Synology-Forum.nl

Firmware => Synology DSM 6.2 => Topic gestart door: hvanbenthem op 11 juni 2018, 10:19:04

Titel: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 10:19:04
Hallo

Heb de upgrade naar 6.2 doorgevoerd. Sindsdien krijg ik van de Security Advisor de melding "het verificatie bestand bevat abnormale gebruikers". Heb natuurlijk gecontroleerd of er "abnormale" gebruikers zijn opgevoerd, maar dat is niet het geval.

Kan iemand mij hierin verder helpen om van het probleem af te komen?

Bedankt al vast

Groet Henk
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 11 juni 2018, 10:30:58
Je hebt packages draaien die niet geschikt gemaakt zijn voor DSM 6 (en hoger).
Die packages hebben zelf (meestal met behulp van busybox) gebruikers aangemaakt en die staan dus niet in de Synology gebruikers database.
Dat meld hij dus met ingang van DSM 6.2
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 13:58:20
Ben, Bedankt voor je reactie.
Ik heb, volgens mij een aantal synology packages draaien, waarvan regelmatig een update komt die dan uitvoer. Heb je een idee hoe ik erachter kom welke package de boosdoener kan zijn?
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 11 juni 2018, 17:35:34
Ja dat zijn de packages die nog geen update gehad hebben om ze aan DSM 6 aan te passen.
Gewoon afwachten tot die komen, er zijn een hoop packages die gedaan moeten worden, dus veel werk en de SynoCommunity heeft 2 jaar lang praktisch zonder mensen gezeten.

Het kan ook weinig kwaad, die gebruikers waren er in het verleden ook, alleen de security adviser zei er niets over.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: StefaanD op 11 juni 2018, 17:36:14
Hier zelf nog geen 6.2 draaien, ook nog niet zichtbaar op mijn NAS en ben niet gehaast.

Maar dat is zeker wel een mooie toevoeging.

@hvanbenthem, staat in die melding dan niet over welke gebruikers het gaat?
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 17:47:06
Dat wordt vermeld, maar ik kan het niet relateren aan een bepaald package

Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 11 juni 2018, 17:48:14
Als je ze even hier noemt zal dat wel gaan lukken denk ik.
Tenzij je natuurlijk echt gehacked bent.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 18:03:17
De gebruiker sabnzbd wordt gemeld.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 11 juni 2018, 18:07:42
En zou dat niet met het package SABnzbd te maken kunnen hebben?
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 18:16:49
Ja, dat klinkt logisch. Maar dat package is niet geïnstalleerd.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 11 juni 2018, 18:31:22
Dan is het ooit geinstalleerd geweest en weer verwijderd.
Veel packages (inclusief die van Synology) nemen niet de moeite die users te verwijderen bij de-installatie.

Waarschijnlijk kun je ze dan het beste met de hand verwijderen.
Even winscp opstarten en in de bestanden /etc/passwd en /etc/shadow de regel met die naam erin verwijderen.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Briolet op 11 juni 2018, 18:38:41
In de beta fase is hier ook al over gerapporteerd (https://www.synology-forum.nl/synology-dsm-5-1-beta/verificatiebestand/msg238780/#msg238780), met commentaar van Synology zelf:
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 11 juni 2018, 19:20:24
Bedankt, ik ga het proberen

Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: hvanbenthem op 12 juni 2018, 10:46:20
Gelukt!. Abnormale user verwijderd. Bedankt
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Wuter op 30 juni 2018, 22:30:35
Hallo iedereen,

Sinds vandaag heb ik deze waarschuwing ook. Iemand enig idee hoe je juist een user verwijderd via Putty?

Zou de user nzbget willen verwijderen
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 09:56:50
Yes hier ook zelfde probleem, sinds dit weekend krijg ik de meldingen op autosub-bootstrapbill en sickbeard
Negeer ze voor nu totdat de apps geupdated zijn :)
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 02 juli 2018, 10:32:55
Zowel autosub-bootstrapbill als sickbeard zullen geen updates meer krijgen dus dan kun je lang wachten.

De eerste is vervangen door autosub en kun je hier downloaden:
https://github.com/BenjV/SYNO-packages/raw/master/AutoSub%20DSM5%20noarch.spk

En voor de tweede kun je het beste overgaan op sickbeard-custom van de Synocommunity.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 10:38:49
Gebruik al Sickbeard custom en heb Autosub en Sickbeard verwijderd.
Beide users zullen dus 'oude' users zijn dan?

Zal ze zodoende maar verwijderen via winscp dan :)
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 02 juli 2018, 10:58:44
Ja gewoon uit de /etc/passwd en de /etc/shadow halen met winscp.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 11:10:52
heb beide users uit beide genoemde files verwijderd, maar krijg nog steeds dezelfde melding van security advisor.
Ook na een reboot van de NAS blijft de melding terugkomen bij een herscan?

EDIT, nogmaals ingelogd met WinSCP en beide namen zijn weer terug?

Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Ben(V) op 02 juli 2018, 12:15:36
ALs je het volgende commando geeft in putty:
Code: (sh) [Selecteer]

find /etc -type f -exec grep -l sickbeard {} +
Dan vind je alle bestanden waar (in dit geval) sickbeard in staat.
Het zijn backup en configuratie bestanden die DSM gebruikt.
Je zou daar met winscp overal de user sickbeard uit kunnen halen.

Ik heb dit niet getest dus op eigen risico.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 12:38:10
ok, ben weer een stapje verder...

Ik heb normaal mijn admin account uitgeschakeld en gebruik mijn eigen account (user123 bijvoorbeeld) tbv veiligheid.
Ik schakel de admin account enkel in als ik WinSCP of iets dergelijks gebruik.

Zolang ik de admin account actief heb, blijft de melding weg, zodra ik de admin account weer uitschakel, komt de melding direct terug.

Hoe moet ik de sudoers config aanpassen als ik ook met mijn eigen account wijzigingen via WinSCP wil doen?
dit staat er nu in; admin ALL = NOPASSWD: ALL

Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: Birdy op 02 juli 2018, 12:43:58
Regel toevoegen:
<user123 bijvoorbeeld> ALL = NOPASSWD: ALL
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 12:46:20
ALs je het volgende commando geeft in putty:
Code: (sh) [Selecteer]

find /etc -type f -exec grep -l sickbeard {} +
Dan vind je alle bestanden waar (in dit geval) sickbeard in staat.
Het zijn backup en configuratie bestanden die DSM gebruikt.
Je zou daar met winscp overal de user sickbeard uit kunnen halen.

Ik heb dit niet getest dus op eigen risico.

bedankt hiervoor, ga dit ook eens proberen, wellicht dat de user ergens anders vandaan steeds weer toegevoegd wordt.
Titel: Re: Verificatiebestand bevat abnormale gebruikers
Bericht door: PascalP op 02 juli 2018, 13:05:05
Fout blijft helaas terug komen, ook als ik de wijziging met mijn eigen account doe en de admin account uitschakel.
Vooralsnog zal ik maar even de admin account ingeschakeld laten en heb er een sterker wachtwoord voor gekozen.

Zal de methode via Putty zoals aangegeven door BenV ook eens proberen als ik vanavond weer thuis ben, wie weet wat er nog naar boven komt.