepost op: 18 februari 2014, 17:34:02 »
v5 weet ik niet maar bij v4  kon onder bepaalde omstandigheden toegang gekregen worden met 'admin' ook als die uitgeschakeld was.

Dat kan ook nog met V5. De gebruiker 'root' is altijd actief, gebruikt het 'admin' wachtwoord en blijft actief als admin uit staat.
Dus als je telnet of ssh aan hebt staan, wees dan zeker dat admin sterke wachtwoorden gebruikt. Beter is het om poort 22 en 23 niet in de router te forwarden. Indien wel, maak dan firewall rules aan zodat je alleen vanaf bepaalde adressen op die poorten binnen kunt komen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: Lijst met verdachte ip adressen?
« Reactie #5 Gepost op: 19 februari 2014, 23:24:11 »
Helemaal eens met Briolet. Als ik poort 22, 23 of de mailserver poorten openzet op mijn router en deze forward naar mijn NAS, zie ik allerlei pogingen om binnen te komen. Dit gebeurd uit willekeurige landen, vaak vanuit een universiteit. Er worden hierbij de standaard wachtwoorden gebruikt voor diverse applicaties.
Advies zet deze poorten dicht op je router en kijk of je niet op een andere manier via internet toegang kunt instellen naar je NAS. Is het echt nodig om dit te doen via poort 22 of 23?
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Lijst met verdachte ip adressen?
« Reactie #6 Gepost op: 20 februari 2014, 09:03:54 »
Voor reguliere externe toegang zul je poorten 22 en 23 volgens mij nooit nodig hebben want daarvoor zijn 21 (FTP) en 7000 (Filestation) voldoende.

Persoonlijk zou ik ook poorten voor de div. packages zoals Sickbeard, Transmission en meer niet openzetten.

Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Offline Redbull

  • Bedankjes
  • -Gegeven: 4
  • -Ontvangen: 0
  • Berichten: 38
Re: Lijst met verdachte ip adressen?
« Reactie #7 Gepost op: 21 februari 2014, 17:08:11 »
Kun je het in DSM 5.0 niet omdraaien ? Alleen een lijst met ip adressen die wel mogen ? Er is wel een whitelist maar of je daarmee automatisch al het overige gaat blokkeren weet ik niet ?
  • Mijn Synology: DS213+
  • HDD's: 2x WD 3TB Raid 1
  • Extra's: 1x WD Passport Ultra
- OSX 10.9 Mavericks
- iMac 27"2013
- iMac 21"2013
- Mede8er med600x3d

Offline pauluz_first

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 23
Re: Lijst met verdachte ip adressen?
« Reactie #8 Gepost op: 10 januari 2015, 23:37:35 »
Ik las op synology.com dat je via https://www.synology.com/en-global/form/inquiry/feedback de mogelijkheid hebt om een verzoek voor een uitbreiding in te dienen.
Zodat Synology de mogelijkheid gaat ondersteunen om IP adres ranges, GEO IP in te voeren of het gebruik laten toestaan van automatische blokkeringlijsten zoals  ipdeny.com .
Hoe meer mensen het verzoek in dienen hoe eerder je de kans hebt dat het geïmplementeerd wordt. :)
Synology DS214play|2xWD40EFRX|DSM 5.1 5021-2
Synology DS209|2xWD20EARS|DSM 4.1-2636
Python 2.7.3|SABnzbd+ 0.7.3|

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Lijst met verdachte ip adressen?
« Reactie #9 Gepost op: 11 januari 2015, 00:04:34 »
Kan nu niet kijken maar die opties zijn er toch in 5.1 (ff uit m'n hoofd dus)


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline pauluz_first

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 0
  • Berichten: 23
Re: Lijst met verdachte ip adressen?
« Reactie #10 Gepost op: 11 januari 2015, 00:06:57 »
Birdy, ik ben nieuw in versie 5.1 zo jij tzt eens willen kijken waar ik het kan opgeven?

Synology DS214play|2xWD40EFRX|DSM 5.1 5021-2
Synology DS209|2xWD20EARS|DSM 4.1-2636
Python 2.7.3|SABnzbd+ 0.7.3|

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Lijst met verdachte ip adressen?
« Reactie #11 Gepost op: 11 januari 2015, 00:19:36 »
5.1 heeft alleen geo-blokkering. Je kunt niet gebruik maken van de diverse sites die blocklists bijhouden van bekende malware IP's.

Wat ik zelf gedaan heb is op https://www.dan.me.uk/tornodes een lijst van alle huidige Tor exit nodes te downloaden (ca 6000 de ook als een pure tekstfile vanaf die link te downloaden is.) en die in de blocklist te importeren. Ik vertrouw anonieme inloggers bij voorbaat niet en ook de bekende synolocker malware maakte intensief gebruik van Tor. De kans ik ook grot dat de besmetting zelf ook via Tor liep.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline TonVH

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 86
  • -Ontvangen: 428
  • Berichten: 3.352
Re: Lijst met verdachte ip adressen?
« Reactie #12 Gepost op: 11 januari 2015, 10:51:33 »
lijst van alle huidige Tor exit nodes te downloaden (ca 6000 de ook als een pure tekstfile vanaf die link te downloaden is.) en die in de blocklist te importeren.


Als je zulke aantallen in die lijst gaat zetten dan lijkt mij dat dit op de meeste DS'en toch wel negatief effect op de performance moet hebben.


Ik krijg van enkele NASsen de mail over geblokkeerde pogingen toegestuurd en die is zodanig hoog dat er wel effect moet zijn door deze manier van blokkeren.


Overigens is het opvallend dat bij 3 systemen op (vrijwel) hetzelfde moment vanuit dezelfde IP (die overigens weer onderling sterk verschillen) pogingen plaatsvinden.

Problemen kun je op 2 manieren oplossen: simpel of ingewikkeld.
Firewalls maken meer kapot dan je lief is. Problemen?
Zet dan eens de Firewall uit en kijk of er nog steeds een probleem is.

-------------------------------------------
DS415+, DS216+II, DS116, DS114

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Lijst met verdachte ip adressen?
« Reactie #13 Gepost op: 11 januari 2015, 11:24:03 »
Je vergeet de kracht van de computer; 6000 adressen vergelijken stelt echt niets voor. Verder ga ik er toch vanuit dat de lijst gesorteerd is op IP zodat vergelijken efficiënt gaat. In DSM wordt de lijst getoond met sortering op verval datum, maar ik ga er toch vanuit dat hij intern op IP gesorteerd is. (wie?)

Aanvallen zijn soms ook echt landelijk. Vorig jaar had ik b.v. 12 uur lang, elk uur een tiental pogingen. (dat was extreem veel vaker dan normaal). Toen is dat aan een kennis melde die aan de andere kant van Nederland woonde, gaf hij aan dat er bij hem hetzelfde gaande was.

Zelf heb ik alleen de 3 smtp poorten internationaal open staan en dat zijn ook de enige aanvallen die ik nu waarneem. Ik had een tijdje ssh alleen open voor Nederland en toen waren er nog steeds aanvallen vanuit Nederland. Voor ssh heb ik nu alleen een vaste lijst met een paar IP adressen die er bij mogen, de rest niet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Ben(V)

  • Gast
Re: Lijst met verdachte ip adressen?
« Reactie #14 Gepost op: 11 januari 2015, 11:31:41 »


 

ds video werkt lijst niet automatisch bij ?

Gestart door nieuwsgierBoard Video Station

Reacties: 10
Gelezen: 7945
Laatste bericht 19 juli 2014, 16:41:10
door janbal
Overzicht/lijst geplaatste topics en reacties

Gestart door RicoKBoard Vragen en opmerkingen OVER het forum

Reacties: 6
Gelezen: 320
Laatste bericht 02 december 2024, 19:37:38
door Babylonia
Interne ipadressen (via DHCP verkregen) op lijst toestaan bij beveiliging

Gestart door JozefBoard Synology DSM algemeen

Reacties: 8
Gelezen: 3291
Laatste bericht 04 oktober 2014, 17:33:49
door Jozef
Brother HL-1110 staat niet in de lijst

Gestart door funkyduckBoard Externe harddisks en Printers

Reacties: 4
Gelezen: 3648
Laatste bericht 21 september 2014, 11:20:47
door funkyduck
Ip camera niet in de lijst

Gestart door tsjakaBoard Surveillance Station

Reacties: 3
Gelezen: 3438
Laatste bericht 03 mei 2010, 21:25:00
door ZwaaiHaai