Veiligheidslogboek leeg na herstarten van Zyxel Modem en logboek niet te mailen

Kleine UPDATE: het kan zijn dat de engineers op afstand willen inloggen op het Zyxel modem om zaken na te kijken. Zou je voorlopig niks willen aanpassen aan het modem/de setup, alsjeblieft? Thanks voor je medewerking! @marvpp 

@Jason ok dank. Nog een update:
1) Het valt mij op dat een van mijn wireless devices, waar eerder als naam een jQuery command stond en niet aanpasbaar is deze nu wel aangepast is, en ik deze nu ook wel weer kan aanpassen.

2) Ik kan de security log (nog) niet inzien, maar nu wel weer exporteren, weliswaar met wat beperkte entries volgens mij.
Hieronder twee maal op de zelfde datum : Feb 10 23:34:57 kern.alert kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.42 DST=<MijnHomeIP>  LEN=40 TOS=0x00 PREC=0x00 TTL=245 ID=34815 PROTO=TCP SPT=51856 DPT=445 WINDOW=1024 RES=0x00 SYN URGP=0
Waar komt deze .42 van daan?
Ook staan er (maar) 2  entries van 18 feb, maar nu gelogd in de range van 10 feb en deze staan dubbel gemeld . Hoe kan dit?

Bvd

@marvpp Kan het zijn dat jij toevallig een Adblocker of Adblocker Plus gebruikt als Chrome extensie (bijvoorbeeld)? Die kan het logboek als ad zien en daardoor verwijderen/blokkeren. Dat zou ook de blokkade bij toegang verklaren.

Zou je nog antwoord kunnen geven op de vragen vanuit Zyxel, alsjeblieft?

Hoi @Jason . Ik heb bovenstaande niet goed gelezen dus hier mijn update: Ik heb inderdaad ook AdBlocker geinstalleerd om werking te bezien. Deze nu verwijderd en ik zie inderdaad mijn “Logjes” weer. Super dat je dit hieraan kon relateren! Bedankt! @Timo78 
(Ps blijft nog wel vreemd wat de add blocker te doen heeft met jQuery die in ene in mijn beschrijving van Wireless device stond) .

Hoi @marvpp, dat is super om te horen, fijn dat dit het issue was! 😄 

Op 21 februari hebben onze engineers inderdaad nog ingelogd om te controleren of er een andere bug aanwezig was en dit bleek niet zo te zijn. Sorry voor mijn veel te late reactie: ik was een paar dagen met verlof!

Hoi @marvpp, ik vraag het na bij de experts en kom er dan hopelijk vandaag nog op terug! 😉

Goedemorgen @marvpp, ik vraag dit ook meteen na. Hopelijk heb ik snel meer nieuws voor je!

Die update kun je vandaag verwachten! 😊 De logging voor accounts stond uit, de engineers hebben dit weer aangezet. Omdat zij nog in overleg zijn met Zyxel over het opslaan van de logging als de stroom ineens onderbroken wordt, kan het zijn dat de definitieve fix/workaround daarop nog op zich laat wachten. Daar zal ik je vanzelf over informeren, thanks voor je geduld en medewerking!

Goedemorgen all, er is nog geen sluitende conclusie vanuit Zyxel gekomen. We houden het wederom in de gaten en zitten er bovenop. Ik wil alvast voorzichtig stellen dat het niet op de absolute voorgrond ligt qua prioriteiten en dat het daardoor ietwat langer zou kunnen duren - feit is dat het bekend is en onderzocht wordt. Bedankt voor jullie geduld!

Hi @Jason , weet niet precies welk antwoord ik nu moet krijgen, maar ik wacht nog op antwoord mbt eren mogelijke support sessie die gestart wordt vanuit 192.x ipv 10.x (zie eerdere update in dit issue).

Ik heb nu weer een zelfde telnet sessie port 23 (Log entry: Mar 31 14:40:18  kernel: IN=nas8_1 OUT= MAC=98:0d:67:31:d1:44:00:02:00:00:00:03:08:00 SRC=192.168.1.200 DST=<Home IP adres> LEN=40 TOS=0x00 PREC=0x00 TTL=53 ID=53833 PROTO=TCP SPT=37858 DPT=23 WINDOW=47370 RES=0x00 SYN URGP=0 )

Waarom is dit 192.x en niet 10.y vanuit support? Is dit van support die vervolgens inlogt met Supervisor?

Ik zou ook graag de supervisor logins willen zien in mij securitylog.

Bvd alvast. Mar.
 

Hi @marvpp, wanneer wij inloggen is het inderdaad vanuit een 10.x.x.x. adres; de melding die aangeeft dat het om 192.168.1.200 is, zijn wij niet en we gebruiken geen telnet. Je kunt de logging van het supervisoraccount ook weer zien, dit stond uit in de settings - zo kun je direct zien dat we een 10-adres gebruiken! 😉

Hoi @marvpp, graag gedaan! Ik zou je niet zo snel durven zeggen waar dat interne IP-adres vandaan komt. Kan het zijn dat er een apparaat gekoppeld is geweest of geprobeerd heeft te linken waardoor deze melding voorbij kwam? 

Ik vraag onze Community-knaller @TechRacing93 om wat inzichten: heb jij een idee? Ook ten aanzien van de vraag: “Kan het zijn dat entries van type “attacks” (nog) niet gelogt worden?”

Thanks alvast voor je hulp!

Hi @TechRacing93 , @Jason , Thanks!

Als ik de ipfingerprints portscan doe naar mijn externe 85.x IP met default 80 -> 88 en separaat port TCP 23 443 en 445 ook met advanced “SYN  Stealth”, dan krijg ik als response als eerste naast de andere ports b.v. “80/tcp filtered http”.
Er komen echter geen entries in mijn security loglog (ververst en en geen filters dus inclusief “attack”). Inmiddels heb ik van vanochtend wel weer een connect/scan op een high port vanuit een mij onbekend extern adres in de seclog. Dat logt wel, maar deze van mijzelf niet.
Mogelijk toch iets met logging settings?