Auteur Topic: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to  (gelezen 3807 keer)

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Vandaag had ik een piek in  het aantal 'mensen' welke wilde inloggen via mail in mijn synology. Dit gebeurt wel vaker en wordt netjes geblokkeerd.
Echter sinds vandaag viel het mij ook op dat er met 1 van mijn accounts ook werd ingelogd vanuit het locale ipnummer van de nas op momenten dat de user niet aanwezig was.
Wachtwoord van de gebruiker verandert en de NAS een reboot gegeven.
Echter nu komen er om de paar seconden de melding: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to authorization failure.
ergo er is iets wat met het oude  wachtwoord iets probeert te doen.
Hoe kan ik achter het process komen wat probeert met dit useraccount iets te doen en dit te corrigeren/verwijderen?
ps commando of het bekijken van de messages bestand geven geen ingang.

Alle suggesties zijn welkom

  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #1 Gepost op: 15 november 2017, 21:31:30 »
Citaat
1 van mijn accounts
Citaat
Wachtwoord van de gebruiker verandert en de NAS een reboot gegeven.
Even voor de duidelijkheid, heeft die "1 van mijn accounts" rechten om te rebooten dan ?

Citaat
Echter nu komen er om de paar seconden de melding: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to authorization failure.
Dan zou dat IP-adres moeten zijn geblokkeerd tenzij, dit is niet ingesteld.

Citaat
Hoe kan ik achter het process komen wat probeert met dit useraccount iets te doen en dit te corrigeren/verwijderen?
Denk niet dat je dit kan achterhalen maar, je weet wel het IP-adres.
Als niemand, op dat moment, bij b.v. de PC zit, dan zou je haast denken, dat je ge-hacked bent, tenzij dat IP-Adres een WiFi apparaat is.

Ik denk even los in de ruimte..... 


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #2 Gepost op: 15 november 2017, 21:59:25 »
Ik heb zelf een reboot uitgevoerd om eventueel lopende processen te stoppen.
Het ip address is het lokale/eigen (192.168.xxx.xxx) van de NAS zelf. Dus niet van een werkstation.
Mijn lokale ipadressen zijn 'allowed' in de firewall en worden dus niet geblokkeerd.

Inmiddels externe internet toegang geblokkeerd (inclusief DDNS) echter dit geeft geen verandering.

Aangezien er verder geen connecties zijn met de NAS en het 'eigen' ipadress van de NAS wordt vermeld, is idd mijn conclusie dat het iets op de NAS is onder dat useraccount.
idd vermoed ik dat er een hack(poging) is gedaan en dat men iets probeert te starten.
Vraag is hoe kan ik dit verder onderzoeken (al was het maar om te delen met het forum)

  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #3 Gepost op: 15 november 2017, 22:19:27 »
Draai de Securrity Advisor eens, misschien dat die iets "ziet" ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #4 Gepost op: 15 november 2017, 22:33:30 »
Security advisor geeft geen bijzonderheden.
Inmiddels ook de accountnaam verandert.
Nu kriijg ik de volgende meldingen:
Warning
SYSTEM
Connection
User [ ] from [192.168.178.9] failed to log in via [DSM] due to authorization failure.

Waarbij 192.168.178.9 het locale ipadress is van de NAS.
User is 'leeg' geworden.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #5 Gepost op: 15 november 2017, 22:47:35 »
Wie is 192.168.178.9 ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline bronstijn

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 5
  • Berichten: 53
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #6 Gepost op: 15 november 2017, 22:48:45 »
Niet een 'taak' die onder die user liep/loopt?
  • Mijn Synology: DS418/212j
  • HDD's: 2 x WD40EFRX-68WT0N0
  • Extra's: 2 x WD20EARX-00PASB0

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #7 Gepost op: 16 november 2017, 19:00:54 »
Wie is 192.168.178.9 ?
Dit is het locale ip adres van de Synology

Niet een 'taak' die onder die user liep/loopt?

Alle scheduled tasks in de gui werken als root.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7984
  • Berichten: 44.005
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #8 Gepost op: 16 november 2017, 19:10:39 »
Lastig om uit te zoeken, het enige waar ik aan kan denken, is kijken met top in PuTTY of er een proces is, die elke seconde tevoorschijn komt.
En dan er achter zien te komen of dit een ongewoon proces is.
Als je dat zou doen, dan zou ik eerst alle Package stoppen en de NAS herstarten.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #9 Gepost op: 16 november 2017, 20:28:47 »
Bijna alle packages gestopt.
Tijdelijk fysiek de netwerkkabels verwijdert uit de NAS.
Nog met TOP nog met PS kan ik een process vinden welke gestart/gebruikt wordt door de betreffende gebruiker.
Crontab gecontroleert; hier staan uitsluitend processen in welke gestart worden als root.

In het logbestand: /var/log/auth.log, komt alleen de volgende meldingen voor:
2017-11-16T19:52:11+01:00 opa synocgid: pam_unix(webui:auth): authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.178.9  user=(bewust verwijdert)

Mijn (voorlopige) conclusie:
'n process op de NAS probeert elke minuut lokaal op de NAS in te loggen.

Dit kan een 'hack' zijn maar ook een dom iets waar ik overheen kijk.
Ga een ticket inleggen bij sinology en hoop dat (naast oplossen) men ook een oorzaak kan aanduiden.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: User [localuseraccount] from [Local ipnumber] failed to log in via [DSM] due to
« Reactie #10 Gepost op: 10 januari 2018, 09:59:21 »
Mijn (voorlopige) conclusie:
'n process op de NAS probeert elke minuut lokaal op de NAS in te loggen.
Dit kan een 'hack' zijn maar ook een dom iets waar ik overheen kijk.

Ik heb de oorzaak gevonden, wellicht ook voor anderen interesant:
In Surveillance Station maak ik gebruik van Archive Fault op een volume op de NAS zelf.
Hiervoor is het noodzakelijk dat je een combinatie opgeeft van locatie voor je backup/vault en userid&password.
(ik heb het bij mij ingesteld om continue te copieeren naar de vault locatie).
In de logging zie je dan dat er elke minuut een (logon) controle wordt uitgevoerd om te kijken of er iets weggeschreven dient te worden.

Probleem dus opgelost (en weer een leer momentje voor mijzelf)
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb


 

Opstarten van user programma's na het booten

Gestart door sciuriusBoard Synology DSM 5.2

Reacties: 3
Gelezen: 1839
Laatste bericht 05 augustus 2015, 21:54:12
door Ben(V)
Zichtbaar via windows maar sommige user password protected

Gestart door DAMABoard Synology DSM algemeen

Reacties: 9
Gelezen: 5229
Laatste bericht 03 mei 2013, 12:27:02
door Robert Koopman
Hyperbackup data migreren andere user.

Gestart door remcov250Board Data replicator & overige backupsoftware

Reacties: 2
Gelezen: 1106
Laatste bericht 05 november 2019, 11:21:50
door Briolet
[SOLVED] User admin vervangen

Gestart door webkabouterBoard Synology DSM algemeen

Reacties: 4
Gelezen: 1891
Laatste bericht 18 april 2021, 13:47:36
door webkabouter
user login mogelijkheden

Gestart door reempjeBoard Synology DSM algemeen

Reacties: 1
Gelezen: 1016
Laatste bericht 12 januari 2016, 14:51:45
door mchp92