Toon posts:

Dreigingsmelding Unifi

Pagina: 1
Acties:

Vraag

maandag 17 oktober 2022 12:35

Acties:
  • 0 Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 15:27

Asterion

Topicstarter
Dag Tweakers,

Recentelijk krijg ik af en toe dreigingsmeldingen krijg in de controller van Unifi.

De melding is als volgt:
Dreigingsbeheermelding 2: Misc Attack. Signature ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 630. Van: 37.187.122.101:22067, to: 192.168.1.30:59470, protocol: TCP
Waarbij de group, Van en Poort verschillend zijn.

Hoe kan ik uitzoeken van welk programma dit komt of wat er nu effectief aan het gebeuren is?

En wat wilt dit eigenlijk zeggen? Proberen ze via het TOR netwerk mijn poorten te scannen op zwakheden?

Internet leert me dat dit zou kunnen omdat mijn ip-adres ergens bekend is bij een tor client/server en dat die terug verbinding probeert te maken en dat ik me hier weinig zorgen om hoef te maken aangezien het wel degelijk geblokkeerd wordt.

Alvast bedankt voor het meedenken.

Alle reacties

maandag 17 oktober 2022 16:39

Acties:
  • 0 Henk 'm!
  • Junia
  • Registratie: November 2009
  • Laatst online: 13:29

Junia

Mijn eerste indruk op basis van de beperkte informatie is dat je even wat verder onderzoek moet uitvoeren op het 192.168.1.30 device, het lijkt er namelijk wel degelijk op dat er een (poging?) callback sessie wordt opgezet, immers zie je een NAT adres i.c.m. dynamische poort.

Weet je zeker dat het geblokkeerd wordt? Dat is namelijk niet te zien op basis van je info.

dinsdag 18 oktober 2022 11:02

Acties:
  • 0 Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 15:27

Asterion

Topicstarter
Het is wel zo dat al mijn verkeer via een nas gaat met adguard. Dus als er een apparaat verbinding maakt dan vermoed ik dat het wel steeds dat ip-adres zal zijn dat in de meldingen komt te staan?

Ik heb nu even op mijn computer wat verouderde software en een torrent cliënt verwijderd want het is me opgevallen dat dit vaak samen gaat met het opstarten van mijn computer.

Het is inderdaad beperkte informatie, mijn excuses.
Ik ben niet zo bekend met deze materie dat ik niet goed weet waar te beginnen of vanwaar dit zou kunnen komen.

Ik hou jullie op de hoogte.

dinsdag 18 oktober 2022 11:05

Acties:
  • 0 Henk 'm!
  • Junia
  • Registratie: November 2009
  • Laatst online: 13:29

Junia

Asterion schreef op dinsdag 18 oktober 2022 @ 11:02:
Het is wel zo dat al mijn verkeer via een nas gaat met adguard. Dus als er een apparaat verbinding maakt dan vermoed ik dat het wel steeds dat ip-adres zal zijn dat in de meldingen komt te staan?

Ik heb nu even op mijn computer wat verouderde software en een torrent cliënt verwijderd want het is me opgevallen dat dit vaak samen gaat met het opstarten van mijn computer.

Het is inderdaad beperkte informatie, mijn excuses.
Ik ben niet zo bekend met deze materie dat ik niet goed weet waar te beginnen of vanwaar dit zou kunnen komen.

Ik hou jullie op de hoogte.
Is 192.168.1.30 je NAS of een Windows host? Indien het laatste zou je eenvoudig d.m.v. netstat kunnen uitvinden of er een proces is dat connectie zoekt met 37.187.122.101.

dinsdag 18 oktober 2022 22:40

Acties:
  • 0 Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 15:27

Asterion

Topicstarter
Dat is inderdaad mijn nas.

Deze keer heb ik geen dreigingsmelding gehad bij het opstarten van de pc.

Is het nu puur toeval, geen idee.

woensdag 16 november 2022 11:31

Acties:
  • +1 Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 15:27

Asterion

Topicstarter
Om toch nog even te reageren voor een oplossing.

Het verwijderen van qBittorrent en verouderde software heeft geholpen.
Sindsdien heb ik geen dreigingsmelding meer gekregen.

Lag het nu aan qBittorrent of aan de andere software kan ik niet zeggen.

woensdag 16 november 2022 12:17

Acties:
  • 0 Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Asterion schreef op woensdag 16 november 2022 @ 11:31:
Om toch nog even te reageren voor een oplossing.

Het verwijderen van qBittorrent en verouderde software heeft geholpen.
Sindsdien heb ik geen dreigingsmelding meer gekregen.

Lag het nu aan qBittorrent of aan de andere software kan ik niet zeggen.
Bittorrent praat met de hele wereld en zn moer. Daar zullen dan ook wel bad neighbourhoods tussen zitten (zoals hosters die bekend staan om hosten van foutedingen). En dan kan er vast een alert komen, ook zonder concrete aanval.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq