Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: hansiedown op 15 november 2017, 21:19:04
-
Vandaag had ik een piek in het aantal 'mensen' welke wilde inloggen via mail in mijn synology. Dit gebeurt wel vaker en wordt netjes geblokkeerd.
Echter sinds vandaag viel het mij ook op dat er met 1 van mijn accounts ook werd ingelogd vanuit het locale ipnummer van de nas op momenten dat de user niet aanwezig was.
Wachtwoord van de gebruiker verandert en de NAS een reboot gegeven.
Echter nu komen er om de paar seconden de melding: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to authorization failure.
ergo er is iets wat met het oude wachtwoord iets probeert te doen.
Hoe kan ik achter het process komen wat probeert met dit useraccount iets te doen en dit te corrigeren/verwijderen?
ps commando of het bekijken van de messages bestand geven geen ingang.
Alle suggesties zijn welkom
-
1 van mijn accounts
Wachtwoord van de gebruiker verandert en de NAS een reboot gegeven.
Even voor de duidelijkheid, heeft die "1 van mijn accounts" rechten om te rebooten dan ?
Echter nu komen er om de paar seconden de melding: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to authorization failure.
Dan zou dat IP-adres moeten zijn geblokkeerd tenzij, dit is niet ingesteld.
Hoe kan ik achter het process komen wat probeert met dit useraccount iets te doen en dit te corrigeren/verwijderen?
Denk niet dat je dit kan achterhalen maar, je weet wel het IP-adres.
Als niemand, op dat moment, bij b.v. de PC zit, dan zou je haast denken, dat je ge-hacked bent, tenzij dat IP-Adres een WiFi apparaat is.
Ik denk even los in de ruimte.....
-
Ik heb zelf een reboot uitgevoerd om eventueel lopende processen te stoppen.
Het ip address is het lokale/eigen (192.168.xxx.xxx) van de NAS zelf. Dus niet van een werkstation.
Mijn lokale ipadressen zijn 'allowed' in de firewall en worden dus niet geblokkeerd.
Inmiddels externe internet toegang geblokkeerd (inclusief DDNS) echter dit geeft geen verandering.
Aangezien er verder geen connecties zijn met de NAS en het 'eigen' ipadress van de NAS wordt vermeld, is idd mijn conclusie dat het iets op de NAS is onder dat useraccount.
idd vermoed ik dat er een hack(poging) is gedaan en dat men iets probeert te starten.
Vraag is hoe kan ik dit verder onderzoeken (al was het maar om te delen met het forum)
-
Draai de Securrity Advisor eens, misschien dat die iets "ziet" ?
-
Security advisor geeft geen bijzonderheden.
Inmiddels ook de accountnaam verandert.
Nu kriijg ik de volgende meldingen:
Warning
SYSTEM
Connection
User [ ] from [192.168.178.9] failed to log in via [DSM] due to authorization failure.
Waarbij 192.168.178.9 het locale ipadress is van de NAS.
User is 'leeg' geworden.
-
Wie is 192.168.178.9 ?
-
Niet een 'taak' die onder die user liep/loopt?
-
Wie is 192.168.178.9 ?
Dit is het locale ip adres van de Synology
Niet een 'taak' die onder die user liep/loopt?
Alle scheduled tasks in de gui werken als root.
-
Lastig om uit te zoeken, het enige waar ik aan kan denken, is kijken met top in PuTTY of er een proces is, die elke seconde tevoorschijn komt.
En dan er achter zien te komen of dit een ongewoon proces is.
Als je dat zou doen, dan zou ik eerst alle Package stoppen en de NAS herstarten.
-
Bijna alle packages gestopt.
Tijdelijk fysiek de netwerkkabels verwijdert uit de NAS.
Nog met TOP nog met PS kan ik een process vinden welke gestart/gebruikt wordt door de betreffende gebruiker.
Crontab gecontroleert; hier staan uitsluitend processen in welke gestart worden als root.
In het logbestand: /var/log/auth.log, komt alleen de volgende meldingen voor:
2017-11-16T19:52:11+01:00 opa synocgid: pam_unix(webui:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.178.9 user=(bewust verwijdert)
Mijn (voorlopige) conclusie:
'n process op de NAS probeert elke minuut lokaal op de NAS in te loggen.
Dit kan een 'hack' zijn maar ook een dom iets waar ik overheen kijk.
Ga een ticket inleggen bij sinology en hoop dat (naast oplossen) men ook een oorzaak kan aanduiden.
-
Mijn (voorlopige) conclusie:
'n process op de NAS probeert elke minuut lokaal op de NAS in te loggen.
Dit kan een 'hack' zijn maar ook een dom iets waar ik overheen kijk.
Ik heb de oorzaak gevonden, wellicht ook voor anderen interesant:
In Surveillance Station maak ik gebruik van Archive Fault op een volume op de NAS zelf.
Hiervoor is het noodzakelijk dat je een combinatie opgeeft van locatie voor je backup/vault en userid&password.
(ik heb het bij mij ingesteld om continue te copieeren naar de vault locatie).
In de logging zie je dan dat er elke minuut een (logon) controle wordt uitgevoerd om te kijken of er iets weggeschreven dient te worden.
Probleem dus opgelost (en weer een leer momentje voor mijzelf)