Auteur Topic: Onbekende user aangemaakt  (gelezen 255 keer)

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Onbekende user aangemaakt
« Gepost op: 25 november 2024, 15:22:40 »
Beste allen,

Ik zie zojuist dat er door het systeem een test user is gemaakt, met bijbehorende home share.
Dit heb ik zeker weten zelf niet gedaan, de periode waarin dit is gebeurd kreeg ik wel veel meldingen van user 'admin' die probeerde in te loggen; waarna het ip-adres werd geblokkeerd.

Kan ik meer in detail achterhalen wat er is gebeurd, en/of er iemand binnen is geweest?
Ik heb 2FA aanstaan, en gebruik sterke wachtwoorden, firewall staat aan en admin account is uitgeschakeld.
62837-0
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2683
  • Berichten: 16.593
Re: Onbekende user aangemaakt
« Reactie #1 Gepost op: 25 november 2024, 15:36:05 »
Je zou met Putty kunnen inloggen en dan het bestand : /var/log/messages  bekijken. Dit is een zeer uitgebreid logbestand. Altijd lastig zoeken in zoveel data, maar uit het andere log heb je een exact tijdstip.

En mocht hij al gerouleerd zijn, dan staan de oude logs gezipt in:  /var/log/messages.1.xz
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Erwin1

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 129
  • Berichten: 1.657
Re: Onbekende user aangemaakt
« Reactie #2 Gepost op: 25 november 2024, 15:59:51 »
Vreemd genoeg maakt die helemaal geen melding:

62845-0

Ik vind wel wat in de acceslog, maar begrijp niet helemaal wat het betekend;
62847-1
DS718+ | 2x WD RED 3 TB SHR
DS214 maar met pensioen

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 765
Re: Onbekende user aangemaakt
« Reactie #3 Gepost op: 25 november 2024, 18:00:56 »
Hmm...

https://www.abuseipdb.com/check/144.139.231.64

Dat IP in de log-file die een login-poging doet in ieder geval is ietwat onrustwekkend...maar mischien ook niet als je NAS "open" aan Internet hangt...
Die melding komt van de "File Station Web API" precies, dus iemand die remote via File Station een login-poging doet.
The login process is making a request to SYNO.API.Auth API with the login method. If successful, the API returns an authorized session ID

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2683
  • Berichten: 16.593
Re: Onbekende user aangemaakt
« Reactie #4 Gepost op: 25 november 2024, 18:34:30 »
Dat access log zal wel uit de database file "/var/log/synolog/.SYNOCONNDB" komen.

Het enige wat mij nu opvalt is dat in messages gelogd wordt dat deze file 'roteert'. (Voorlaatste regel uit je screenshot)  Meestal houdt dat in dat de file 'vol' is en oude data wist om weer ruimte te maken. Waarschijnlijk omdat er op dat moment veel nieuwe access registraties waren.

Dat IP in de log-file die een login-poging doet in ieder geval is ietwat onrustwekkend...

Als ik de laatste 30 abuse meldingen kijk, gaat het vrijwel steeds om poort 5001 (of 5000) of om DSM.  Blijkbaar een IP dat specifiek naar synology nassen zoekt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

Onbekende melding vanuit Spotweb naar Sabnzbd

Gestart door genexxaBoard SABnzbd (usenet)

Reacties: 1
Gelezen: 675
Laatste bericht 02 juni 2023, 15:21:01
door genexxa
Onbekende Gebruikersnaam

Gestart door vissie003Board Synology DSM 5.1 en eerder

Reacties: 2
Gelezen: 2401
Laatste bericht 10 mei 2012, 20:40:33
door raptile
Onbekende gebruiker

Gestart door ahbrinkBoard Synology DSM 5.1 en eerder

Reacties: 9
Gelezen: 3487
Laatste bericht 21 maart 2014, 16:46:07
door TopGear_1542
Zarafa Raspberry, onbekende codes

Gestart door Erwin1Board The lounge

Reacties: 2
Gelezen: 1521
Laatste bericht 10 augustus 2015, 21:00:22
door Erwin1
onbekende lun en isci processen

Gestart door BoboBoard Synology DSM algemeen

Reacties: 5
Gelezen: 1394
Laatste bericht 14 augustus 2017, 17:12:42
door Birdy