DSM 7.2 Angriff nach Update?

[Ronny1978]

@Crashandy das hatte ich auch gefunden. Aber die Bestätigung, dass der TE diese Games einsetzt, steht noch aus. Das Problem für mich jedoch ist...

Ich hatte sonst keine Änderungen vorgenommen und habe auch keine Portweiterleitungen auf die Synology offen

... Wenn das wirklich so ist, dass passt trotzdem etwas nicht zusammen. Oder es wurde doch Änderung vorgenommen und sei es nur, dass die Spiele installiert wurden.

 

[Ronny1978]

Wie meinst du das? Die Vlan-Netzwerke innerhalb meines Zuhauses? Das ist mir bekannt.

Ja, alle angelegten LANs/VLANs dürfen erstmal alles, bitte man es verbietet. Bei OpnSense ist es genau anders herum. Dort ist alles "verammelt" (zu) bis man es erlaubt.

Erklärt aber nicht den Traffic nach draußen.

Stimmt. Aber auch hier gilt. Da bei Unifi grundsätzlich alle LANs/VLANs nach draußen "telefonieren" dürfen. Bei OpnSense geht gar nichts, bis man eine Regel stellt, dass Port 80 und 443 erlaubt sind. Dort ist wie schon gesagt, alles - und ich meine ALLES - zu.

 

[stealthT]

@stealthT : Für welche Applikation auf der DS hast du denn Port 6881 eingestellt? Das ist ja nun kein DSM typischer Port? Wie sieht denn dein Netzwerk aus?

Unifi (Dreammaschine o.ä.) -> PC's (Mac oder Windows?) Irgendwelche Neuinstallationen in letzter Zeit?

Bei den PCs oder Handys???

Habe den Port nicht eingestellt. Und keine Neuinstallationen.

Ich denke, meine Netzwerkconfiq jetzt hier darzulegen, führt auch nicht weiter.

 

[stealthT]

Ich habe einmal mit einem Portscanner nach diesem Port geschaut. Da wird auf die üblichen Verdächtigen verwiesen. Die vermehrten Angriffe wundern mich also nicht.

Anhang anzeigen 109803

World of Tanks haben meine Kinder mal gespielt. Schon länger her. Aber als Ziel ist ja in den Fehlermeldungen die Synology benannt. Das macht ja dann keinen Sinn, oder was meint ihr?

 

[Recalion]

Ich habe dasselbe Problem mit Download Station und plötzlichen Pings nach draußen. Es hat konkret am 6.12. nachts angefangen. Das ist kein Zufall.

Siehe auch mein Beitrag hier: https://www.synology-forum.de/threads/vorsicht-download-station-pingt-nach-draussen.140632/

 

[stealthT]

Ja. Danke. Ich habe alles gecheckt. Docker ist aus, VMM ist aus. Keine Weiterleitungen. Fehlermeldungen kommen weiterhin. Download Station nutze ich allerdings auch nicht.

Antivirus Scan keine Meldungen.

Welche IP Adressen werden bei dir angesteuert?

 

[Recalion]

Ich nutze Download Station auch nicht, das Paket ist aber aktiv.
Ich habe das Paket deaktiviert und damit hört auch das Problem auf.
Ansonsten siehe im verlinkten Post, da steht alles drin.

 

[stealthT]

Ok. SEHR guter Hinweis!!! Hab die Download-Station mal komplett deinstalliert. Schauen wir mal, ob es bei mir weiter geht. Müssen wir sicher ein bisschen warten.

Oben kam schon mal die Frage. Aber an die App selbst hab ich nicht gedacht.

Wenn dem so ist, dann besteht hier aber ein großes Problem seitens Synology.

 

[stealthT]

So Problem scheint durch das Deinstallieren der Download-Station gebannt zu sein. Seit zwei Stunden ist Ruhe. Bleibt jetzt abzuwarten, wie groß das Problem insgesamt bei Synology ist.

Vielen Dank an alle, die sich hier unterstützend eingeklinkt hatten!!!

 

[Recalion]

Die Synology versucht über diverse Ports immer noch eine Verbindung an
IP 194.1.238.165
Port 80/Tcp
aufzubauen.
Zuletzt 14 Uhr irgendwas, ein paar Male hintereinander, dann das gleiche Spiel wieder 6 Versuche um 16:18 Uhr.

Jemand eine Idee, was das sein könnte?

 

[Adama]

Laut whois ist das eine Adresse in Russland:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See https://docs.db.ripe.net/terms-conditions.html

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '194.1.236.0 - 194.1.239.255'

% Abuse contact for '194.1.236.0 - 194.1.239.255' is 'email@vds.sh'

inetnum:        194.1.236.0 - 194.1.239.255
netname:        InternetHosting-net
country:        RU
org:            ORG-IHL17-RIPE
admin-c:        AN5230-RIPE
remarks:        ==================================================
remarks:        FOR ABUSE:
remarks:        email@vds.sh
remarks:        ==================================================-
tech-c:         AN5230-RIPE
status:         ASSIGNED PI
mnt-by:         RIPE-NCC-END-MNT
mnt-by:         mnt-ru-internethosting-1
mnt-by:         InternetHosting-mnt
mnt-routes:     InternetHosting-mnt
mnt-routes:     mnt-lt-serveriotechnologijos-1
mnt-domains:    InternetHosting-mnt
geoloc:         55.874023 37.465209
created:        2012-03-05T13:59:11Z
last-modified:  2022-11-03T11:57:00Z
source:         RIPE # Filtered

organisation:   ORG-IHL17-RIPE
org-name:       Internet Hosting LLC
country:        RU
org-type:       LIR
address:        Novo-rogachevskaya 11a
address:        141800
address:        Dmitrov
address:        RUSSIAN FEDERATION
phone:          +74956662234
admin-c:        AA34010-RIPE
tech-c:         AA34010-RIPE
abuse-c:        AR48792-RIPE
mnt-ref:        mnt-ru-internethosting-1
mnt-ref:        mnt-ru-dedicsh-1
mnt-ref:        lir-ru-skystark-1-MNT
mnt-by:         RIPE-NCC-HM-MNT
mnt-by:         mnt-ru-internethosting-1
created:        2018-10-17T16:59:07Z
last-modified:  2022-12-28T10:30:48Z
source:         RIPE # Filtered

person:         Aleksandr N.Artamonov
address:        141800, g. Dmitrov, ul. Novo-Rogachevskaja, d. 11a
phone:          +74956662234
nic-hdl:        AN5230-RIPE
mnt-by:         InternetHosting-mnt
created:        2012-01-23T08:44:49Z
last-modified:  2017-10-30T22:16:36Z
source:         RIPE

% Information related to '194.1.236.0/22AS212872'

route:          194.1.236.0/22
descr:          InternetHosting network
origin:         AS212872
mnt-by:         MNT-MBNET
created:        2022-06-09T14:04:45Z
last-modified:  2022-06-09T14:04:45Z
source:         RIPE

% This query was served by the RIPE Database Query Service version 1.120 (DEXTER)

https://www.whois.com/whois/194.1.238.165

 

[Benie]

Wäre jetzt Interessant, wie das mit der Vorgänger Version vom Downloadcenter aussieht?