Mit wem telefoniert meine Synology nachts?

[servilianus]

Liebe Foristen,

ich bin gerade mal dazu gekommen, den Log meines Vigor Draytek-Routers (an ihm hängt meine Synology) auszuwerten. Und da fallen mir doch merkwürdige Verbindungsversuche auf. Um diese Uhrzeiten war kein User an/auf der Syno unterwegs. Habe eine feste, öffentlich erreichbare IP-Adresse.

Meine Synology hat die IP-Adresse 192.168.1.10 // unter 192.168.1.30 läuft meine Virtuelle Maschine in der Syno mit Ubuntu

z.b.: Verbindungsversuche von außerhalb auf die Syno

- 02.33 Uhr:Virtual Server: 218.92.1.148:45137 -> 192.168.1.10:22 (TCP). Dieser Virtual Server gehört China Telekom
- 02.34 Uhr: Virtual Server: 192.99.55.214:56471 -> 192.168.1.10:22 . Dieser Virtual Server steht in Vermont (USA)
- 02.36 Uhr: Virtual Server: 190.57.185.138:50886 -> 192.168.1.10:22 (TCP). Dieser Virtual Server steht in Kolumbien
- 02.35 Uhr: Virtual Server: 61.184.247.6:37607 -> 192.168.1.10:22 (TCP). Server steht ebenfalls in China
- 02:38 Uhr: Virtual Server: 36.156.24.99:41592 -> 192.168.1.10:22 (TCP). Server steht in China
- 02:34 Uhr: Virtual Server: 142.44.247.87:52120 -> 192.168.1.10:22 (TCP) (Ottawa / kanada)
- 02.19 Uhr: Local User: 35.224.99.156:80 -> 192.168.1.30:52592 (TCP). Die Quell-IP-Adresse liegt in Cleveland, USA, die Ziel-IP-Adresse ist meine Virtuelle Maschine, in der Ubuntu läuft (s.u.)


Das merkwürdige ist, dass diese Länder weder in der Synology-Firewall noch in der Router-Firewall überhaupt erlaubt sind.

Verbindungsversuche der Syno nach außerhalb:

- 02:19 Uhr: 192.168.1.30:52592 -> 35.224.99.156:80 (TCP)Web. Die Ziel-IP-Adresse liegt in Cleveland (siehe oben). Gibts die Nacht über immer wieder Kontaktversuche.
- 02:20 Uhr: Local User 192.168.1.10:33730 -> 178.128.11.127:80 (TCP)Web. Die Ziel-Adresse liegt in Thessaloniki. Was will meine Synology in Griechenland???
- 02:20 Uhr: Local User 192.168.1.10:123 -> 216.239.35.12:123. Gehört zu Google / San Jose
- 02:28 Uhr: Local User 192.168.1.10:443 -> 84.178.217.223:54340. Gehört zur Deutschen Telekom Würzburg
- 02:33 Uhr:Local User 192.168.1.10:123 -> 216.239.35.4:123 (Gehört zu Google)
- 02:51 Uhr: Local User 192.168.1.30:43434 -> 18.184.98.239:443 (TCP) (Massachusetts Institute of Technology)
- 02:55 Uhr: Local User 192.168.1.10:123 -> 216.239.35.8:123 (UDP) - schon wieder Google

HÄH????

 

[mega]

Versuche von außen rein sind 'normal'. Wird halt auf hackbare Systeme gesucht. Der Router bekommts mit, auch wenn die Synology es dann blockt.

Versuche nach außen könnten sein:
- Update-Checks (inkl DNS-Abfragen)
- NTP-Update
- Mail-Check (falls eingerichtet)
- Surveillance Zertifikat (falls eingerichtet)

 

[servilianus]

OK, einloggversuche von aussen auf die Syno - ok. Aber warum will sich meine Syno mit Thessaloniki verbinden? Gibt keine Mailstation / Survaillance...

 

[synfor]

@servilianus sicher dass das ausgehend alles geblockte Verbindungsversuche waren? Denn die letzte Zeile bei den geblockten eingehenden Versuchen sieht verdächtig nach einer Antwort auf den angeblich geblockten ausgehenden Verbindungsversuch in der ersten Zeile aus.

 

[servilianus]

Also von der Syno ausgehend habe ich gar nichts geblockt. Dachte immer, dass sich die Syno-Firewall bzw. Geo-Blocking via Router nur auf eingehende Verbindungen bezieht? Jedenfalls telefoniert die Syno bzw. die Virtuelle Maschine nachts mit Google oder mit Griechenland - oder versucht es zumindest - und ich weiss nicht warum...

 

[himitsu]

Jupp, die Ports 123 sind NTP, also Abfrage/Synchronisation der Uhrzeit (Google betreibt viele und vor allem schnelle Zeit- und DNS-Server mit festen IPs),
die Reinkommenden zum Port 22 wären wohl Hackingversuche auf deine Linux-Shell (SSH)
und Thessaloniki gehört zum QuickConnect, also die Abfrage der eigenen öffentlichen IP via on-us-checkip2.synology.com und gehört zum checkip-quickconnect.digitalocean.synology.com bzw. checkip-dual.digitalocean.synology.com und ddns-checkip.quickconnect.to