Protokoll-Center Warnhinweis blocked user Benutzername falsch?

[Geograph]

Hallo Forum,

das Protokoll-Center hat gestern 10 fehlgeschlagene Loginversuche von der selben IP-Adresse für den Benutzer "admin" registriert.
Danach wurde der Host, also die IP-Adresse geblockt.

Soweit so gut. Allerdings verstehe ich nicht, warum im Protokoll-Center unter dem Eintrag "Host XXX.XXX.XXX.XXX was blocked via [DSM].", nicht der Benutzer "admin" steht, sondern ein anderer Benutzer der DS:



(IP-Adresse und Nutzername tlw. geschwärzt)

Wenn ich im Protokoll-Center zum letzten ähnlichen "Vorfall" zurück gehe, bei dem ebenfalls 10 fehlgeschlagene Loginversuche für den Benutzer "admin" vorliegen, wird dort auch ein anderer Benutzer angezeigt als admin.

Ich geh davon aus, dass das ein Bug ist! Kann das damit zusammenhängen, dass ich den User "admin" deaktiviert habe?

Grüße

 

[ottosykora]

warum sollte kein anderer Benutzer drin stehen?
Wenn jemand probiert mit einem anderen Benutzer als admin und hat nicht das richtige Passwort dann wird es auch blockiert.

 

[Geograph]

Hast du alles gelesen?
Der Benutzer "admin" hat 10x das falsche Passwort eingegeben und unter dem Eintrag "Host (...) was blocked" steht ein anderer Benutzer.
Macht ja wenig Sinn Benutzer X zu sperren, wenn Benutzer Y das Passwort falsch eingibt.

 

[ottosykora]

warum nicht? Es gibt doch auch andere Gründe um eine IP zu sperren. Es kann doch jeder Benutzer gesperrt werden.
Wem gehört denn die IP welche geblockt wurde?

 

[Geograph]

Selbstverständlich kann jeder Nutzer gesperrt werden, aber das ergibt doch keinen Sinn.
Benutzer admin gibt 10x das Passwort falsch ein und ein anderer Benutzer wird eine Sekunde später gesperrt.
Warum sollte das so sein?

 

[ottosykora]

wieso nicht? Die IP wurde ja gesperrt. Das ist doch egal welcher User dahinter steckt.

Autoblock sperrt nicht User sondern IP oder IP-Bereich , das kann auch nach Ländern, oder Regionen etc aktiviert sein.

 

[Geograph]

Das mit der IP-Adresse oder einem IP-Adressenbereich macht Sinn.
Ich verstehe dann aber die Logik nicht, warum dafür dann ein Benutzer angezeigt wird.
Wo ist der Zusammenhang zwischen dem Benutzernamen, der bei der Sperrung ("Host (...) was blocked") angezeigt wird und den fehlerhaften Loginversuchen?

 

[c0smo]

Gibt es den Benutzer? Vielleicht wurde erst versucht sich als admin anzumelden und danach als benutzer?! IP ist die gleiche?

 

[Puppetmaster]

Benutzer admin gibt 10x das Passwort falsch ein und ein anderer Benutzer wird eine Sekunde später gesperrt.
Warum sollte das so sein?

Das "Warum" werden wir nur schwerlich klären. Das "Ob" kannst du aber doch selbst schnell durch einen Selbstvesuch herausbekommen.

 

[Geograph]

Das "Warum" werden wir nur schwerlich klären.

Darum geht's mir aber. Gerade wenn es um sicherheitsrelevantes geht, würde ich schon gerne verstehen, was die Software da vor hat.
Ich dachte, vielleicht hat schon mal jemand ähnliches beobachtet.

 

[Geograph]

Ich hab jetzt über Google auf englisch dazu was gefunden:
https://forum.synology.com/enu/viewtopic.php?t=142180

 

[tproko]

Ich würds mal so vermuten, ohne DSM internals zu kennen.

Die Synology blockt die IP, da x Fehlversuche. Einen tatsächlichen User in der Session gibt es ja nicht, da ja keiner angemeldet ist. Scheint so das entweder zufällig einer genommen worden ist, oder das war der letzte Benutzer der hier irgendwo zB. in einem ThreadLocal gesetzt war und ggf. nicht sauber zusammengeräumt wird oder sonst was.
Aber da die Sperre ja pro IP ist, und nicht pro User, sollte das ziemlich egal sein.

Also so quasi, nehmen wir irgendeinen, damit wir hinten beim Protokoll keinen Nullpointer-auslösen können

 

[Puppetmaster]

So, ich hab's dann einfach mal probiert. Führt meines Erachtens meist am schnellsten zum Ziel.

5 Anmeldeversuche von der gleichen IP aus, immer mit einem anderen Benutzernamen. Alle schlagen fehl. Nach dem fünften Anmeldeversuch ist die IP blockiert.

 

[tproko]

Ja. Der TE wollte aber wissen, warum da irgendein Benutzer steht.
Aber ich denke, das können wir ihm auch nicht beantworten.

@Geograph: Du kannst ja mal ein Ticket an Synology schicken, vielleicht beantworten sie dir dann ja die Frage.

 

[Puppetmaster]

Jo, hab ich auch schon in Post#9 festgestelt.

Kann sein, dass da "irgendein" Benutzer steht. Falls ja -> Synology fragen. Kann aber auch sein, dass es zufällig dann der Benutzer war, den das Log auswirft. Das muss man ja zunächst einmal eruieren.