Mit wem telefoniert meine Synology nachts?

Status
Für weitere Antworten geschlossen.

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Liebe Foristen,

ich bin gerade mal dazu gekommen, den Log meines Vigor Draytek-Routers (an ihm hängt meine Synology) auszuwerten. Und da fallen mir doch merkwürdige Verbindungsversuche auf. Um diese Uhrzeiten war kein User an/auf der Syno unterwegs. Habe eine feste, öffentlich erreichbare IP-Adresse.

Meine Synology hat die IP-Adresse 192.168.1.10 // unter 192.168.1.30 läuft meine Virtuelle Maschine in der Syno mit Ubuntu

z.b.: Verbindungsversuche von außerhalb auf die Syno

- 02.33 Uhr:Virtual Server: 218.92.1.148:45137 -> 192.168.1.10:22 (TCP). Dieser Virtual Server gehört China Telekom
- 02.34 Uhr: Virtual Server: 192.99.55.214:56471 -> 192.168.1.10:22 . Dieser Virtual Server steht in Vermont (USA)
- 02.36 Uhr: Virtual Server: 190.57.185.138:50886 -> 192.168.1.10:22 (TCP). Dieser Virtual Server steht in Kolumbien
- 02.35 Uhr: Virtual Server: 61.184.247.6:37607 -> 192.168.1.10:22 (TCP). Server steht ebenfalls in China
- 02:38 Uhr: Virtual Server: 36.156.24.99:41592 -> 192.168.1.10:22 (TCP). Server steht in China
- 02:34 Uhr: Virtual Server: 142.44.247.87:52120 -> 192.168.1.10:22 (TCP) (Ottawa / kanada)
- 02.19 Uhr: Local User: 35.224.99.156:80 -> 192.168.1.30:52592 (TCP). Die Quell-IP-Adresse liegt in Cleveland, USA, die Ziel-IP-Adresse ist meine Virtuelle Maschine, in der Ubuntu läuft (s.u.)


Das merkwürdige ist, dass diese Länder weder in der Synology-Firewall noch in der Router-Firewall überhaupt erlaubt sind.

Verbindungsversuche der Syno nach außerhalb:

- 02:19 Uhr: 192.168.1.30:52592 -> 35.224.99.156:80 (TCP)Web. Die Ziel-IP-Adresse liegt in Cleveland (siehe oben). Gibts die Nacht über immer wieder Kontaktversuche.
- 02:20 Uhr: Local User 192.168.1.10:33730 -> 178.128.11.127:80 (TCP)Web. Die Ziel-Adresse liegt in Thessaloniki. Was will meine Synology in Griechenland???
- 02:20 Uhr: Local User 192.168.1.10:123 -> 216.239.35.12:123. Gehört zu Google / San Jose
- 02:28 Uhr: Local User 192.168.1.10:443 -> 84.178.217.223:54340. Gehört zur Deutschen Telekom Würzburg
- 02:33 Uhr:Local User 192.168.1.10:123 -> 216.239.35.4:123 (Gehört zu Google)
- 02:51 Uhr: Local User 192.168.1.30:43434 -> 18.184.98.239:443 (TCP) (Massachusetts Institute of Technology)
- 02:55 Uhr: Local User 192.168.1.10:123 -> 216.239.35.8:123 (UDP) - schon wieder Google

HÄH????
 

mega

Benutzer
Mitglied seit
26. Feb 2008
Beiträge
1.144
Punkte für Reaktionen
2
Punkte
64
Versuche von außen rein sind 'normal'. Wird halt auf hackbare Systeme gesucht. Der Router bekommts mit, auch wenn die Synology es dann blockt.

Versuche nach außen könnten sein:
- Update-Checks (inkl DNS-Abfragen)
- NTP-Update
- Mail-Check (falls eingerichtet)
- Surveillance Zertifikat (falls eingerichtet)
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
OK, einloggversuche von aussen auf die Syno - ok. Aber warum will sich meine Syno mit Thessaloniki verbinden? Gibt keine Mailstation / Survaillance...
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.036
Punkte für Reaktionen
1.618
Punkte
308
@servilianus sicher dass das ausgehend alles geblockte Verbindungsversuche waren? Denn die letzte Zeile bei den geblockten eingehenden Versuchen sieht verdächtig nach einer Antwort auf den angeblich geblockten ausgehenden Verbindungsversuch in der ersten Zeile aus.
 

servilianus

Benutzer
Mitglied seit
26. Dez 2017
Beiträge
898
Punkte für Reaktionen
244
Punkte
63
Also von der Syno ausgehend habe ich gar nichts geblockt. Dachte immer, dass sich die Syno-Firewall bzw. Geo-Blocking via Router nur auf eingehende Verbindungen bezieht? Jedenfalls telefoniert die Syno bzw. die Virtuelle Maschine nachts mit Google oder mit Griechenland - oder versucht es zumindest - und ich weiss nicht warum...
 

himitsu

Benutzer
Sehr erfahren
Mitglied seit
22. Okt 2018
Beiträge
2.904
Punkte für Reaktionen
337
Punkte
123
Jupp, die Ports 123 sind NTP, also Abfrage/Synchronisation der Uhrzeit (Google betreibt viele und vor allem schnelle Zeit- und DNS-Server mit festen IPs),
die Reinkommenden zum Port 22 wären wohl Hackingversuche auf deine Linux-Shell (SSH)
und Thessaloniki gehört zum QuickConnect, also die Abfrage der eigenen öffentlichen IP via on-us-checkip2.synology.com und gehört zum checkip-quickconnect.digitalocean.synology.com bzw. checkip-dual.digitalocean.synology.com und ddns-checkip.quickconnect.to
 
Zuletzt bearbeitet:
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat