(angeblicher) Dauerzugriff auf NAS - LAN blinkt dauerhaft

Status
Für weitere Antworten geschlossen.

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Die Frage ist wo man das eingibt. Im Win würde dies man vmtl in der Powershell/CMD eingeben. Wo mache ich das im DSM?
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Über SSH/Telnet mit Root-Berechtigung bei DSM anmelden beschreibt wie man es einrichtet und mit putty benutzt. Den Schritt
Code:
sudo -i
wuerde ich nur ausfuehren wenn Du Dich auf der Linux Konsole einigermassen auskennst denn Du kannt als root auf der Konsole wenn Du Dich nicht auskennst vieles kaputt machen :rolleyes: Dann kannst Du Dir aber das
Code:
sudo
vor den Befehlen schenken ;)
 

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
So, das kommt dabei raus:
putty1.jpg

Nach dem 2. Befehl läuft es endlos weiter, deshalb ist hier nur einm Ausschnitt dessen:
putty2.jpg

kannst du damit was anfangen?
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Aus dem ersten Bild sieht man dass momentan eine externe Verbindung existiert zum synorelayd Deiner Syno.Am anderen Ende sitzt
Code:
whois 18.195.122.69
OrgName:        Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US
RegDate:        2011-12-08
Updated:        2019-07-25
, d.h. irgendein aws Service. Vermutlich was von Syno.

Aus dem zweiten Bild sieht man dann es momentan externen Traffic von on-us-checkip5.synology.com und keepalive.synology.com gibt.

Offensichtlich ist der Uebeltaeter synorelayd. Was der macht und wozu weiss vielleicht jemand aus dem Forum.

Anyhow sieht man auch Deine IP in dem Trace. War nicht so gedacht dass Du den Trace hier einfach so reinstellst sondern Dir selbst genauer ansiehst. Du solltest Deinen Router noch mal neu connecten lassen damit Du eine neue IP bekommst damit nicht vielleicht jemand aus dem Netz an Deiner Syno anklopft ;-)
 

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Hab mir das zwar angeschaut, doch konnte damit nichts anfangen.

Das synorelayd schein laut Internet zu Quickconnect zu gehören, aber ein abschalten dessen hilft auch nicht. Die LED blinkt weiter vor sich hin.
Es gibt bei mir auch 4 Prozesse mit diesen Namen, allerdings stehen bei 3 "schläft" dahinter und einer wechselt immer wieder zu "läuft"...


Und die RAM Auslastung ist mittlerweile schon bei 66%...
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Code:
ps -ef | grep synorelay|grep -v grep
root      1470 11845  0 14:15 ?        00:00:00 openvpn --client --mute-replay-warnings --auth-nocache --nobind    --tun-mtu 1400 --ping-exit 10 --connect-retry-max 1 --proto udp --remote 185.102.219.107 --port 443 --dev tun1000 --ca /usr/syno/etc/synorelayd/ca/ca.crt --script-security 2 --auth-user-pass /tmp/.tunnel.073234376 --remap-usr1 SIGTERM --cipher none --comp-lzo adaptive --reneg-sec 0 --verb 0 --route-up /usr/syno/etc.defaults/synorelayd/scripts/up.sh 11845 --down /usr/syno/etc.defaults/synorelayd/scripts/down.sh --syno-no-verify --log-append /dev/null
root     11845     1  0 Oct30 ?        00:48:46 /usr/syno/sbin/synorelayd
Bei mir laeuft nur ein synorelayd Prozess ohne Quickconnect. Interessant ist dass der nach Hause per openvpn telefoniert.

Wenn es bei Dir 4 Prozesse sind von denen einer immer wieder laeuft wird der wohl der Grund fuer das Blinken sein. Wie sieht Denn bei Dir die Ausgabe von
Code:
ps -ef | grep synorelay|grep -v grep
genau aus?
 

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Rich (BBCode):
root     26677     1  0 14:10 ?        00:00:13 /usr/syno/sbin/synorelayd

mehr kommt nicht.
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Es gibt bei mir auch 4 Prozesse mit diesen Namen, allerdings stehen bei 3 "schläft" dahinter und einer wechselt immer wieder zu "läuft"...
Wie kommst Du dann auf die 4 Prozesse? In der Ausgabe ist nur einer zu sehen :confused:
 

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Anyhow: Folgender Einzeiler zeigt alle externen Verbindungen (Annahme: Das lokale Netz ist ein 192.168.0.0./24 Netz und muss u.U. entsprechend angepasst werden)
Code:
netstat -tn 2>/dev/null | tail -n +3 | awk '$5 !~ /192.168|127.0.0/ && $6 ~ /ESTABLISHED/ { split($5,ip,":"); print ip[1] }' | sort -n | uniq -c | awk ' { print $2 }' | xargs -I {} nslookup {} | grep name | awk '{ sub(".in-addr.arpa","",$1); split($1,nibbles,"."); print nibbles[4]"."nibbles[3]"."nibbles[2]"."nibbles[1],":",$4 }'
 

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
Wie kommst Du dann auf die 4 Prozesse? In der Ausgabe ist nur einer zu sehen :confused:

deshalb:

synorelayd.jpg


wenn ich den Code eingegeben habe kommen dann nur die 2 Sachen:
Rich (BBCode):
18.195.145.6 : ec2-18-195-145-6.eu-central-1.compute.amazonaws.com.
192.168.178.46 : aidan.fritz.box.

Warum wird da zu Amazon gesendet, wie kann ich das abstellen?
 
Zuletzt bearbeitet:

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
968
Punkte für Reaktionen
102
Punkte
69
Rich (BBCode):
18.195.145.6 : ec2-18-195-145-6.eu-central-1.compute.amazonaws.com.
Warum wird da zu Amazon gesendet, wie kann ich das abstellen?
Das habe ich auch bei mir. Schalte Quickconnect aus und Ruh ist. D.h. das ist irgendein Amazon aws Service den Synology fuer sein Quickconnect benutzt.
Mit
Code:
tcpdump -i eth0 -vvv host ec2-18-195-145-6.eu-central-1.compute.amazonaws.com
sehe ich bei mir dass alle 30 Sekunden die Syno nach Hause telefoniert. Bei Dir sollte die Syno dann wohl staendig nach Hause funken.
 

amdbuster

Benutzer
Mitglied seit
09. Feb 2018
Beiträge
41
Punkte für Reaktionen
0
Punkte
6
So, wieder da.

Trotz Deaktivierung von Quick Connect blinkt die LED immer noch spätestens alle 3 sec.

Bei der darauf gefolgten Überprüfung mit dem Code kam nichts bei raus, da nichts aufgelistet wurde.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat