Auteur Topic: Kan ik zien met welke gebruikersnaam er ingelogd word?  (gelezen 7271 keer)

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Kan ik zien met welke gebruikersnaam er ingelogd word?
« Gepost op: 23 september 2015, 18:38:53 »
Er word af en toe geprobeerd om in te loggen op mailstation, door vreemden uiteraard.

Na 2 pogingen binnen een bepaalde tijd worden ze toch geblokkeerd.

Dus de firewall doet zijn best, dus dat is het probleem niet.

Maar mijn vraag is eigenlijk, of ik kan zien met welke gebruikersnaam en/of wachtwoord er gebruikt gemaakt word.

Is dit mogelijk?
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #1 Gepost op: 23 september 2015, 20:22:39 »
Een gebruikt WW zou nooit gelogd mogen worden om de inlogger te beschermen.  ;)

De gebruikersnaam staat wel gewoon in het maillog: "/volume1/@maillog/maillog"

Apr 15 16:11:53 GedeeldeData postfix/smtpd[445]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Apr 15 16:14:34 GedeeldeData postfix/smtpd[620]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test1) failed
Apr 15 16:17:10 GedeeldeData postfix/smtpd[872]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test2) failed
Apr 15 16:19:54 GedeeldeData postfix/smtpd[1041]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test3) failed
Apr 15 16:22:39 GedeeldeData postfix/smtpd[1205]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test4) failed
Apr 16 01:00:42 GedeeldeData postfix/smtpd[11708]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alberto) failed
Apr 16 01:00:45 GedeeldeData postfix/smtpd[11708]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alberto1) failed
Apr 16 01:00:47 GedeeldeData postfix/smtpd[11708]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alberto123) failed
Apr 16 01:00:50 GedeeldeData postfix/smtpd[11708]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 01:00:52 GedeeldeData postfix/smtpd[11708]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 02:25:08 GedeeldeData postfix/smtpd[17138]: error: ConvertFullUserName: SYNOUserLoginNameConvert(asd) failed
Apr 16 02:25:10 GedeeldeData postfix/smtpd[17138]: error: ConvertFullUserName: SYNOUserLoginNameConvert(asd1) failed
Apr 16 02:25:13 GedeeldeData postfix/smtpd[17138]: error: ConvertFullUserName: SYNOUserLoginNameConvert(asd123) failed
Apr 16 02:25:15 GedeeldeData postfix/smtpd[17138]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 02:25:18 GedeeldeData postfix/smtpd[17138]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 02:46:12 GedeeldeData postfix/smtpd[18475]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alex) failed
Apr 16 02:46:15 GedeeldeData postfix/smtpd[18475]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alex1) failed
Apr 16 02:46:17 GedeeldeData postfix/smtpd[18475]: error: ConvertFullUserName: SYNOUserLoginNameConvert(alex123) failed
Apr 16 02:46:19 GedeeldeData postfix/smtpd[18475]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 02:46:22 GedeeldeData postfix/smtpd[18475]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 04:04:24 GedeeldeData postfix/smtpd[23528]: error: ConvertFullUserName: SYNOUserLoginNameConvert(helen) failed
Apr 16 04:04:27 GedeeldeData postfix/smtpd[23528]: error: ConvertFullUserName: SYNOUserLoginNameConvert(helen1) failed
Apr 16 04:04:28 GedeeldeData postfix/smtpd[23528]: error: ConvertFullUserName: SYNOUserLoginNameConvert(helen123) failed
Apr 16 04:04:30 GedeeldeData postfix/smtpd[23528]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 04:04:32 GedeeldeData postfix/smtpd[23528]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 10:08:45 GedeeldeData postfix/smtpd[14661]: error: ConvertFullUserName: SYNOUserLoginNameConvert(copier) failed
Apr 16 10:08:48 GedeeldeData postfix/smtpd[14661]: error: ConvertFullUserName: SYNOUserLoginNameConvert(copier1) failed
Apr 16 10:08:50 GedeeldeData postfix/smtpd[14661]: error: ConvertFullUserName: SYNOUserLoginNameConvert(copier123) failed
Apr 16 10:08:53 GedeeldeData postfix/smtpd[14661]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 10:08:56 GedeeldeData postfix/smtpd[14661]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 11:24:06 GedeeldeData postfix/smtpd[20105]: error: ConvertFullUserName: SYNOUserLoginNameConvert(director) failed
Apr 16 11:24:08 GedeeldeData postfix/smtpd[20105]: error: ConvertFullUserName: SYNOUserLoginNameConvert(director1) failed
Apr 16 11:24:09 GedeeldeData postfix/smtpd[20105]: error: ConvertFullUserName: SYNOUserLoginNameConvert(director123) failed
Apr 16 11:24:11 GedeeldeData postfix/smtpd[20105]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 11:24:13 GedeeldeData postfix/smtpd[20105]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 12:31:32 GedeeldeData postfix/smtpd[24952]: error: ConvertFullUserName: SYNOUserLoginNameConvert(mailtest) failed
Apr 16 12:31:34 GedeeldeData postfix/smtpd[24952]: error: ConvertFullUserName: SYNOUserLoginNameConvert(mailtest1) failed
Apr 16 12:31:37 GedeeldeData postfix/smtpd[24952]: error: ConvertFullUserName: SYNOUserLoginNameConvert(mailtest123) failed
Apr 16 12:31:40 GedeeldeData postfix/smtpd[24952]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 12:31:43 GedeeldeData postfix/smtpd[24952]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 13:49:25 GedeeldeData postfix/smtpd[30458]: error: ConvertFullUserName: SYNOUserLoginNameConvert(ok) failed
Apr 16 13:49:27 GedeeldeData postfix/smtpd[30458]: error: ConvertFullUserName: SYNOUserLoginNameConvert(ok1) failed
Apr 16 13:49:29 GedeeldeData postfix/smtpd[30458]: error: ConvertFullUserName: SYNOUserLoginNameConvert(ok123) failed
Apr 16 13:49:31 GedeeldeData postfix/smtpd[30458]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 13:49:34 GedeeldeData postfix/smtpd[30458]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 16 16:27:20 GedeeldeData postfix/smtpd[9515]: error: ConvertFullUserName: SYNOUserLoginNameConvert(vpn) failed
Apr 16 16:27:22 GedeeldeData postfix/smtpd[9515]: error: ConvertFullUserName: SYNOUserLoginNameConvert(vpn1) failed
Apr 16 16:27:25 GedeeldeData postfix/smtpd[9515]: error: ConvertFullUserName: SYNOUserLoginNameConvert(vpn123) failed
Apr 16 16:27:28 GedeeldeData postfix/smtpd[9515]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 16 16:27:30 GedeeldeData postfix/smtpd[9515]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 17 07:16:15 GedeeldeData postfix/smtpd[5136]: error: ConvertFullUserName: SYNOUserLoginNameConvert(admin1) failed
Apr 17 07:16:17 GedeeldeData postfix/smtpd[5136]: error: ConvertFullUserName: SYNOUserLoginNameConvert(admin123) failed
Apr 17 07:16:18 GedeeldeData postfix/smtpd[5136]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 17 07:16:21 GedeeldeData postfix/smtpd[5136]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 17 20:48:38 GedeeldeData postfix/smtpd[13202]: error: ConvertFullUserName: SYNOUserLoginNameConvert(bryan) failed
Apr 17 20:48:40 GedeeldeData postfix/smtpd[13202]: error: ConvertFullUserName: SYNOUserLoginNameConvert(bryan1) failed
Apr 17 20:48:42 GedeeldeData postfix/smtpd[13202]: error: ConvertFullUserName: SYNOUserLoginNameConvert(bryan123) failed
Apr 17 20:48:45 GedeeldeData postfix/smtpd[13202]: error: ConvertFullUserName: SYNOUserLoginNameConvert(password) failed
Apr 17 20:48:48 GedeeldeData postfix/smtpd[13202]: error: ConvertFullUserName: SYNOUserLoginNameConvert(123456) failed
Apr 18 14:58:22 GedeeldeData postfix/smtpd[19837]: error: ConvertFullUserName: SYNOUserLoginNameConvert(testtest) failed
Apr 18 15:00:47 GedeeldeData postfix/smtpd[19972]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Apr 18 15:05:40 GedeeldeData postfix/smtpd[20353]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test1) failed
Apr 18 15:08:11 GedeeldeData postfix/smtpd[20498]: error: ConvertFullUserName: SYNOUserLoginNameConvert(user) failed
Apr 22 18:56:23 GedeeldeData postfix/smtpd[18252]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Apr 23 03:34:36 GedeeldeData postfix/smtpd[21274]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Apr 23 04:34:31 GedeeldeData postfix/smtpd[24978]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
Apr 23 19:41:05 GedeeldeData postfix/smtpd[15827]: error: ConvertFullUserName: SYNOUserLoginNameConvert(adele) failed
Apr 29 01:52:31 GedeeldeData postfix/smtpd[12863]: error: ConvertFullUserName: SYNOUserLoginNameConvert(postmaster) failed
May  1 20:44:20 GedeeldeData postfix/smtpd[12421]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
May  1 20:44:20 GedeeldeData postfix/smtpd[12421]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
May  1 20:44:20 GedeeldeData postfix/smtpd[12427]: error: ConvertFullUserName: SYNOUserLoginNameConvert(backup) failed
May  1 20:44:20 GedeeldeData postfix/smtpd[12427]: error: ConvertFullUserName: SYNOUserLoginNameConvert(backup) failed
May  4 00:26:41 GedeeldeData postfix/smtpd[14241]: error: ConvertFullUserName: SYNOUserLoginNameConvert(newsletters) failed
May  4 00:26:41 GedeeldeData postfix/smtpd[14241]: error: ConvertFullUserName: SYNOUserLoginNameConvert(newsletters) failed
May  4 00:26:41 GedeeldeData postfix/smtpd[14245]: error: ConvertFullUserName: SYNOUserLoginNameConvert(newsletter) failed
May  4 00:26:41 GedeeldeData postfix/smtpd[14245]: error: ConvertFullUserName: SYNOUserLoginNameConvert(newsletter) failed
May  7 04:20:20 GedeeldeData postfix/smtpd[8429]: error: ConvertFullUserName: SYNOUserLoginNameConvert(canon) failed
May  7 04:20:20 GedeeldeData postfix/smtpd[8429]: error: ConvertFullUserName: SYNOUserLoginNameConvert(canon) failed
May  7 04:20:20 GedeeldeData postfix/smtpd[8439]: error: ConvertFullUserName: SYNOUserLoginNameConvert(xerox) failed
May  7 04:20:20 GedeeldeData postfix/smtpd[8439]: error: ConvertFullUserName: SYNOUserLoginNameConvert(xerox) failed
May 15 15:39:21 GedeeldeData postfix/smtpd[16319]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
May 15 15:39:30 GedeeldeData postfix/smtpd[16319]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
May 15 15:40:09 GedeeldeData postfix/smtpd[16319]: error: ConvertFullUserName: SYNOUserLoginNameConvert(test) failed
May 17 23:38:44 GedeeldeData postfix/smtpd[12344]: error: ConvertFullUserName: SYNOUserLoginNameConvert(info) failed
May 17 23:38:44 GedeeldeData postfix/smtpd[12344]: error: ConvertFullUserName: SYNOUserLoginNameConvert(info) failed

Als je goed naar de bovenstaande tijden kijkt, zie je dat ze het steeds 5 keer achter elkaar probeerden, waarna het IP geblokkeerd werd. Enkele uren later deden ze weer 5 pogingen vanaf een ander IP etc. Gezien de structuur van de gebruikte inlognamen is het gewoon 1 aanvaller.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #2 Gepost op: 23 september 2015, 20:38:49 »
tcpdump is aanwezig op de NAS.

Om loggen te starten:
tcpdump -w /volume1/public/tcpdump.log

Loggen stoppen is Ctrl-c

Dit logt alle verkeer en het log kan aardig groeien, vandaar beter plaatsen in de public map.

Om het log te lezen:
tcpdump -r /volume1/public/tcpdump.log

Of het log importeren in Wireshark, dan zie je ook inhoud van pakketten.
Natuurlijk zie je geen inhoud van versleuteld verkeer.

Meer parameters voor tcpdump kun je op het net vinden.
Een daarvan is -D

 tcpdump -D
1.eth0 [Up, Running]
2.bond0 [Up, Running]
3.tun0 [Up, Running]
4.eth1 [Up, Running]
5.any (Pseudo-device that captures on all interfaces) [Up, Running]
6.lo [Up, Running, Loopback]
7.bluetooth-monitor (Bluetooth Linux Monitor)
8.dbus-system (D-Bus system bus)
9.dbus-session (D-Bus session bus)
10.usbmon1 (USB bus number 1)
11.usbmon2 (USB bus number 2)
12.usbmon3 (USB bus number 3)
13.usbmon4 (USB bus number 4)

DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #3 Gepost op: 23 september 2015, 21:35:02 »
Dank u beiden, ik ga er eens kijken wat ze geprobeerd hebben.

Ben benieuwd hoe crea bea ze zijn tegenwoordig
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Basalt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 130
  • -Ontvangen: 122
  • Berichten: 622
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #4 Gepost op: 23 september 2015, 22:17:57 »
Bij mij thuis wordt niet door iedereen een sterk wachtwoord gebruikt. Ik heb daarom een plugin gemaakt voor Roundcube die alleen bepaalde gebruikers toestaat om vanaf extern in te loggen op Mailstation. Ik heb geen andere pakketten draaien waarmee je vanaf extern kan inloggen. Desgewenst wil ik die plugin (als installeerbaar Synology pakket) wel publiceren op Sourceforge.

Groeten,
Erik.
  • Mijn Synology: DS220+
  • HDD's: 2x WD Red Plus 8TB
  • Extra's: DSM 7.2
Yes, there are two paths you can go by, but in the long run, there's still time to change the road you're on - Stairway To Heaven

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #5 Gepost op: 23 september 2015, 22:24:00 »
Klinkt interessant @Basalt

Ik kom vooral ipadres 80.82.65.61 tegen in de mail log, na zoeken op google komt die vaker voor.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Heppieboeddah

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 36
  • Berichten: 387
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #6 Gepost op: 24 september 2015, 09:42:46 »
Mocht je nu erg veel last hebben van dat ipadres kan je die natuurlijk blocken. Of een abuse mail schrijven naar Ecatel. Dat is de hosting provider volgens WHOIS

Op de Website onder NTD van die gasten  kan je ook een abuse deponeren

ecatel.co.uk/ntd.php

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #7 Gepost op: 24 september 2015, 19:49:04 »
Mmm vreemd, bij mij zitten er allemaal gekke tekens nog tussen.
Wel interessant om eens door te nemen.
19991-0
Zou het mogelijk zijn een query (of hoe heet zoiets) te schrijven dat automatisch 1x per maand die logs in een csv zet zodat je ze makkelijk en snel kunt doorlezen?
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #8 Gepost op: 24 september 2015, 19:54:53 »
Maakt er nu iemand misbruik van mijn mailserver?
Heb voor de zekerheid SMTP maar uitgeschakeld.

Zie het volgende in Mailstation Log (zie attachment)

Als ik kijk in de maillog, zie ik het volgende:
Sep 17 07:56:58 opa postfix/smtpd[9429]: connect from 212-83-175-162.rev.poneytelecom.eu[212.83.175.162]
Sep 17 07:56:59 opa postfix/smtpd[9429]: DD8B4DB040B: client=212-83-175-162.rev.poneytelecom.eu[212.83.175.162], sasl_method=LOGIN, sasl_username=ronald
Sep 17 07:57:01 opa postfix/cleanup[9512]: DD8B4DB040B: hold: header Received: from User (212-83-175-162.rev.poneytelecom.eu [212.83.175.162])??(Authenticated sender: ronald)??by <mijndomein naam> (Postfix) with ESMTPA id DD8B4DB040B;??Thu, 17 Sep 2015 07:56:59 +0200 (CE from 212-83-175-162.rev.poneytelecom.eu[212.83.175.162]; from=<papa@ghede.ng> to=<tsegadorg@yahoo.com> proto=ESMTP helo=<User>
Sep 17 07:57:01 opa postfix/cleanup[9512]: DD8B4DB040B: message-id=<>
Sep 17 07:57:01 opa postfix/smtpd[9429]: disconnect from 212-83-175-162.rev.poneytelecom.eu[212.83.175.162]
Sep 17 07:57:02 opa MailScanner[19878]: New Batch: Scanning 1 messages, 5087 bytes
Sep 17 07:57:03 opa MailScanner[19878]: Virus and Content Scanning: Starting
Sep 17 07:57:03 opa MailScanner[19878]: Spam Checks: Found 1 spam messages
Sep 17 07:57:03 opa MailScanner[19878]: Requeue: DD8B4DB040B.A298C to 0B805DB0419
Sep 17 07:57:03 opa MailScanner[19878]: Uninfected: Delivered 1 messages
Sep 17 07:57:04 opa postfix/qmgr[19032]: 0B805DB0419: from=<papa@ghede.ng>, size=574, nrcpt=49 (queue active)
Sep 17 07:57:04 opa MailScanner[19878]: Deleted 1 messages from processing-database
Sep 17 07:57:04 opa MailScanner[19878]: MailScanner child dying of old age
Sep 17 07:57:04 opa MailScanner[9530]: MailScanner E-Mail Virus Scanner version 4.84.5 starting...
Sep 17 07:57:04 opa MailScanner[9530]: Reading configuration file /var/packages/MailServer/target/etc/MailScanner/MailScanner.conf
Sep 17 07:57:04 opa MailScanner[9530]: Reading configuration file /var/packages/MailServer/target/etc/MailScanner/conf.d/README
Sep 17 07:57:05 opa MailScanner[9530]: Read 869 hostnames from the phishing whitelist
Sep 17 07:57:05 opa MailScanner[9530]: Read 3531 hostnames from the phishing blacklists
Sep 17 07:57:05 opa postfix/smtp[9529]: Untrusted TLS connection established to mta7.am0.yahoodns.net[98.136.216.26]:25: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Sep 17 07:57:05 opa postfix/smtp[9528]: 0B805DB0419: to=<rurssian1@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)
Sep 17 07:57:06 opa postfix/smtp[9528]: 0B805DB0419: to=<rusesian1@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)
Sep 17 07:57:06 opa postfix/smtp[9528]: 0B805DB0419: to=<rusisian1@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)
Sep 17 07:57:06 opa postfix/smtp[9528]: 0B805DB0419: to=<ruspsian1@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)
Sep 17 07:57:06 opa postfix/smtp[9528]: 0B805DB0419: to=<rusqsian1@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)
Sep 17 07:57:06 opa postfix/smtp[9528]: 0B805DB0419: to=<russian10@pan.zer>, relay=none, delay=6.2, delays=4.4/0.1/1.6/0, dsn=5.4.4, status=bounced (unable to look up host pan.zer: Name or service not known)[/code
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Handige Harry

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 723
  • -Ontvangen: 150
  • Berichten: 1.410
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #9 Gepost op: 24 september 2015, 19:55:09 »
Bij mij klopte de datum niet volgens mij, zat april en in mei.

Moet het ook nog goed uitpluizen, maar zeker interessant.
DS-414 met 3 x WD30EFRX
Huidige DSM versie :DSM 6.1.7-15284

DS-213J met 1 x WD20EARX
Huidige DSM versie : DSM 5.2-5592
SHR

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #10 Gepost op: 24 september 2015, 20:21:36 »
Het lijkt er inderdaad op dat iemand toegang heeft tot je email. Hij stuurt mails naar zichzelf...
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #11 Gepost op: 24 september 2015, 20:30:39 »
Citaat
Maakt er nu iemand misbruik van mijn mailserver?
Het lijkt erop dat je misbruikt wordt om spam te verzenden. Zou dat even onderzoeken ja.

Die poney blabla wordt in verband gebracht met spam.
Ronald is bekend bij jouw?

Untrusted TLS connection established
38e05f5384bdb0f44f435d533948581b - Malwr - Malware ...
https://malwr.com/.../MDJmOGJmMzJkNzczNDdmZ...
Vertaal deze pagina12 feb. 2014 - RCPT TO:<russian12@pan.zer>. RCPT TO:<russian13@pan.zer>. RCPT TO:<russian14@pan.zer> ... RCPT TO: rurssian1@pan.zer
38e05f5384bdb0f44f435d533948581b - Malwr - Malware ...
https://malwr.com/.../MDJmOGJmMzJkNzczNDdmZ...
Vertaal deze pagina12 feb. 2014 - MAIL FROM:<papa@ghede.ng>. RCPT TO:<vr3ausmtp@yahoo.com>. Reply-To: <papa@ghede.ng>. From: "Ghede"<papa@ghede.ng>.
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline hansiedown

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 100
  • Berichten: 438
    • mijnweetjes
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #12 Gepost op: 24 september 2015, 21:38:49 »
Ronald is bekend bij jouw?
Ai, heb mijn eerste denk/configuratie fout te pakken en nog een heleboel werk om security voor mailstation in te richten.
Ronald is 1 van de accounts. Deze heeft beperkte rechten.
Echter ik heb later mailstation geinstalleerd.
Hierdoor hebben alle accounts automatisch een Allow gekregen om mail server te gebruiken, dat was niet de bedoeling.

inmiddels Allow op mail station verandert in Deny, SMTP staat uit. dus men kan me niet meer gebruiken als relay.
  • Mijn Synology: DS1621+
  • HDD's: 6 x WD40EFZX
  • Extra's: 4Gb

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2669
  • Berichten: 16.553
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #13 Gepost op: 24 september 2015, 21:39:40 »
@hansiedown,  In elk geval wordt het account van 'ronald' gebruikt om die mails te versturen. Ik zou die gebruiker in elk geval dwingen een nieuw WW te kiezen.

Om het gevolg van inbraken te verkleinen kun je de dagelijkse mail quota van gebruikers erg laag instellen. b.v. 30 mailtjes per dag. Heeft iemand echt meer nodig, kun je per persoon een hoger quotum instellen.

In de veiligheidsinstellingen kun je ook instellen dat het 'from' adres altijd gelijk moet zijn als je eigen domeinnaam. Dat maakt het ook minder aantrekkelijk voor spammers.

@Erwin1:
Citaat
Zou het mogelijk zijn een query (of hoe heet zoiets) te schrijven dat automatisch 1x per maand die logs in een csv zet zodat je ze makkelijk en snel kunt doorlezen?
Het is nu toch al een simpele tekstfile? Gewoon een goede log-analyse programma gebruiken. Op elke mac staat het programma 'Console' dat het goed doet, maar voor Windows moeten er ook plenty zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Basalt

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 130
  • -Ontvangen: 122
  • Berichten: 622
Re: Kan ik zien met welke gebruikersnaam er ingelogd word?
« Reactie #14 Gepost op: 24 september 2015, 21:52:35 »
inmiddels Allow op mail station verandert in Deny, SMTP staat uit. dus men kan me niet meer gebruiken als relay.
De bovengenoemde Roundcube plugin die ik destijds gemaakt heb doet hetzelfde als tegenwoordig met user permissions geregeld kan worden, lijkt er op dat ik die plugin nu met pensioen kan sturen.

Erik
  • Mijn Synology: DS220+
  • HDD's: 2x WD Red Plus 8TB
  • Extra's: DSM 7.2
Yes, there are two paths you can go by, but in the long run, there's still time to change the road you're on - Stairway To Heaven


 

Welke router is het beste

Gestart door bakkereaBoard NAS hardware vragen

Reacties: 24
Gelezen: 10436
Laatste bericht 30 oktober 2012, 21:03:29
door spikehome
Welke harde schijf voor mijn 414j

Gestart door BensleyBoard Aankoopadvies

Reacties: 1
Gelezen: 1127
Laatste bericht 20 mei 2015, 23:02:41
door Briolet
Welke hdd zijn het beste bij ds216play

Gestart door BoddhiBoard Aankoopadvies

Reacties: 19
Gelezen: 6874
Laatste bericht 19 december 2015, 18:21:02
door aliazzz
VERPLAATST: Welke package versie moet ik downloaden voor 218+

Gestart door BirdyBoard Synology DSM 6.2

Reacties: 0
Gelezen: 669
Laatste bericht 28 oktober 2023, 22:20:06
door Birdy
Welke externe harddisk is aan-/afrader?

Gestart door Matr1xBoard Externe harddisks en Printers

Reacties: 7
Gelezen: 6162
Laatste bericht 09 augustus 2009, 20:46:47
door Matr1x