Auteur Topic: IP adressen geblokkeerd, aanval van buiten (gelezen 4094 keer)

Sylvester · « **Gepost op:** 05 februari 2021, 06:54:56 »

Dit is al heel lang geleden, deze nacht werden er verschillende IP adressen geblokkeerd uit alle hoeken van de wereld. Griekenland, Frankrijk, Taiwan enz...
Allemaal rond hetzelfde uur en op verschillende NAS'en en via SSH, blijkbaar stond dat nog op.

Nog iemand last van gehad?

Het vreemde is dat al die IP adressen niet (op ééntje na) automatisch in de geblokkeerde lijst zijn terechtgekomen, ondanks dat het zo ingesteld is.

bussie · « **Reactie #1 Gepost op:** 05 februari 2021, 07:45:51 »

Geen last van hier.

Dat niet alle IP's niet in blokkeer lijst komen zal m.i. moeten komen dat ze niet aan de voorwaarde van 10 keer inloggen binnen 5 minuten voldoen. Moet je kunnen nagaan in het logboek.

Ik heb dit krapper staan, 3 keer binnen 5 minuten.

Sylvester · « **Reactie #2 Gepost op:** 05 februari 2021, 08:07:42 »

Ik heb nochtans een mail van de NAS gekregen, anders wist ik het niet. Dus ik neem toch aan dat de NAS gezien heeft dat hij over zijn ingestelde limiet is gegaan. Het gaat over een stuk of 4 IP's en er staat dus maar 1.

HenkGroen · « **Reactie #3 Gepost op:** 05 februari 2021, 09:21:06 »

ik vind die 5min. ook erg kort. Als ze elke 6 min. een poging doen, mag dat dus
Bij mij staat dat als je binnen 6 a 7 dagen 2 keer verkeerd inlogt, je geblocked wordt.
En bij mij staat alleen toegang vanuit NL open, dus ook dat scheelt veel.
Zie bijlage

Dus, als ze om de dag of 2 dagen een poging zouden doen, liggen ze er alsnog uit.

Ik krijg heel soms een melding vanuit NL, maar dat is zelden.
(en ze worden ook nooit meer opgeheven, dus die IP-Adressen blijven altijd geblocked)

Briolet · « **Reactie #4 Gepost op:** 05 februari 2021, 09:32:38 »

Citaat van: HenkGroen op 05 februari 2021, 09:21:06

ik vind die 5min. ook erg kort. Als ze elke 6 min. een poging doen, mag dat dus

Klopt. En er zijn zeker aanvallers die het eens per half uur proberen. (Zie ik in mijn log). Maar aan de goede kant: Als ze het slechts eens per 30 minuten proberen hebben ze wel heel weinig pogingen per jaar. Het belangrijkste is dat ze niet duizenden pogingen per seconde kunnen doen. Wat zou kunnen als je helemaal geen limiet instelt.

DSGebruiker · « **Reactie #5 Gepost op:** 05 februari 2021, 09:51:31 »

Ik heb hier altijd een redelijk constant niveau van SSH-probes op dagelijkse basis.
Ook de source-IP's zijn dikwijls terug te vinden als je over langere termijn kijkt.
Voor alle duidelijkheid ; mijn NAS staat niet rechtstreeks op Internet.

Robert Koopman · « **Reactie #6 Gepost op:** 05 februari 2021, 09:57:09 »

Ik blok met één foute poging per 100 minuten.
Mijn gebruikers gebruiken allen een password manager dus fout inloggen is vrijwel altijd iemand die er niets te zoeken heeft.
En dan zie je toch nog pogingen voorbij komen van ip adressen die telkens eentje hoger zijn dan het vorige ip adres.
Gaat vaak in blokjes van 10 adressen.

ufosyno · « **Reactie #7 Gepost op:** 05 februari 2021, 13:41:08 »

Ik sta op 2 pogingen binnen 30 minuten en dan voor altijd geblokt...

Maar ja, als je SSH - zeker op de standaardpoort - open hebt staan, dan is dat binnen een half uur over de hele wereld bekend (er lopen continue poortscans en als die dat poortje vinden is het prijs) en dan is een strooppot voor vliegen er niks bij.

Sylvester · « **Reactie #8 Gepost op:** 05 februari 2021, 16:00:56 »

Ik heb de oorzaak al gevonden, ik heb per ongeluk poort 22 open gezet.
De reden is dat ik (nog steeds) aan het zoeken ben wat er mis is met de netwerk backup van Hyper Backup (backup van Nas naar Nas - extern)
Omdat die nog steeds hapert naar mijn NAS toe, heb ik (buiten 6281 die al open stond)
22 en 873 ook open gezet.
Ik had ergens gevonden dat die nodig waren voor Hyper Backup als je extern naar een andere NAS gaat.
Maar volgens mij hapert hij nog steeds.

Wat de IP adressen betreft, het is toch opmerkelijk dat ik een mail heb gekregen:
Via het IP-adres [101.108.49.49] zijn 10 mislukte aanmeldingspogingen voor aanmelding bij SSH uitgevoerd vanaf RWKDS binnen een tijdsduur van 5 minuten en is geblokeerd om Fri Feb 5 04:26:49 2021.

Zo heb ik een 4-tal IP adressen zien passeren en toch staat er maar één in de geblokkeerde lijst.

GerardR · « **Reactie #9 Gepost op:** 05 februari 2021, 16:03:58 »

Ik heb destijds het advies van @Babylonia gevolgd voor het instellen van de firewall.
firewall instellen
Geeft veel rust.
Daarnaast voeg ik regelmatig IP adressen toe aan de blokkeringslijst vanaf dit adres
Zie: Geblokkeerde IP adressen

Sylvester · « **Reactie #10 Gepost op:** 05 februari 2021, 16:06:50 »

Oei, dat moet ik eens doorspitten. Ik ben niet zo'n specialist op gebied van routers en zo...

Ik stel wel vast dat de IP adressen in mijn andere NAS (die elders staat) wél in de blocklist gekomen zijn.
Nochtans staan alle instellingen identiek.

>edit: ok lichte verwarring met de emails. Door het feit dat ik CMS gebruik, zijn de mails verwarrend en lijkt het alsof die e-mail adressen allemaal mijn NAS zijn gepasseerd, maar in feite zijn het meldingen van de andere NAS via CMS naar mijn NAS. De lijst klopt, daar zijn ze allemaal geblokkeerd. Sorry

Birdy · « **Reactie #11 Gepost op:** 05 februari 2021, 16:40:07 »

Ik heb er niet zo'n last van:

IP adressen geblokkeerd, aanval van buiten

Krijg ook nooit meldingen, sinds half 2019.

Babylonia · « **Reactie #12 Gepost op:** 05 februari 2021, 16:49:33 »

Doorgaans heb ik ook nergens last van.
Toevallig wel enkele weken terug, maar had te maken dat Synology support in Taiwan in mijn router via SSH iets wilde doen.
Had per vergissing toen even poort 22 voor "alle" landen open gezet. Tja, dan heb je in een mum van tijd die vliegen op de stroop.

Citaat van: Sylvester op 05 februari 2021, 16:06:50

Oei, dat moet ik eens doorspitten. Ik ben niet zo'n specialist op gebied van routers en zo...

Omdat de firewall van de Synology router vergelijke raakvlakken heeft met die in de NAS gebruikt,
kun je met de aangegeven uitleg/adviezen daarmee prima ook de firewall van de NAS instellen.

Briolet · « **Reactie #13 Gepost op:** 05 februari 2021, 16:52:15 »

Sommigen zijn echter heel hardnekkig als ze geblocked zijn. De volgende heeft zeker 10.000 pogingen gedaan bij de mailserver:

Code: [Selecteer]

2021-01-24T09:11:49+01:00 GedeeldeData postfix/smtpd[11205]: connect from unknown[87.246.7.226]
2021-01-24T09:12:00+01:00 GedeeldeData postfix/smtpd[11205]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:12:00+01:00 GedeeldeData postfix/smtpd[11205]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:42:00+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:42:09+01:00 GedeeldeData postfix/smtpd[4846]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:42:10+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:42:46+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:42:56+01:00 GedeeldeData postfix/smtpd[4846]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:42:56+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:43:30+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:43:40+01:00 GedeeldeData postfix/smtpd[4846]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:43:40+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:44:14+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:44:23+01:00 GedeeldeData postfix/smtpd[4846]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:44:24+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:44:59+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:45:08+01:00 GedeeldeData postfix/smtpd[4846]: warning: unknown[87.246.7.226]: SASL LOGIN authentication failed: authentication failure
2021-01-24T09:45:08+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] ehlo=1 auth=0/1 rset=1 quit=1 commands=3/4
2021-01-24T09:45:42+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:45:42+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:46:25+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:46:25+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:47:08+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:47:08+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:47:51+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:47:51+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:48:34+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:48:34+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:49:18+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:49:18+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:50:01+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:50:01+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:50:45+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:50:45+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:51:28+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:51:28+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:52:12+01:00 GedeeldeData postfix/smtpd[4846]: connect from unknown[87.246.7.226]
2021-01-24T09:52:12+01:00 GedeeldeData postfix/smtpd[4846]: disconnect from unknown[87.246.7.226] commands=0/0
2021-01-24T09:52:56+01:00 GedeeldeData postfix/smtpd[13983]: connect from unknown[87.246.7.226]
enz.......

Na 6 mislukte pogingen is hij geblokkeerd, maar hij blijft het nog steeds elke minuut proberen sinds 24 januari. Hij kan dan wel niets meer, maar dit soort acties frustreert wel het zoeken van relevante info in mijn maillog.
En blijkbaar heeft het gebruikte script niet in de gaten dat ze geblocked zijn.

Wat dat betreft is het jammer dat je niet automatisch iets kunt blokkeren in de firewall. Soms zet ik zo'n reeks adressen met de hand in de firewall om van dat gespam in mijn log af te zijn.

Sylvester · « **Reactie #14 Gepost op:** 05 februari 2021, 17:12:32 »

Citaat van: Babylonia op 05 februari 2021, 16:49:33

Omdat de firewall van de Synology router vergelijke raakvlakken heeft met die in de NAS gebruikt,
kun je met de aangegeven uitleg/adviezen daarmee prima ook de firewall van de NAS instellen.

Ik heb een Asus router, maar er zullen zeker wel raakvlakken zijn.

Extern inloggen DS212+ geblokkeerd Gestart door Bart lBoard NAS hardware vragen	Reacties: 18 Gelezen: 10013	16 februari 2013, 15:30:15 door r00n
Bepaalde poster geblokkeerd? Gestart door rvvBoard Spotweb	Reacties: 13 Gelezen: 4998	04 oktober 2018, 21:06:12 door Marzzz
veel ip adres worden geblokkeerd Gestart door wimBoard Netwerk algemeen	Reacties: 28 Gelezen: 2259	17 april 2020, 08:40:56 door Birdy
IP adres geblokkeerd, maar geen IP adres in lijst geblokkeerde IP's Gestart door SylvesterBoard Synology DSM algemeen	Reacties: 13 Gelezen: 3111	30 oktober 2016, 17:47:47 door Sylvester
VPN verbinding buiten LAN Gestart door tjaBoard VPN Server	Reacties: 16 Gelezen: 5382	28 juni 2015, 17:57:48 door tja

Auteur Topic: IP adressen geblokkeerd, aanval van buiten (gelezen 4094 keer)

Sylvester

IP adressen geblokkeerd, aanval van buiten

bussie

Re: IP adressen geblokkeerd, aanval van buiten

Sylvester

Re: IP adressen geblokkeerd, aanval van buiten

HenkGroen

Re: IP adressen geblokkeerd, aanval van buiten

Briolet

Re: IP adressen geblokkeerd, aanval van buiten

DSGebruiker

Re: IP adressen geblokkeerd, aanval van buiten

Robert Koopman

Re: IP adressen geblokkeerd, aanval van buiten

ufosyno

Re: IP adressen geblokkeerd, aanval van buiten

Sylvester

Re: IP adressen geblokkeerd, aanval van buiten

GerardR

Re: IP adressen geblokkeerd, aanval van buiten

Sylvester

Re: IP adressen geblokkeerd, aanval van buiten

Birdy

Re: IP adressen geblokkeerd, aanval van buiten

Babylonia

Re: IP adressen geblokkeerd, aanval van buiten

Briolet

Re: IP adressen geblokkeerd, aanval van buiten

Sylvester

Re: IP adressen geblokkeerd, aanval van buiten

Vergelijkbare onderwerpen (5)