Toon posts:

Dreigingsmelding Unifi

Pagina: 1
Acties:

Vraag

maandag 17 oktober 2022 12:35

Acties:
  • 0Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 17:57

Asterion

Topicstarter
Dag Tweakers,

Recentelijk krijg ik af en toe dreigingsmeldingen krijg in de controller van Unifi.

De melding is als volgt:
Dreigingsbeheermelding 2: Misc Attack. Signature ET TOR Known Tor Relay/Router (Not Exit) Node Traffic group 630. Van: 37.187.122.101:22067, to: 192.168.1.30:59470, protocol: TCP
Waarbij de group, Van en Poort verschillend zijn.

Hoe kan ik uitzoeken van welk programma dit komt of wat er nu effectief aan het gebeuren is?

En wat wilt dit eigenlijk zeggen? Proberen ze via het TOR netwerk mijn poorten te scannen op zwakheden?

Internet leert me dat dit zou kunnen omdat mijn ip-adres ergens bekend is bij een tor client/server en dat die terug verbinding probeert te maken en dat ik me hier weinig zorgen om hoef te maken aangezien het wel degelijk geblokkeerd wordt.

Alvast bedankt voor het meedenken.

Alle reacties

maandag 17 oktober 2022 16:39

Acties:
  • 0Henk 'm!
  • Junia
  • Registratie: November 2009
  • Nu online

Junia

Mijn eerste indruk op basis van de beperkte informatie is dat je even wat verder onderzoek moet uitvoeren op het 192.168.1.30 device, het lijkt er namelijk wel degelijk op dat er een (poging?) callback sessie wordt opgezet, immers zie je een NAT adres i.c.m. dynamische poort.

Weet je zeker dat het geblokkeerd wordt? Dat is namelijk niet te zien op basis van je info.

dinsdag 18 oktober 2022 11:02

Acties:
  • 0Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 17:57

Asterion

Topicstarter
Het is wel zo dat al mijn verkeer via een nas gaat met adguard. Dus als er een apparaat verbinding maakt dan vermoed ik dat het wel steeds dat ip-adres zal zijn dat in de meldingen komt te staan?

Ik heb nu even op mijn computer wat verouderde software en een torrent cliënt verwijderd want het is me opgevallen dat dit vaak samen gaat met het opstarten van mijn computer.

Het is inderdaad beperkte informatie, mijn excuses.
Ik ben niet zo bekend met deze materie dat ik niet goed weet waar te beginnen of vanwaar dit zou kunnen komen.

Ik hou jullie op de hoogte.

dinsdag 18 oktober 2022 11:05

Acties:
  • 0Henk 'm!
  • Junia
  • Registratie: November 2009
  • Nu online

Junia

Asterion schreef op dinsdag 18 oktober 2022 @ 11:02:
Het is wel zo dat al mijn verkeer via een nas gaat met adguard. Dus als er een apparaat verbinding maakt dan vermoed ik dat het wel steeds dat ip-adres zal zijn dat in de meldingen komt te staan?

Ik heb nu even op mijn computer wat verouderde software en een torrent cliënt verwijderd want het is me opgevallen dat dit vaak samen gaat met het opstarten van mijn computer.

Het is inderdaad beperkte informatie, mijn excuses.
Ik ben niet zo bekend met deze materie dat ik niet goed weet waar te beginnen of vanwaar dit zou kunnen komen.

Ik hou jullie op de hoogte.
Is 192.168.1.30 je NAS of een Windows host? Indien het laatste zou je eenvoudig d.m.v. netstat kunnen uitvinden of er een proces is dat connectie zoekt met 37.187.122.101.

dinsdag 18 oktober 2022 22:40

Acties:
  • 0Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 17:57

Asterion

Topicstarter
Dat is inderdaad mijn nas.

Deze keer heb ik geen dreigingsmelding gehad bij het opstarten van de pc.

Is het nu puur toeval, geen idee.

woensdag 16 november 2022 11:31

Acties:
  • +1Henk 'm!
  • Asterion
  • Registratie: Maart 2008
  • Laatst online: 17:57

Asterion

Topicstarter
Om toch nog even te reageren voor een oplossing.

Het verwijderen van qBittorrent en verouderde software heeft geholpen.
Sindsdien heb ik geen dreigingsmelding meer gekregen.

Lag het nu aan qBittorrent of aan de andere software kan ik niet zeggen.

woensdag 16 november 2022 12:17

Acties:
  • 0Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Asterion schreef op woensdag 16 november 2022 @ 11:31:
Om toch nog even te reageren voor een oplossing.

Het verwijderen van qBittorrent en verouderde software heeft geholpen.
Sindsdien heb ik geen dreigingsmelding meer gekregen.

Lag het nu aan qBittorrent of aan de andere software kan ik niet zeggen.
Bittorrent praat met de hele wereld en zn moer. Daar zullen dan ook wel bad neighbourhoods tussen zitten (zoals hosters die bekend staan om hosten van foutedingen). En dan kan er vast een alert komen, ook zonder concrete aanval.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee