QNAP Club Italia

Da qualche tempo nel log del mio 219p trovo questi messaggi.
Secondo voi sono tentativi di violare il sistema da parte di qualcuno o ho configurato male qualcosa??

Grazie in anticipo
Etesmar

2013-01-24
109 08:07:15 System 127.0.0.1 localhost [Security] Access Violation from 61.236.64.56 with TCP (port=22)

2013-01-23
100 22:51:54 System 127.0.0.1 localhost [Security] Access Violation from 218.26.89.179 with TCP (port=22)

2013-01-23
85 16:29:54 System 127.0.0.1 localhost [Security] Access Violation from 118.26.195.157 with TCP (port=22)

2013-01-23
78 14:30:48 System 127.0.0.1 localhost [Security] Access Violation from 178.18.17.62 with TCP (port=22)

Sono dei tentarivi di accesso..ci sono tanti bot sparsi nella rete che provano l accesso di continuo sopratutto nella porta 22..nelle impostazioni puoi configurare il ban dell ip dopo tot tentativi di fila falliti..a me ne capitano decine durante tutto il giorno..ma alla fine vengono tutti bannati!

Stesso discorso per me...
TI consiglierei di alzare lo stato di allarme, inserendo come controllo "entro 30 minuti", ed il minimo di tentativi, per poi bannare per sempre.
Inoltre veriifcare di aver attivato il firewall anche sul modem, per evitare attacchi tipo DOS; alcuni modem hanno firewall integrato anche potente !
Talvolta questi IP hanno un web diretto, al quale riuscivo a collegarmi: TUTTI CINESI !!!!! (è statisticamente provato che se una popolazione è formata da miliardi di invdividui, almeno un buon 100.000 non avranno un c***o da fare se non stressare la gente in giro per il mondo !)

E' esattamente quello che ho fatto blocca IP x 1 giorno se la connessione fallisce 5 volte nell'arco di 10 minuti...
Quindi questa mossa è sufficiente a stare sereni?...

Grazie e Ciao
Etesmar

Io ti consiglierei:
Blocca PER SEMPRE se la connessine fallisce 5 volte nell'arco di 30 minuti.
Dandogli un range più ampio (30 minuti) ha "meno tempo" per fare altri tentativi e vedersi poi resettati gli errori in automatico da parte del server attaccato, simulando un reale errore nell'inserimento di utente/pwd.
Solitamente molti di questi bot fanno 2 tentativi e poi fanno passare un po' di minuti (dai 5 ai 20), per permettere al server attaccato di resettare il lasso di tempo dei tentativi: mettendo 30 minuti, ampliamo questo tempo di reset, ingannando il bot che si trova pertanto a fare i conti con un numero di tentativi errari NON ANCORA resettato (30 minuti), venendo pertanto BANNATO !

Grazie Fatto !!!

etesmar ha scritto:85 16:29:54 System 127.0.0.1 localhost [Security] Access Violation from 118.26.195.157 with TCP (port=22)

Prova ad inserire nel tuo browser questo IP (http://118.26.195.157/) e vedi che ti appare !

Ho visto.... tutti mandarini :-)

E dire che i miei figli fanno tutti Kung Fu....
Li manderò a fare i master là, chiedendogli di aprirmi una mega backdoor remota, e poi.... VENDETTAAAAAAAAAAAAAAAAAAAAAAAA !!!!

Torno su questo argomento perchè ho un problema, ho settato la protezione come suggerito da FabioLV:
""Blocca PER SEMPRE se la connessine fallisce 5 volte nell'arco di 30 minuti.""

Da qualche giorno però, un computer della rete mi crea questa violazione:
""System 127.0.0.1 localhost [Security] Access Violation from 192.168.1.4 with UDP (port=1900)"
In questo caso la violazione è sulla porta 1900 ma nei giorni scorsi è avvenuta anche sulla porta 139 sulla 445 e sulla 49152.
Il NAS a seguito di queste violazioni banna il computer.
Ho fatto una ricerca con l'ultima versione di kasperky e ho installato Antimalware, ma questa mattina il computer è stato ribannato?
Avete una dritta??
Grazie

Ciao etes,
in alcuni casi può essere un problema sul DHCP: un qualche componente ha settato male i parametri e cerca di recuperare un IP corretto.
La tua lan è per caso 192.168.0.xxx ?

Ciao !

No la mia lan è 192.168.1.xx infatti il pc che esegue la violazione è proprio 192.168.1.4...
Il dhcp è attivo sul router collegato all' ADSL e questo problema si è verificato dopo due mesi di funzionamento corretto.
Ho pensato a qualche programma installato negli ultimi giorni, ho provato a fare un ripristino configurazione di sistema, tornando indietro di qualche giorno, ma non ha funzionato...Non ho idea su come muovermi, mi seccherebbe togliere la protezione per poter lavorare.