Aller au contenu

Activité suspecte sur le NAS


Messages recommandés

Bonjour,

Cela fait un moment que je ne me suis pas connecté, alors voici quelques éléments que j'aurais pu mettre dans une présentation :

Je suis quadra, possesseur d'un NAS depuis 2009/2010 (DS210J, qui a été remplacé depuis 🙂 ), et maintenant j'utilise un couple de DS918+ avec un RT2600AC. Je sais m'en sortir pour pas mal de chose (VPN, DNS...) mais j’atteins mes limites quand il faut aller assez bas dans le système (même si je sais faire quelques petites choses via ssh, ce qui m'a été utile pour paramétrer mon VPN pour une authentification par certificat).

Pour arriver à mon sujet, que j'espère posté au bon endroit vu que je ne savais pas trop à vrai dire :

Je constate parfois une activité suspecte au niveau du package Safe Access de mon routeur en provenance de mon NAS. Ce qui me paraît suspect, c'est que :

- il s'agit de tentatives d'accès à internet répétées à chaque fois 3 fois (toute les minutes), schéma se reproduisant toutes les 18/20 minutes.

- cette activité disparaît toute seule au bout de 48 heures, et ce doit être la troisième fois que je la constate (il y a eu généralement une pause d'au moins 3 mois)

- les urls associées à ces IP étaient à chaque fois des urls OVH de type : vps-xxxxxx.vps.ovh.net

J'ai évidemment tout sauvegardé, démonté mes partition chiffrées, mais avant de tout effacer cette fois, j'aimerai savoir comment identifier l'origine de ces connections.

C'est là où j'arrive vraiment à mes limites, j'ai cherché à savoir comment je pouvais trouver le processus faisant ces tentatives, ou simplement essayer d'identifier un process bizarre qui tourne mais je patauge.

Même le résultat de la commande htop ne me montre rien qui me saute aux yeux.

Si vous avez une idée, je suis preneur...

Merci d'avance.

Lien vers le commentaire
Partager sur d’autres sites

Le seul port ouvert depuis la zone WAN est le port pour OpenVPN (vers le routeur et non le NAS)

pour illustration, voici le mail généré par le package Safe Access du routeur :

Sujet du mail [Safe Access] 51.38.81[.]135 a été bloqué pour des raisons de sécurité

Corps du mai: La connexion de NAS à 51.38.81[.]135 a été bloquée pour des raisons de sécurité (Malveillant).
Envoyé depuis votre Synology Router

Modifié par mickey_mouss
Lien vers le commentaire
Partager sur d’autres sites

@.Shad. Non, le journal sur le routeur n’est pas plus verbeux mais à vrai dire, mon sujet n’est pas trop le routeur. Je sais que la connection bloquée vient du NAS. Ce que je voudrais savoir c’est comment je peux identifier le process qui a cherché à atteindre cette adresse (à priori difficile maintenant car les tentatives ont cessées) ou identifier un process dormant bizarre. Je n’ai jamais eu avant à gérer ce genre de problème avant. 
Mes devices qui accèdent à mon NAS depuis l’extérieur le font tous au travers de règles VPN à la demande via une URL résolue par mon DNS local. Je suis donc des plus surpris d’avoir ce type de connection. Je n’ai pas non plus beaucoup d’application sur le NAS, et ce ne sont pas des applications tierces : antivirus, serveur multimédia, active insight, note station, node.js, éditeur de texte, php, python, Synology calendar.

 

Modifié par mickey_mouss
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.