Activité suspecte sur le NAS

[mickey_mouss]

Bonjour,

Cela fait un moment que je ne me suis pas connecté, alors voici quelques éléments que j'aurais pu mettre dans une présentation :

Je suis quadra, possesseur d'un NAS depuis 2009/2010 (DS210J, qui a été remplacé depuis 🙂 ), et maintenant j'utilise un couple de DS918+ avec un RT2600AC. Je sais m'en sortir pour pas mal de chose (VPN, DNS...) mais j’atteins mes limites quand il faut aller assez bas dans le système (même si je sais faire quelques petites choses via ssh, ce qui m'a été utile pour paramétrer mon VPN pour une authentification par certificat).

Pour arriver à mon sujet, que j'espère posté au bon endroit vu que je ne savais pas trop à vrai dire :

Je constate parfois une activité suspecte au niveau du package Safe Access de mon routeur en provenance de mon NAS. Ce qui me paraît suspect, c'est que :

- il s'agit de tentatives d'accès à internet répétées à chaque fois 3 fois (toute les minutes), schéma se reproduisant toutes les 18/20 minutes.

- cette activité disparaît toute seule au bout de 48 heures, et ce doit être la troisième fois que je la constate (il y a eu généralement une pause d'au moins 3 mois)

- les urls associées à ces IP étaient à chaque fois des urls OVH de type : vps-xxxxxx.vps.ovh.net

J'ai évidemment tout sauvegardé, démonté mes partition chiffrées, mais avant de tout effacer cette fois, j'aimerai savoir comment identifier l'origine de ces connections.

C'est là où j'arrive vraiment à mes limites, j'ai cherché à savoir comment je pouvais trouver le processus faisant ces tentatives, ou simplement essayer d'identifier un process bizarre qui tourne mais je patauge.

Même le résultat de la commande htop ne me montre rien qui me saute aux yeux.

Si vous avez une idée, je suis preneur...

Merci d'avance.

[.Shad.]

Il est peu probable que le processus vienne de l'intérieur mais plutôt de l'extérieur si l'origine des "attaques" remonte à OVH.

Quels ports as-tu ouvert vers l'extérieur ?

[mickey_mouss]

Le seul port ouvert depuis la zone WAN est le port pour OpenVPN (vers le routeur et non le NAS)

pour illustration, voici le mail généré par le package Safe Access du routeur :

Sujet du mail : [Safe Access] 51.38.81[.]135 a été bloqué pour des raisons de sécurité

Corps du mai: La connexion de NAS à 51.38.81[.]135 a été bloquée pour des raisons de sécurité (Malveillant).
Envoyé depuis votre Synology Router

Modifié le 13 juillet par mickey_mouss

[.Shad.]

@mickey_mouss Est-ce que SRM ne dispose pas d'un centre de journaux un peu plus verbeux ? Je n'ai aucune expérience du paquet Safe Access ni de leurs routeurs, difficile de t'aider plus...

[mickey_mouss]

@.Shad. Non, le journal sur le routeur n’est pas plus verbeux mais à vrai dire, mon sujet n’est pas trop le routeur. Je sais que la connection bloquée vient du NAS. Ce que je voudrais savoir c’est comment je peux identifier le process qui a cherché à atteindre cette adresse (à priori difficile maintenant car les tentatives ont cessées) ou identifier un process dormant bizarre. Je n’ai jamais eu avant à gérer ce genre de problème avant. 
Mes devices qui accèdent à mon NAS depuis l’extérieur le font tous au travers de règles VPN à la demande via une URL résolue par mon DNS local. Je suis donc des plus surpris d’avoir ce type de connection. Je n’ai pas non plus beaucoup d’application sur le NAS, et ce ne sont pas des applications tierces : antivirus, serveur multimédia, active insight, note station, node.js, éditeur de texte, php, python, Synology calendar.

 

Modifié le 13 juillet par mickey_mouss