Synology-Forum.nl
Synology Router => Synology Router => Topic gestart door: stapper op 25 juli 2022, 12:43:06
-
Hallo,
ik zit veel op dit forum https://joomlanl.nl/forum
kom ik al jaren...
maar plotseling melding in firefox...
Werd niet als veilig beschouwd, en dan kun je voor toch doorgaan kiezen, browser verversen en daar was hij weer.
Kreeg ook een melding van de router via mijn tel dat save acces het geblokkeerd had.
Dus ik melde dat even bij die mensen, die zeggen SSL is goed, en dat klopt.
Maar waar ligt zoiets nou aan, dat zou ik graag willen weten.
Enig idee?
-
Kan van alles zijn.
Kom je achter door de logging / Activity van Safe Access te controleren.
Ben nu zelf ook even naar de website van Joomla gegaan, krijg dezelfde melding.
In eerste instantie lijkt er geen geldig SSL certificaat te zijn?
(Als ik het certificaat wil bekijken, verwijst die naar mijn eigen certificaat van mijn WAN-aansluiting).
De logging geeft een blokkade voor:
https://ipinfo.io/185.104.28.39
Lijkt me toch een probleem bij dat forum of de server zelf waar dat forum wordt gehost?
-
In eerste instantie lijkt er geen geldig SSL certificaat te zijn?
Dit is een beetje verwarrend bij SRM. Hij wil de waarschuwingspagina van zichzelf tonen en gebruikt daarvoor zijn eigen certificaat. In de browser staat echter nog het oorspronkelijke adres waar je naar toe wilde. Daardoor geeft de browser je de waarschuwing.
Kies je ervoor om toch door te gaan, dan kom je op de waarschuwingspagina van SRM zelf.
Het was mooier geweest als SRM een redirect gedaan had naar zijn eigen url om de waarschuwing te tonen. Als je dan op de SRM waarschuwingspagina kiest om toch door te gaan, hadden ze je weer naar de oorspronkelije url kunnen doorsturen.
Maar het is Joomla die foute mensen toelaat op hun site en daardoor zelf zo'n slechte reputatie opbouwt.
-
Ah nou dan ligt het in ieder geval aan hun en niet aan mij ;)
@Briolet
Slechte reputatie? Hoezo?
Dat zijn allemaal vrijwilligers die hun stinkende best doen een goed forum in de lucht te houden, net als hier...
Dat er mogelijk iets niet helemaal correct is bij hun webhost, is niet hun schuld.
het is een uitstekend forum met veel kennis van zaken.
Meeste van de clientèle zullen geen routers hebben met save access, dus dan valt dat ook niet op.
Ik deed trouwens net ook een check op certificaat
idd certificaat niet ok en een een verwijzing naar dat IP
-
Ik weet niet wat er onveilig is met die site, of zie ik dat verkeerd.
[attachimg=1]
Ik denk eerder dat er iets niet ok is met Safe Access zelf ? (Ik gebruik SA allang niet meer).
-
Slechte reputatie? Hoezo?
Als je bij een hostingprovider zit, die de klanten niet goed controleert, loop je kans dat ze toelaten dat er een criminele website op jouw IP opgezet wordt. Dat kun je voorkomen door een provider te kiezen die wel de persoon achter de registratie checkt.
Deze provider heeft 42 websites draaien op datzelfde IP. (Ik zie zelfs dat er een klant van ons tussen zit)
-
ik controleerde hem net ook...
-
@Briolet Ah ok, ik snap hem.... Help me even uit de brand ik ben slecht met die IP-shit ;)
Ik dacht dat elke website een eigen IP had, en dat een getypt adres dan weer vertaald word naar dat IP
Hoe kunnen er dan meerdere op 1 IP zitten?
-
En als ze een website als frituurgezond.nl (https://myip.ms/view/sites/9064652/frituurgezond.nl) toelaten op jouw IP, weet je dat ze niet het beste met je voor hebben. :P
-
Hoe kunnen er dan meerdere op 1 IP zitten?
Virtual hosts. Bij http(s) verkeer wordt er altijd een leesbare url in de header gezet. Op grond daarvan stuurt een hostingprovider je dan naar de goede website.
-
@Briolet Is dat dan een slechte webhost, of is dat een normale gang van zaken?
"Als je bij een hostingprovider zit, die de klanten niet goed controleert, loop je kans dat ze toelaten dat er een criminele website op jouw IP opgezet wordt"
Daarmee bedoel je dan, dat ze niet altijd de registrant controleren?
-
De meeste webhosters willen klanten 'service' bieden door ze al binnen een paar uur toe te laten. Maar als ik een AH of ABNAmro was, zou ik toch kiezen voor een hoster die dit alles schriftelijk doet en ook kvk nummers controleert door brieven te sturen naar het adres dat bij de kvk geregistreerd is.
En dan ook meer betalen voor een hoster die geen IP adressen deelt.
-
Tja nou ik geloof dat het kwartje op dat Joomla forum niet helemaal viel ;)
Ik had het daar even aangekaart, leek me niet onverstandig er even op te attenderen...
Ze sloten het draadje aangezien IK volgend hun de enige ben die er last van heeft.. :D :D :D
-
In Google Chrome krijg ik geen melding.
-
Ik kan me niet voorstellen dat jij een uitzondering zou zijn?
Melding met Google Chrome:
[attach=1]
Melding met Microsoft Edge:
[attach=2]
-
Normaal gesproken krijg ik dat soort meldingen ook altijd, maar niet op deze site, net nog een keer geprobeerd.
-
Ik heb het 1 keer mee gemaakt, dat was bij mijn fysiotherapeut.
Die werken met zo'n medisch pakket, site en hosting en onderhoud word dan geregeld.
Nou daar betaal je een hoop poen voor, dus dan wil je dit soort zaken niet.
Ik heb daar toen ook een topic van gemaakt hier. En toen bleek ook dat er 1 IP was voor een hele hoop sites
Hij heeft dat gelijk laten verhelpen, wat ik ook logisch vond.
Bij die joomla site kreeg ik uiteindelijk als reactie: Certificaat werkt. JIJ bent de enige die hier last van heeft. Het ligt aan save acces. Ik sluit dit draadje.
Persoonlijk vind ik zo'n reactie raar, en niet erg sympathiek.
Ik had ook niks kunnen zeggen, ik draag dat forum een warm hart toe.
-
Normaal gesproken krijg ik dat soort meldingen ook altijd, maar niet op deze site, net nog een keer geprobeerd.
Ben er inmiddels achter. Om een of andere reden een "false positive" door Safe Access.
Door Safe Access uit te schakelen, heb ik geen foutmelding. De site gebruikt een geldig Let's Encrypt certificate.
Nou ja, dat in een sporadisch geval toevallig een website een "false positive" krijgt, is voor mij geen reden Safe Access uit te schakelen.
Ik gebruik het om nog al wat andere redenen met zelf aangevulde te blokkeren (advertentie) domeinnamen.
Wat me veel meer voordeel oplevert dan zo'n toevallig verkeerde melding.
-
Zie mijn Reactie #4 ;)
-
Ik ervaar geen problemen. met het certificaat. macOS en zowel met Safari als Chrome
[attach=1]
[attach=2]
Vreemd je zou denken een certificaat is geldig of niet. Maakt niet uit waar dan ook
-
Maar jij gebruikt dan wellicht niet "Safe Access" in combinatie met een Synology router ? !
-
Dat klopt :) Dan zit het euvel wel degenlijk in de Safe acces van de router lijkt mij
-
In Google Chrome krijg ik geen melding.
Dat kan niet want safe access werkt bij iedereen gelijk. Het kan zijn dat je de site al eens ge-white list hebt. Of je hebt "waarschuwen voor kwaadaardige sites" uitgevinkt. Maar ik kan me niet voorstellen dat een gebruiker van "safe access" juist deze rubriek uit zet.
-
Dat klopt :) Dan zit het euvel wel degelijk in de Safe acces van de router lijkt mij
Ja, dat is in een eerder bericht (https://www.synology-forum.nl/synology-router/save-acces-slaat-aan/msg314260/#msg314260) als zodanig bevestigd. En nog eerder op een vorige pagina (https://www.synology-forum.nl/synology-router/save-acces-slaat-aan/msg314228/#msg314228) ook al gesuggereerd. ;)
Kennelijk zijn we door het slome weer allemaal een beetje traag. (Diverse kwartjes die wat later vallen). :geek:
-
Aha, maar het kan dan niet zo zijn, dat zoals Briolet ook al zei, dat er veel sites draaien op 1 IP nummer?
Stel dat 1 zo'n site niet ok is, en op een blacklist komt.. dan zal die bij de andere site's met hetzelfde IP nummer toch ook aanslaan?
-
Inderdaad zou dat best kunnen. Tenslotte komt die melding niet voor niets bovendrijven.
Als je meer websites kent bij dezelfde provider kun je het uitproberen, of er dan ook een melding komt?
-
Reactie #8: frituurgezond.nl (http://frituurgezond.nl)
[attach=1]
-
idd slaat gelijk aan....En keurig een melding naar mijn telefoon...
Ik hou save access mooi aan...Toch weer een extra laagje van bescherming...
-
Zie mijn Reactie #4 ;)
Hier worden dingen door elkaar gehaald. Zoals ik in reactie #2 al schrijf is er niets mis met het certificaat van die site. De certificaatfout komt door de manier waarop Safe Acces zijn waarschuwingspagina probeert te tonen.
In reactie #4 schrijf je dat je zelf geen safe acces gebruikt. Dan is het logisch dat je de site gewoon kunt bezoeken.
Het IP van die site is gewoon in een lijst gekomen die Synology gebruikt. Zij onderhouden die lijst zelf niet. Er zijn ook andere producten die deze lijst gebruiken en vergelijkbare blokkeringen zullen ervaren bij deze site.
-
@stapper Er is op zich niets mis mee met die site, hoor.
[attachimg=1]
Maar goed, das oude koek. ;)
-
@Briolet Ik reageerde op Reactie #17 van @Babylonia, dus idd "Om een of andere reden een "false positive" door Safe Access."
-
Dat je daar op reageerde zag ik wel. Daarom juist mijn opmerking dat reactie #4 daar niets mee te maken heeft.
De blokkering is er alleen op grond van IP nummer van die site en heeft niets met het certificaat van die site van doen.
-
Je snapt niet wat ik daarmee bedoelde, laat maar verder.... ;)
-
Ik dacht dat save acces 2 databases gebruikt?
Eentje van hun zelf en eentje van google?
Ik keek op een andere site... die zei certificaat niet ok....
Maar goed, rest zei van wel, dus dat geloof ik wel.
1 van die sites die dat ip ook gebruikt zal wel op een blacklist staan.
Maar als het mijn site was, dan wou ik dat niet zo houden.
-
Als het je eigen site is, merk je het vanzelf, en kun je de provider ervan op aanspreken.
Zelf heb ik ook een website bij een hostingprovider, waar velen anderen ook een site hebben.
Zolang ik voor mezelf geen problemen ervaar (ook controle via Safe Access), vind ik het al lang best.
-
Ik run er een stuk of 15... zitten allemaal bij one.com
Nooit geen problemen... goeie webhost.
-
Je snapt niet wat ik daarmee bedoelde, laat maar verder.... ;)
Je suggereert in die opmerking dat het een false positive is, maar je gebruikt het pakket niet zodat je moeilijk kunt oordelen. Dat IP staat gewoon in een lijst van kwaadaardige IP nummers en is dus geen 'false positive". De volgende site heeft nog heel recent kwaadaardig verkeer vanaf dat IP gerapporteerd:
https://www.abuseipdb.com/check/185.104.28.39
In dit geval blijkbaar brute force aanvallen die vanaf dat IP uitgevoerd werden. De meest rapporterende instantie is "ipcop.net', die blijkbaar een honeypot site runt die aanvallen registreert. Maar ook meerdere andere instanties hebben de laatste week kwaadaardige activiteit vanaf dat IP opgemerkt. En gezien de duur van de kwaadaardige activiteit, blijkt dat de hoster ook niet snel ingrijpt bij misbruik.
-
Je suggereert in die opmerking dat het een false positive is, maar je gebruikt het pakket niet zodat je moeilijk kunt oordelen.
Nee hoor, ik suggereerde dat niet.
Ik reageerde hierop:
Ben er inmiddels achter. Om een of andere reden een "false positive" door Safe Access.
Door Safe Access uit te schakelen, heb ik geen foutmelding. De site gebruikt een geldig Let's Encrypt certificate.
Ik suggereerde heel wat anders in Reactie #4 (https://www.synology-forum.nl/synology-router/save-acces-slaat-aan/msg314228/#msg314228) en komt aardig in de buurt van wat @Babylonia meldt.
-
Dat Joomla domein op zichzelf hoeft niet verkeerd te zijn,
maar kwaadaardige activiteiten door mogelijk een handjevol gebruikers die van dezelfde web-server / IP-adres gebruik maken wel.
Daarmee komt het IP-adres in zo'n database terecht, waarbij gebruikers met goede bedoelingen daarin mee worden getrokken.
-
Ik snap echt niet dat die gasten van Joomla daar zo op reageren...
Blijkbaar ben JIJ de enige die er last van heeft...draadje gesloten.
Durf te wedden dat het ze leden kost... en nieuwkomers helemaal, als die save acces hebben, klikken ze echt niet door, maar kiezen een concurrent.
Die fysiotherapeut die dat geduvel ook had zag dat tenminste in... liet gelijk ingrijpen.
Elke gemiste klant is er 1 te veel...
-
Even aanhaken met een geheel nieuw geval.
Vannacht om 2:58 uur kreeg ik de volgende waarschuwing:
De verbinding van GEDEELDEDATA met pxlme[.]me is geblokkeerd om veiligheidsredenen(Phishing).
Op zich is dit geen phishing site, maar een url shortener. Zulk soort sites zijn wel populair bij phishers omdat ze hun eigen domeinnaam kunnen verbergen. Blijkbaar doet pxlme te weinig tegen phishers zodat ze nu zelf op een blacklist staan.
Ik was wel nieuwsgierig naar de oorzaak van de waarschuwing. Zoekende ontdekte ik dat er op dat tijdstip idd een phishingmailtje binnen gekomen was met deze domeinnaam als link in de tekst. De router stuurde de waarschuwingsmail al terwijl mailscanner de phishingmail nog aan het controleren was.
Bij die controle van de mail tekst (wat spamassassin doet) moet hij ook het IP behorende bij de domeinnaam opgevraagd hebben. Bij Mailscanner leidde dat niet tot alarmbellen. Ook de spamscore bleef net onder de 2. (Ik heb de drempel op 3 staan) Maar, alleen het opvragen ven een IP deed wel de alarmbellen van Safe Access afgaan. In dit geval terecht. ;)