Hackversuch über Connect Dienst?

Hooker78 · 9. Oktober 2025 um 08:31

Hallo zusammen,

aktuell habe ich Probleme, dass mein Connect Dienst automatisch gesperrt wird mit folgender Meldung:

10/09/2025, 10:14:34 AM | TimerPool | Connect (ConnectionCheck): Error 509, Your IP-Symcon exceeded the daily traffic limit.
Please restart IP-Symcon to immediately reset the limit.
The following locations consumed the most:
/api/: 1027 MB (3956 requests)
: 0 MB (0 requests)
The limit will reset automatically on 09/10/25 20:56:17.

Wenn ich den Access Log reinsehe, dann steht dort sehr oft dieser Eintrag:

94.31.73.134, 127.0.0.1 - meine_mail_addy [10/09/2025:10:21:33 +0200] „POST /api/IPS_GetKernelVersion HTTP/1.1“ 200 48

Die IP Adresse ist mit unbekannt und in keinem Skript verwende ich “IPS_GetKernelVersion”

Was denkt ihr - ist das ein Hack-Versuch? Was kann man dagegen machen?

VG Thorsten

paresy · 9. Oktober 2025 um 08:38

Kann es sein, dass du eher die Visu oder den Connect sehr lange offen hast? Die Konsole kann diese Anfrage stellen, um die Symcon Version zu validieren. Sollte jetzt aber nicht ständig passieren.

paresy

Hooker78 · 9. Oktober 2025 um 08:42

eher nicht - wenn ich weiter oben im Log schaue, sehe ich auch, dass andere Endpunkte angesprochen werden - und zu der Zeit war mein laptop auch nicht an.

94.31.73.134, 127.0.0.1 - meine_mail_addy [10/09/2025:00:56:34 +0200] „POST /api/SC_GetModuleInfoList HTTP/1.1“ 200 2686
94.31.73.134, 127.0.0.1 - meine_mail_addy [10/09/2025:00:56:35 +0200] „POST /api/SC_MakeRequest HTTP/1.1“ 200 18990
94.31.73.134, 127.0.0.1 - meine_mail_addy [10/09/2025:00:56:46 +0200] „POST /api/UC_GetKernelStatistics HTTP/1.1“ 200 156

paresy · 9. Oktober 2025 um 09:38

Im Zweifelsfall kannst du ja mal dein Fernzugriff Kennwort ändern. Das sind alles Befehle, die von der Verwaltungskonsole kommen.

paresy

Hooker78 · 10. Oktober 2025 um 06:58

scheint tatsächlich die web-console gewesen zu sein, danke für den Hinweis!