Bericht door: Sylvester op 08 juni 2017, 18:18:37
Ik krijg van mijn ISP Telenet de zeer onvriendelijke mail :
Beste (naam), klantnummer:xxxxxx,
Wij kregen de melding dat er vanaf uw Telenet-internetverbinding(xxxxxxxx) en kabelmodem getracht werd ongeautoriseerde toegang te krijgen tot een ander systeem.
Mogen wij u vragen de algemene voorwaarden te respecteren.
Dit kan te maken hebben met een virus dat aanwezig is op uw PC. Gelieve uw pc dan ook te scannen met een up to date virusscanner.
De logs van dit voorval:
We have detected abuse from the IP address xx.xx.xx.xx, which according to a whois lookup is on your network. We would appreciate if you would investigate and take action as appropriate.
Log lines are given below, but please ask if you require any further information.
(If you are not the correct person to contact about this please accept our apologies - your e-mail address was extracted from the whois record by an automated process. This mail was generated by Fail2Ban.)
Note: Local timezone is +0200 (CEST)
Jun 1 16:00:35 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx user=root Jun 2 16:33:38 gitlab sshd[xxxxxxxx]: Failed password for root from xx.xx.xx.xx port 44091 ssh2 Jun 1 16:00:39 gitlab sshd[xxxxxx]: Received disconnect from xx.xx.xx.xx port 44091:11: [preauth] Jun 1 16:00:39 gitlab sshd[xxxxxx]: Disconnected from xx.xx.xx.xx port 44091 [preauth] Jun 1 16:00:48 gitlab sshd[177861]: Invalid user ubnt from xx.xx.xx.xx port 44117 Jun 1 16:00:49 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx Jun 1 16:00:52 gitlab sshd[xxxxxxx]: Failed password for invalid user ubnt from xx.xx.xx.xx port 44117 ssh2
Wij rekenen erop dat dit probleem snel opgelost zal worden.
Als wij meerdere klachten ontvangen, zullen wij ons genoodzaakt zien uw internetverbinding te schorsen voor een periode van 48 uur.
Met vriendelijke groeten,
Harald
Telenet Abuse Administrator
Hebt u nog vragen? Gelieve op deze mail te antwoorden of gebruik te maken van het contact formulier op http://abuse.telenet.be
Dit is wel een verregaande beschuldiging.
Er zijn geen virussen of malware op onze enige PC of Mac.
Omdat er wat dingen van Unix en SSH in staan, dacht ik onmiddellijk aan mijn NAS. SSH stond nog op.
Kan iemand met foute bedoelingen iets gedaan hebben via onze NAS?
Ik zou in de verste verte niet weten wat of waar ik moet zoeken.
Heeft iemand enig idee?
Bericht door: lunatic op 08 juni 2017, 18:39:19
Verzonden vanaf mijn iPhone met Tapatalk
Bericht door: Pippin op 08 juni 2017, 18:40:24
Kijk je logs, blocklijst e.d. na, op alle apparaten waar je logs kunt vinden.
Kan alles zijn wat aan internet hangt, niet alleen PC, MAC, NAS.
Even duidelijk op een rijtje:
Citaat
Note: Local timezone is +0200 (CEST)Klopt het IP?
Jun 1 16:00:35 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx user=root
Jun 2 16:33:38 gitlab sshd[xxxxxxxx]: Failed password for root from xx.xx.xx.xx port 44091 ssh2
Jun 1 16:00:39 gitlab sshd[xxxxxx]: Received disconnect from xx.xx.xx.xx port 44091:11: [preauth]
Jun 1 16:00:39 gitlab sshd[xxxxxx]: Disconnected from xx.xx.xx.xx port 44091 [preauth]
Jun 1 16:00:48 gitlab sshd[177861]: Invalid user ubnt from xx.xx.xx.xx port 44117
Jun 1 16:00:49 gitlab sshd[xxxxxx]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=xx.xx.xx.xx
Jun 1 16:00:52 gitlab sshd[xxxxxxx]: Failed password for invalid user ubnt from xx.xx.xx.xx port 44117 ssh2
Kijk eens naar de datum tijd, dat klopt niet. Misschien verkeerd gekopieerd/plakt?
Bericht door: Sylvester op 08 juni 2017, 18:59:47
Ik vind het geen onvriendelijke mail.
Verzonden vanaf mijn iPhone met Tapatalk
Ieder zijn mening. Maar goed, ik heb een paar onbelangrijke zinnen en de titel weggelaten, waarin duidelijk staat dat ze mij beschuldigen van hacking. Ben ik totaal niet mee opgezet!
@MMD
IP adres klopt.
Datums kloppen ook, maar inderdaad verkeerd geplakt in dit topic
Als ik al mijn poorten dicht doe, heb ik toch geen functionaliteit meer.
Uiteraard zijn bijna alle poorten dicht, behalve die nodig zijn voor het toegang krijgen tot mijn foto's , Plex en bureaublad.
Dat moet toch kunnen?
Verder zie ik niets van die aard in de log files
Bericht door: Pippin op 08 juni 2017, 19:01:40
Code: [Selecteer]
/var/log/ash_history.logMisschien vindt je daar wat? Correleer datum tijd.Als die leeg is is het op z`n minst verdacht.
Bericht door: Pippin op 08 juni 2017, 19:04:04
Citaat
Dat moet toch kunnen?Nu je dit mailtje hebt gehad van je provider zou ik ze toch maar even dicht zetten... tot het duidelijk is.
Wachtwoorden al gewijzigd?
Bericht door: Sylvester op 08 juni 2017, 19:12:40
Volgens mij gaat dat niet op een Mac.
Met terminal krijg ik toegang. Ik weet niet of ik in de root kan.
Bericht door: Pippin op 08 juni 2017, 19:14:55
Code: [Selecteer]
cat /var/log/ash_history.log > /volume1/SHARE/ash_history.logVul voor SHARE een gedeelde map in.Bericht door: Sylvester op 08 juni 2017, 19:19:43
Bericht door: Briolet op 08 juni 2017, 19:21:00
Als ik al mijn poorten dicht doe, heb ik toch geen functionaliteit meer.
Volgens mij is poort 22 voldoende gezien de SSHD logging. (SSH Deamon) Maar dan wel dicht in de router en niet in de nas. (Als je router die optie heeft, want de Apple airport kan dat niet, maar mijn Ziggo Ubee wel)
Gezien het log is er in elk geval geprobeerd bij Gitlab in te breken vanaf je IP (wel via gekke poorten). Zij hebben waarschijnlijk een abuse melding naar je provider gedaan. Het hoeft helemaal niet je nas te zijn. Je PC is waarschijnlijker.
Bericht door: Pippin op 08 juni 2017, 19:26:23
DSM 6 waarschijnlijk? Heb ik niet.
Dan op zoek naar ash_history.log of iets dat er op lijkt...
Dat bestand bevat commando`s die men in SSH gegeven heeft.
Bericht door: Hofstede op 08 juni 2017, 19:27:52
Tevens: de poorten die je open hebt staan doen er volgens mij niet toe, want je bent niet de ontvanger van de login poging, maar degene die de login poging doet. En normaalgesproken kan vanaf jouw network alles (elke poort) naar buiten.
Bericht door: Pippin op 08 juni 2017, 19:30:39
Citaat
Het hoeft helemaal niet je nas te zijnNee hoeft niet maar hij zal toch willen weten waar het vandaan komt, daar hoort de NAS ook bij en dat kijken we nu na, voor zover dat mogelijk is.
Bericht door: Sylvester op 08 juni 2017, 19:31:57
Ik ben echt niet goed in unix en co...
Voor zover ik weet hebben we niets van Ubiquiti. Routers zijn van Asus. (tweede router als access point)
Bericht door: Pippin op 08 juni 2017, 19:35:47
Er wordt een lijst afgewerkt met standaard usernames, ubnt is er daar één van, root staat er ook. Bovendien gaat het om een login vanaf Sylvester`s adres naar het adres waar het log van afkomstig is.
Citaat
Not authorized.Dan even hier lezen:
https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/msg134190/#msg134190
Bericht door: Briolet op 08 juni 2017, 19:41:09
Je kunt misschien ook je router instrueren om al je verbindigen naar een syslogserver op je nas te sturen. Wordt wel een grote logfile, maar als je dat aangevallen IP in het log terug vindt, kun je ook het apparaat op je eigen lan (interne IP) vinden die de aanval uitvoert.
Bericht door: Pippin op 08 juni 2017, 19:45:46
Citaat
de poorten die je open hebt staan doen er volgens mij niet toe, want je bent niet de ontvanger van de login pogingDat valt te bezien, als iemand eerst inlogt via SSH op b.v. zijn NAS kun hij zo doorhoppen naar om het even elke machine die aan het luisteren is. Maakt niet uit of dat op het LAN is of het WAN.
Dat doe ik hier ook via SSH voor OpenVPN clients die een update nodig hebben.
Bericht door: Sylvester op 08 juni 2017, 19:48:47
Dat laatste had ik niet goed begrepen. Ik mis duidelijk wat 'opleiding' :'(
@Briolet
Die XX.XX.XX.XX is mijn eigen WAN ip.
Maar goed, ik heb de bash_history.log file kunnen openen (met mijn beperkte kennis van Unix). Er staat niets in voor die datum waarnaar men verwijst in mijn mail.
Enkel wat commando's op 14 maart 2017, en alle commando's van vandaag.
Kan kloppen, want ik gebruik dit niet veel. Een aantal maanden geleden heb ik eens iets moeten doen via de shell.
Bericht door: Sylvester op 08 juni 2017, 19:49:51
Bericht door: Pippin op 08 juni 2017, 21:03:20
Citaat
SSH stond nog op.
Citaat
Ik mis duidelijk wat 'opleiding'Men kan via SSH doorhoppen naar andere apparaten die ook SSH aan hebben staan, voorbeeld:
[attach=1]
Hierboven log ik eerst in, na een tikvoutje, via SSH op de NAS die ik niet thuis heb staan, staat in een ander land.
De tweede login is een apparaat die ik onderhoud voor een kennis.
Dan een exit en ik ben weer terug op de NAS.
Zo kan men vele malen doorhoppen en het slachtoffer weet niet werkelijk waar ik vandaan kom.
Via SSH kan je dus van de ene machine doorhoppen naar de andere.
Als dus een hacker toegang zou hebben via SSH op een apparaat in jou LAN kan deze dus proberen door te hoppen/in te loggen bij degene die het log naar jou provider heeft gestuurd. Diegene ziet niets anders dan jou IP adres, niet dat van de hacker...
Daarom dus poorten dicht in de router.
Het hoeft niet perse een hacker te zijn, het kan ook b.v. een bot zijn op één van je apparaten.
In dat geval zou ik toch even stekkertje trekken want misschien is de vermeende hackerij nog steeds gaande en daar wordt je provider denk ik niet blij van. Die verwacht dat je het probleem oplost.
Kijk gewoon alles na, wijzig wachtwoorden, reset apparaten, camera`s, satelliet ontvanger, de hele blabla enz..
Bericht door: Sylvester op 08 juni 2017, 22:20:34
Iemand die via SSH toch toegang zou krijgen op mijn LAN? Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?
Het gaat me even mijn petje te boven hoe iemand binnen kan geraken en dan ook nog eens via mijn netwerk dingen naar buiten gaan doen die lijken op 'hacking' of ongeoorloofde toegang tot bepaalde systemen.
Bijvoorbeeld :
als ik jou mijn WAN IP geef, en je weet dat poort 5000 open staat. Wat kan je daar nu mee?
Bericht door: Pippin op 08 juni 2017, 23:19:07
Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?Het kan iets zijn dat je "opgelopen" hebt tijdens surfen.
Door deze opmerking,
Citaat
SSH stond nog op.begreep ik dat SSH van buiten toegankelijk was maar later schreef je dat het niet zo was.
Als je poort 5000 naar de NAS open hebt staan en ik ken een kwetsbaarheid in DSM kan ik via die weg dus weer terug naar buiten. Hetzelfde geldt dus voor andere apparaten/diensten die je open hebt.
Dat illustreert mijn vorige post, alleen daar deed ik het via SSH en niet via poort 5000/DSM.
De ingang kan in principe van alles zijn dus niet perse SSH.
Vraag die waarschijnlijk open blijft:
Heeft de provider goed gekeken of jij dat IP had op dat moment, 1/2 juni, of weet je zelf dat dat zo was?
Het is lastig en vervelend maar ik zou toch alles nagaan zoals reeds voorgesteld voor zover dat mogelijk is.
Bericht door: Briolet op 08 juni 2017, 23:42:00
Iemand die via SSH toch toegang zou krijgen op mijn LAN? Hoe kan iemand nu toegang krijgen als de poorten dicht zijn?
Het gaat hier toch om uitgaand SSH verkeer? Dan hoef je zelf niet via SSH benaderd te zijn. Het kan ook een advertentie met malware zijn die je PC besmet heeft tijdens het bezoeken van een website. En die valt anderen aan via SSH. Maar goed, als poort 22 echt dicht zit in de firewall van de router, is er ook geen uitgaand verkeer via SSH mogelijk via die poort.
Bericht door: Pippin op 08 juni 2017, 23:46:28
Citaat
uitgaand verkeer via SSH mogelijkHier bedoelt @Briolet inkomend i.p.v. uitgaand.
Bericht door: Briolet op 08 juni 2017, 23:52:18
Als je router dat ondersteunt natuurlijk. Op de Ubee kun je gewoon willekeurige poorten of reeksen dicht zetten. Dan is er in- en uitgaand geen verkeer meer mogelijk. In de Asus manual zie ik die optie niet zo snel, maar ik lees wel iets over protocollen blokkeren.
Bericht door: Pippin op 08 juni 2017, 23:54:50
Bericht door: Ben(V) op 09 juni 2017, 06:19:35
De meeste kans is dat een ander apparaat PC of MAC een bot heeft opgelopen die ofwel zelfstandig dit doet ofwel een connectie naar een commander heeft gemaakt en nu in een bot netwerk hangt.
Je ISP kan niet zien van welk device er iets vanaf jouw netwerk gekomen is, die ziet alleen de WAN kant van je router.
Ik zou eerst maar eens op jacht gaan naar een bot op al je devices,
Probeer eens malwarebytes en/of bitdefender.
Bericht door: Sylvester op 09 juni 2017, 06:30:42
Ik blijf het straf vinden, maar ik steek het dan voorzichtig op mijn onkunde en onwetendheid.
Toch wel een gat in mijn kennis...
De Mac heeft alleszins geen virussen of malware, en op de tweede klein Windows PC staat helemaal niets buiten een simpel visual basic programmaatje om iets technisch binnenhuis te monitoren. Deze ligt wel op één poort open om een web-paginaatje voor privé gebruik te publiceren. Is ook gecontroleerd op virussen en malware maar zat niks op.
Ik heb ook een vermoeden dat het de andere windows PC is, vermits deze niet door mijzelf bediend wordt. We hebben hierop iets van malware gevonden maar konden geen link leggen naar wat dit eventueel naar buiten toe gedaan zou kunnen hebben. Toch maar verwijderd en herinstallatie gedaan.
Geweldig dat iedereen zo snel meedenkt . Bedankt.
Toch een super forum !
Bericht door: Briolet op 09 juni 2017, 09:25:37
Als er dan een lek gevonden wordt in de webinterface, kan malware toegang krijgen, zichzelf root-rechten verschaffen, allerlei poorten openen en dan zijn 'werk' doen. Zelf heb ik al mijn thuis apparaten die niet het internet op hoeven, op de blacklist van de router gezet. In het onwaarschijnlijke geval dat ze besmet raken, kunnen ze nog niet het internet op.
Bericht door: Hofstede op 09 juni 2017, 09:38:03
Bericht door: aliazzz op 09 juni 2017, 16:09:05
Bericht door: Sylvester op 10 juni 2017, 07:57:33
Bericht door: Sylvester op 16 juni 2017, 12:18:44
ik heb contact gezocht met Telenet en heb ze duidelijk met enige assertiviteit uitgelegd dat ik niet hou van dergelijke éénrichtingsbesluiten en beschuldigingen. Ze hadden mij op zijn minst eens kunnen contacteren.
Ik heb wederkerend ook een klacht bij hun ingediend. Men heeft mij teruggebeld en heb verontschuldigingen van hun kant mogen ontvangen vanwege de manier waarop die beschuldiging is gebeurd. Als het dan zo ernstig zou zijn, hadden ze op zijn minst mij eens eerst mogen contacteren.
Ik heb ze er ook op gewezen dat zij ook enigszins schuld treffen. Ik ben onwetend, en als er dan toch ergens malware binnensluipt moeten ze maar wat meer moeite doen en tools ontwikkelen om die malware bij hun klanten weg te houden.
Als ik dingen met opzet doe, geef ik dat toe. Maar dit is zeker niet bewust gebeurd.
Verder is er niets meer gebeurd, geen rare dingen meer.
Dus voorlopig opgelost, al weet in nog steeds niet wat de oorzaak was.
Bericht door: Birdy op 16 juni 2017, 13:33:34
Bericht door: Hofstede op 16 juni 2017, 16:19:53
Dan moet je via email contact opnemen met dat team en moet je hen er van overtuigen dat je het probleem gevonden hebt en hebt opgelost. De enige communicatiemogelijkheid met dat team is email.
In het gunstigste geval zit je maar een aantal dagen zonder internet....
Met andere woorden: Het had erger gekund.
Bericht door: Briolet op 16 juni 2017, 16:52:24
Dat is allemaal goed voor de overige gebruikers, maar de 'dader' krijgt zulk summiere info, dat je ook niet weet wat je fout gedaan hebt. Als je b.v. overdreven veel mail verstuurd hebt, krijg je niet te horen waar dat dan heen ging. Lijkt me wel handig om b.v. mail verstuurd door een eigen IP camera uit te kunnen sluiten. Of een slecht gesloten papierlade van de printer. (die bij mij daarover ook mailtjes kan versturen)