Verdachte netwerkgebeurtenis gedetecteerd

[Leendert]

Na update RT1900ac "SRM 1.1.2-6425 Update 1" wordt ik bestookt (meer dan 100x in 18 uur) met mail berichten als:

Verdachte netwerkgebeurtenis gedetecteerd.
Gebeurtenistype: Misc Attack
Handtekening: ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 377
Ernst: Medium
Bron-IP: 37.187.6.75
Doel-IP: (van DSM)

en:
Gebeurtenistype: Misc Attack
Handtekening: ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 251
Ernst: Medium
Bron-IP: 185.21.216.189
Doel-IP: (van DSM)

en:
Gebeurtenistype: Potentially Bad Traffic
Handtekening: ET DNS Query to a .tk domain - Likely Hostile
Ernst: Medium
Bron-IP: (van DSM)
Doel-IP: 195.121.1.66

en:
Gebeurtenistype: Potentially Bad Traffic
Handtekening: ET INFO DYNAMIC_DNS Query to a Suspicious no-ip Domain
Ernst: Medium
Bron-IP: 192.168.1.63 (Ethernet module van PC)
Doel-IP: 208.67.222.222 (OpenDNS)

Heb ik ergens een verkeerde instelling staan, hoe kan ik dit voorkomen zonder het vinkje weg te halen bij E-mailservice inschakelen

[Babylonia]

Er zitten IP-nummers bij die mij als dubieus overkomen, en met de benoeming "TOR" lijkt het erop alsof er anoniem van buitenaf hack-pogingen worden ondernomen.

Kijk je Firewall regels eens na, of die nog zijn ingeschakeld of juist zijn ingesteld.
Stuur niet onnodig meer poorten door dan nodig.  (Gebruik geen DMZ).

Hoe Firewall regels goed in stellen, meer info daarover zie  < HIER >

[Briolet]

Zelf ben ik niet zo voor tor omdat er vandaar uit juist regelmatig gehacked wordt.

Je kunt hier altijd de complete lijst met alle actuele exit nodes downloaden en dan in de IP block filter zetten. Dan ben je weer een tijdje veilig tegen aanvallen vanuit TOR.
Er veranderen regelmatig IP adressen, dus dit mot je dan periodiek herhalen.

PS. Ik zie dat die "Known Tor Relay" IP adressen ook in die lijst staan. Op zich vreemd, maar waarschijnlijk klopt die melding niet en het het "Known Tor Exit" moeten heten.

[Leendert]

Hallo Babylonia en Briolet.
Heb het volgende gedaan,
Beveiliging/Algemeen:
VPN Pass-through 3x vinkjes weggenomen
Firewall:
System Rule TCP/UDP VPN Server, gezet op "Weigeren"
"Weigeren" had ik al gedaan met Windows bestandsserver en WebDAV
"Toestaan" heb ik nu alleen Doelpoort: BT,eMule,BT,eMule
Lijst blokkeren had ik al gezet: 37.187.6.7, 185.21.216.189, 37.187.6.75, 117.3.195.234 en 213.159.208.43 zowel in SRM als DRM
Service: Alle vinkjes wegenomen bij: Internettoegang via firewall toestaan
VPN Server, PPTP, OpenVPN en L2TP/IPSec: Uitgeschakeld.
Security Advisor (nog steeds) "Goed"

Krijg nog door om de 20 minuten: (andere t.o.h. niet meer, DANK!)
De volgende verdachte netwerkgebeurtenis werd gedetecteerd:
Gebeurtenistype: Misc Attack
Handtekening: ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 377
Ernst: Medium
Bron-IP: 37.187.6.75
Doel-IP: (van DSM)
Maar...(een gedachte tijdens het Thee drinken)... ik vrees dat de "Tor" mijn HDD behuizing (Model No. HD31UGJ Conrad) is die na 20 minuten uitschakeld maar dat niet doet, de LED verlichting blijft branden.
En nu die HDD van de SRM is heb ik ook die melding niet meer!? Al vanaf 14.42 uur helemaal niets meer.

Ga nu kijken welke behuizing met een HDD ik er wel aan kan hangen.
Tot over enkele dagen en bedankt!

[Babylonia]

Ten aanzien van de Firewall regels waar je weigeren en toestaan door elkaar heen gebruikt, denk ik niet dat je snapt hoe de Firewall werkt.
Services die je niet gebruikt hoef je niet expliciet op te nemen in de Firewall. Dus gebruik je geen VPN, hoef je die niet als "weigeren" op te nemen.
Feitelijk alleen datgene wat je wel wilt doorlaten.
Onderaan zet je dan wel vinkjes voor alles wat niet is opgenomen in de Firewall regels, om dat te weigeren.