Synology-Forum.nl
Packages => 3rd party Packages => Overige 3rd party packages => Topic gestart door: Briolet op 05 januari 2014, 14:22:51
-
Een kennis wees me onlangs op het DarkStat (http://unix4lyfe.org/darkstat/) package die via de synologycommunity te installeren is.
DarkStat logt alle verbindingen inclusief de hoeveelheid data die door de verbinding ging. En dan ga je natuurlijk ook vreemde dingen zien en hebt er vragen erover.
Ik zag b.v. twee IP's van tweeverschillende Google mail servers. Dat komt overeen met een aantal ontvangen GMail berichtjes. Mij verbaasde alleen de poorten. Dat waren geen 25, maar poorten in de range boven de 30.000. Of werkt het zo dat er initieel een verbinding over poort 25 gemaakt wordt en de dataoverdracht dan over een hoge poort gaat om poort 25 weer vrij te maken?
Verontrustender was een entry van "singlehop2.shodanhq.com". De website van "www.shodanhq" staar er om bekend dat ze wereldwijd het net afstruinen wat er achter IP adressen hangt. Dat maakt het hackers veel makkelijker een bepaald model apparaat te vinden waar een bekende backdoor in zit. Nog verontrustender is dat er verkeer over in totaal 12 hoge poorten plaats had, waarbij er 20x zoveel data door mijn nas verstuurd is dan zij naar mij gestuurd hebben. Maar hoezo is de nas van buiten benaderbaar over die poorten. Of is het, net als bij de mailserver, dat de verbinding er eerst was over een geforwarde poort en gaat die daarna verder op de hogere poorten?
Ik heb er helemaal geen behoefte aan om in hun statistieken voor te komen en heb voor de zekerheid de gehele IP range van hun ISP maar in de firewall geblokkeerd. Hun IP kwam ook voor op spam- en malware blocklists. Ben in nu paranoia?
Ik zie dat hij ook heel regelmatig data uitwisselt met "xxx.hinet.net". Nu zit dat in Taipei, dus zal dat verkeer wel naar de Synology thuisbasis zijn. Er gaat ongeveer evenveel verkeer in als uit.
In elk geval een leuk pakket dat er voor bijna alle unix based systemen is. (incl. de mac). Het mooiste is het natuurlijk om dat pakket op de router te hebben, als je router dit toelaat.
-
Ik krijg geen hostnamen. Enig idee hoe dat kan?
-
Een kennis wees me onlangs op het DarkStat (http://unix4lyfe.org/darkstat/) package die via de synologycommunity te installeren is.
Ik zie dat package niet meer bij de Community packages staan, weet jij nog een repository die 'm heeft ??
-
Met googlen vond ik hem op:
http://archive.today/zXyoo
Daar staat een archief van de SynoCommunity met de laatste versie van DarkStat. Ik vraag me wel af waarom hij eruit gegooid is. Hij heeft mij mij altijd gewerkt, ook al werd soms de history gewist bij een dsm update.
Edit: ik zie hem op die site wel staan, maar bij downloaden probeert hij hem weer bij de SynoCommunity op te halen en faalt. Bij mij is dat geen archief op die manier.
-
De link voor DarkStat voor een DUS 213+ werkt niet hoor :-)
-
Merkte ik nu ook.
-
Als je een beetje in Git thuis bent, kun je hem hier halen:
https://github.com/SynoCommunity/spksrc/commits/develop/spk/darkstat
op 8 mei 2013 is hij verwijderd, maar met Git kun je een checkout van elke tussenliggende versie doen, dus ook van voor de verwijdering.
-
Sorry maar ben totaal niet thuis in Git :-(
-
Ik kwam net nog een Duitse site tegen die een versie voor de Synology nas als download beschikbaar heeft: darkstat-3.0.718.tar.bz2 (http://www.com-magazin.de/downloads/netzwerk/darkstat-synology-238023.html)
Die is zelfs nieuwer dan mijn versie 3.0.715 :lol:
Edit: Na uitpakken zie ik dat het helemaal geen installer bevat en je dus alles handmatig moet installeren. Dan kun je net zo goed naar de hostingsite van darkstat (http://unix4lyfe.org/darkstat/) gaan.
-
Ik zag het topic hier, en het package stond nog op m'n lijstje: DarkStat is weer opnieuw op de SynoCommunity repository gezet.
-
Dank. Package center gaf net aan dat er een update was van DarkStat: versie 3.0.719 ;)
-
De nieuwe versie van DarkStat heeft een klein bugje: Na een restart van de nas, wordt het pakket niet meer vanzelf ge-aktiveert. Je moet dit handmatig in de Package center doen.
Pro's zijn wel dat je nu in de firewall, de poort op naam kunt selecteren.
Ook verschijnt het pakket nu bij "toepassingen" zodat je gebruikers selectief toegang kunt geven. Dat had ik bij het vorige pakket al handmatig aangepast, maar nu is het volgens mij standaard aanwezig.
-
Ik kan dat zo snel niet reproduceren. Na de reboot staat er dus geen `darkstat.pid` in `/usr/local/darkstat/var`? Welke DSM versie gebruik je?
Kun je eens testen of dit werkt: in de file `/var/packages/darkstat/scripts/start-stop-status`, wijzig su ${USER} naar su - ${USER} (Rest van de regel gewoon staan laten) en dan je reboot. Het is het enige wat ik zo kan bedenken.
De firewall en usertoegang is standaard voor SynoCommunity packages, dus inderdaad, die heb ik met het updaten van het package meegenomen :)
-
Na een restart van de nas, wordt het pakket niet meer vanzelf ge-aktiveert.
Ik heb dit getest op m'n Test DS111, dus geïnstalleerd, hierna moest ik deze handmatig opstarten:
[attach=1]
NAS reboot, DarkStat was bij mij automatisch gestart (en zie darkstat.data van voor de reboot):
[attach=2]
-
… Na de reboot staat er dus geen `darkstat.pid` in `/usr/local/darkstat/var`? Welke DSM versie gebruik je?
Inderdaad. Na een reboot mist de "darkstat.pid" file. Na starten staat hij er weer. (DSM 5.1 op een DS 212j)
Kun je eens testen of dit werkt: in de file `/var/packages/darkstat/scripts/start-stop-status`, …
Ik het dat - teken toegevoegd, maar het pakket is nog steeds 'gestopt' na een reboot.
-
Toch vreemd. Zo te zien kan Birdy het ook niet reproduceren, dus ik zou denken aan iets lokaals.
Je startte het package oorspronkelijk wel via PC? Maw: niet via `start-stop-status start`, want dan krijgt PC die trigger niet om bij een (re)boot het package weer te starten.
Staat er nog iets interessants in `/var/log/synopkg.log`? Daarin zou ik het volgende verwachten:
2015/02/21 00:00:00 (system) trigger darkstat: begin to stop version 3.0.719rc1-3
2015/02/21 00:00:01 (system) trigger darkstat: stop version 3.0.719rc1-3 successfully, result 0
[...]reboot[...]
2015/02/21 00:01:00 (system) trigger darkstat: begin to start version 3.0.719rc1-3
2015/02/21 00:01:01 (system) trigger darkstat: start version 3.0.719rc1-3 successfully, result 0
Omdat het in wezen maar een heel simpel package is, en verder niet veel 'doet' dan verkeer uitlezen valt er niet zoveel te debuggen...ik zal eens bekijken of ik het ding een log kan laten uitspugen of zo.
Dat gezegd hebbende, ik stel voor om het package te verwijderen, en schoon te installeren. Eventueel die database even backuppen, dan kan die achteraf weer teruggezet worden. Dan start je iig met een schone lei.
-
Wat ik zie in het log:
2015/02/21 12:41:56 (system) trigger darkstat: begin to stop version 3.0.719rc1-3
2015/02/21 12:41:57 (system) trigger darkstat: stop version 3.0.719rc1-3 successfully, result 0
{Reboot}
2015/02/21 12:49:20 (system) trigger darkstat: begin to start version 3.0.719rc1-3
2015/02/21 12:49:21 (system) trigger darkstat: start version 3.0.719rc1-3 successfully, result 0
{handmatig}
2015/02/21 13:00:51 start darkstat: begin to start version 3.0.719rc1-3
2015/02/21 13:00:53 start darkstat: start version 3.0.719rc1-3 successfully, result 0
Dus volgens het log is hij gestart, maar het gebeurt niet. Ik zal morgen het pakket eens volledig verwijderen en er vanuit scratch weer op zetten.
-
Heb deze ook even geinstalleerd, handig pakketje :)
Na herstart staat het inderdaad uit.
Bij mij zijn de grafieken niet zichtbaar, wel de omlijning en tekst.
Rechtstreeks in de adresbalk intikken vereist http://.....
Geen sortering van de kolommen IP, Hostname, MAC-Address
Weet echter niet of dat zo hoort, zou wel handig zijn :)
-
Na herstart staat het inderdaad uit.
Net even m'n DS111 opgestart, nogmaals.....bij mij staat het aan. (misschien ligt het aan het type DS :S )
En zo ziet het er bij mij uit:
[attachimg=1]
[attachimg=2]
-
In het tabblad HDD-slaapstand laat ik de DS automatisch in standby modus gaan middels Automatisch uitschakelen inschakelen.
Dus de HDD`s gaan slapen nadat er 30 min. geen activiteit is.
Vervolgens, nadat er 30 min. geslapen is, gaat het na 30 min. in standby via WOL.
Zo is gisteravond de DS uitgegaan terwijl Darkstat aan stond.
Vanmorgen heb ik de DS gestart via WOL en in het package center is staat Darkstat als gestart en is tevens bereikbaar.
Zojuist heb ik de DS herstart via het gebruikers icoontje rechtsboven.
Darkstat is daarna gewoon gestart, gisteren was dat echter niet zo.
Het lijkt nu dus wel te werken.
De andere zaken, hierboven vermeld, zijn nog wel zo.
-
Bij mij zijn de grafieken niet zichtbaar, wel de omlijning en tekst.
Rechtstreeks in de adresbalk intikken vereist http://.....
Voor beide punten geldt: Test eens met een andere browser.
Specifiek voor het eerste punt: Die grafieken worden neergezet dmv javascript. Als jij noscript, adblockers of dergelijke hebt draaien, kan het zijn dat dergelijke elementen worden geblokkeerd.
Om zeker te weten of Darkstat wel juiste informatie ontvangt, wat gebeurt er als je op "reload graphs" klikt? Veranderen dan wel de cijfers boven de grafieken, dus dit deel:
Measuring for 22 hrs, 52 mins, 5 secs, since 2015-02-25 10:38:56 UTC+0000.
Seen 49,747,113 bytes, in 130,847 packets. (138,511 captured, 0 dropped)?
Geen sortering van de kolommen IP, Hostname, MAC-Address
Weet echter niet of dat zo hoort, zou wel handig zijn :)
Dat is niet ingebouwd, dus dat zou je met de ontwikkelaar van Darkstat moeten opnemen :)
-
Helemaal niet bij stilgestaan :idea: ::) ik block wel meer dingen :)
De tekst wordt wel bijgewerkt maar had ik niet vermeld.
Kan verder wel zonder sortering :)
Nu ontdek ik net dat DDNS Updater niet meer werkt, heeft hier eigenlijk nooit een steek laten vallen.
Zal morgen, misschien vanavond eens kijken of dat in verband staat met de installatie van Darkstat want gisteren deed die het nog wel.
Edit: Na stop/start deed DDNS Updater het weer.
-
Ik was op zoek naar een package wat veel meer uitgebreid vast legt wie er inlogt, welke bestanden van een NAS worden ingezien, en/of gedownload etc.
Dus heb dat "DarkStat" als test kunnen installeren. Nu inmiddels 2018, en het werkt verder zonder restricties.
Maar wat de topic starter @Briolet ook reeds ontdekte is dat het kennelijk zelf connecties legt met websites elders om gevonden data te delen met derden. (In mijn geval anno 2018 met Amazone). En dat dus via de NAS. Daar zit ik helemaal niet op te wachten.
Kent iemand een alternatief logging programma wat uitgebreid de data vastlegt welke gebruikers inloggenen expliciet op de NAS, welke bestanden met datum en tijden worden geraadpleegd, etc., zonder zich van dergelijke "neveninkomsten" voor de ontwikkelaar van zo'n appje te voorzien?
Het standaard log-programma "Log Center" van Synology (zelfs na update van het package naar meer uitgebreide functies) is te beperkt.
-
Ik vraag me sterk af of dit pakket externe verbindingen opzet. Op zijn website kun je de source via git clonen en zelf doorzoeken. Dan kan er nog code toegevoegd zijn door diegene die het in een package gestopt heeft.
Ik heb dat nooit geconstateerd. Integendeel: Darkstat legt juist bloot dat andere sites de nas scannen. Het zijn vooral bots die websites indexeren voor zoekmachines.
-
Vanuit je eerste bericht bij dit onderwerp enkele jaren terug begreep ik het anders?
Blijft de vraag welk alternatief er is om gewoon de inlog van gebruikers te loggen, en welke bestanden worden geraadpleegd.
Eigenlijk vergelijkbaar met een "web" statistisch programma wat dat bijhoudt voor een website, maar dan voor de shares op een NAS.