Skip to main content

security log (zyxel router)

  • 25 januari 2024
  • 5 reacties
  • 410 Bekeken
Y

In mijn Odido zyxel-router heb ik ongeveer 10 security logs/sec, zoals hieronder. Is dit iets waar ik rekening mee moet houden? xx.xx.xx.xx is my IP address


 

  Jan 25 16:54:51 kern alert attack kernel: [1708211.985025] UDP PORT SCAN ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=104.152.52.158 DST=xx.xx.xx.xx LEN=28 TOS=0x00 PREC=0x00 TTL=241 ID=8752 PROTO=UDP SPT=58013 DPT=49156 LEN=8
2 Jan 25 16:53:50 kern alert attack kernel: [1708150.587452] UDP PORT SCAN ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=104.152.52.158 DST=xx.xx.xx.xx LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=46794 PROTO=UDP SPT=58013 DPT=7 LEN=20
10 Jan 25 03:52:11 kern alert attack kernel: [1661301.248650] PING OF DEATH ATTACK:IN=eth1.3 OUT= MAC=f8:0d:a9:0e:6f:81:00:0e:00:00:00:01:08:00 SRC=23.92.31.220 DST=xx.xx.xx.xx LEN=34 TOS=0x00 PREC=0x00 TTL=18 ID=22377 PROTO=ICMP TYPE=8 CODE=0 ID=22377 SEQ=30


 

Uitgelichte reactie

26 januari 2024

Allereerst van harte welkom op onze Community! 😀 @yolkhovyy 

Nu moet ik eerlijk toegeven dat ik hier zelf het antwoord niet op weet, maar je bent naar de juiste plek gekomen. Ik weet zeker dat je je antwoord hier zult vinden! @eric of @TMTV Moet hier rekening mee worden gehouden?

5 reacties

Teresa van Odido
Moderator
Forum|alt.badge.img+5
  • Teresa van Odido
  • Moderator | Internet + TV
  • 4237 reacties
  • 26 januari 2024

Allereerst van harte welkom op onze Community! 😀 @yolkhovyy 

Nu moet ik eerlijk toegeven dat ik hier zelf het antwoord niet op weet, maar je bent naar de juiste plek gekomen. Ik weet zeker dat je je antwoord hier zult vinden! @eric of @TMTV Moet hier rekening mee worden gehouden?

Neem alvast een kijkje in onze Wiki! https://community.odido.nl/knowledge-base
henkdeleeuw
Forum|alt.badge.img
  • henkdeleeuw
  • is een Top Poster
  • 256 reacties
  • 26 januari 2024

Portscans zijn tegenwoordig ‘fact of life’ voor iedereen die aan internet hangt.
Niet te voorkomen, en, als de router up to date is, niets om je zorgen over te maken.
De meeste routers melden (of detecteren!) het niet eens.

Men probeert gewoon alle deuren die ze kunnen vinden te openen door aan te kloppen.

Zloang de sloten in orde zijn is er niets aan de hand

Cal van Odido
Langevloei
2 mensen vinden dit leuk
  • Cal van Odido
    Cal van Odido
  • Langevloei
    Langevloei
eric
Super User
Forum|alt.badge.img+14
  • ericSuper User
  • Odido Superuser
  • 8941 reacties
  • 26 januari 2024

Hoi @yolkhovyy ,

Heel goed dat deze router dit detecteert en dus ook blokkeert. Ik heb een NAS met een portforwarding bereikbaar van internet,  op die poorten komen ook vaak login attempts binnen. Ook hier heb ik een extra firewall en IP Block op draaien als er een verkeerde login is.

Dus geen zorgen, maar wel aandacht voor beveiliging in het algemeen houden.

Welkom bij de klant-helpt-klant Community van Odido.
Cal van Odido
henkdeleeuw
2 mensen vinden dit leuk
  • Cal van Odido
    Cal van Odido
  • henkdeleeuw
    henkdeleeuw
Y
  • yolkhovyyis een Master Poster
  • Auteur
  • is een Master Poster
  • 23 reacties
  • 26 januari 2024

Hartelijk dank allemaal - voor jullie snelle en duidelijke reacties!

Ja, ik heb in het verleden gezien dat ze soms obfuscated ssh-poortnummers konden vinden en probeerden in te loggen op ssh op het interne netwerk.

Kan zyxel EX5601-T1 dat voorkomen?

henkdeleeuw
Forum|alt.badge.img
  • henkdeleeuw
  • is een Top Poster
  • 256 reacties
  • 26 januari 2024
yolkhovyy schreef:

Hartelijk dank allemaal - voor jullie snelle en duidelijke reacties!

Ja, ik heb in het verleden gezien dat ze soms obfuscated ssh-poortnummers konden vinden en probeerden in te loggen op ssh op het interne netwerk.

Kan zyxel EX5601-T1 dat voorkomen?

Helaas, de Zyxel zal geen legitiem verkeer van hackers kunnen onderscheiden. Beiden proberen op dezelfde manier verbinding te maken.

Ze kunnen alleen op een interne ssh proberen in te loggen als je zelf een portforward naar de interne server gedaan hebt. Een ander poortnummer dan 22 gebruiken helpt wel iets, maar een portscan prikt daar doorheen.

Als de interne server Linux of FreeBSD draait, kun je daar fail2ban op installeren. Die kan herhaalde pogingen vanaf hetzelfde ip-adres blokkeren, maar tegen botnets die voor iedere poging een ander bronadres gebruiken helpt zelfs dat niet.

Reageer


ForumvoorwaardenCookie instellingen

Cookiebeleid

Wij gebruiken cookies om uw bezoekers ervaring te verbeteren en te personaliseren. Ga je akkoord, of ga je door op de website dan ga je akkoord met ons cookiebeleid. Meer informatie.

 
Cookie instellingen