Seltsame Warnmeldung über unbekannten Admin-Zugriff auf DSM

[MartinGr]

Hallo,
heute morgen bekam ich eine Warnung, dass um 7:24 ein unbekanntes Android 0.0.0 über mein "sysadmin"-Konto auf den DSM zugegriffen hätte. Als IP-Adresse steht dort allerdings die, die mein Heimnetz zur Zeit bei Vodafone/Kabel Deutschland hat. Also müsste es ja von mir zu Hause aus passiert sein. Nur kann ich es nicht gewesen sein (da ich da noch gar nicht wach war.), außerdem ist das Gerät ja unbekannt. Und sonst ist hier gerade niemand.
Das Standard-Konto mit dem Namen admin habe ich schon lange deaktiviert, und mein Passwort ist ziemlich kryptisch.
Habe jetzt die Anmeldung in zwei Stufen aktiviert - aber beunruhigen tut mich das natürlich.
Hat jemand eine Idee, was da passiert sein kann?
Dateizugriffe gab es laut Protokoll übrigens keine.
Viele Grüße
Martin

 

[Synchrotron]

Hast du mal das Zugriffsprotokoll deines Routers angeschaut ?

 

[MartinGr]

Hast du mal das Zugriffsprotokoll deines Routers angeschaut ?

Also in meiner Fritzbox kann ich nichts entdecken. Allerdings sehe ich unter "System >> Eregnisse >> alle" ja nicht, welche Geräte sich an- oder abmelden (?)

 

[MartinGr]

Nachtrag: wenn ich mich mit meinem S8 über eine Mobilverbindung auf die DSM einlogge, kommt ebenfalls so eine Warnung (weil ich das noch nie gemacht habe). Android 0.0.0 steht dann auch dort - aber auch, was für ein Browser es war. Bei der Warnung von 7:25 wird kein Browser genannt.

 

[Synchrotron]

Also in meiner Fritzbox kann ich nichts entdecken. Allerdings sehe ich unter "System >> Eregnisse >> alle" ja nicht, welche Geräte sich an- oder abmelden (?)

Ja, die FB ist da etwas sparsam. Es gibt andere Router, die mehr mitschreiben. Aber zumindest „robuste“ Anmeldeversuche dort wären protokolliert worden.

Kann irgendeine App bei dir selbst versucht haben, sich als Hintergrundaktivität mit der Syno zu verbinden ?

 

[MartinGr]

Kann irgendeine App bei dir selbst versucht haben, sich als Hintergrundaktivität mit der Syno zu verbinden ?

Mein Smartphone war unüblicherweise an über Nacht. Aber DS Audio etc. habe ich auf dem Gerät doch schon oft benutzt. Das wäre ja kein unbekanntes Gerät. Außerdem melden die sich doch nicht selbsttätig an? Und wäre das überhaupt eine Anmeldung beim DSM?

 

[Synchrotron]

Keine Ahnung, kenne deine Aufstellung nicht, und nutze kein Android.

Die konservative Strategie wäre ein PW-Wechsel, plus ggf. 2-FA aktivieren. Wenn es Fernzugriffswege gibt (insbesondere Portweiterleitungen) überdenken, ob man sie wirklich braucht.

Die andere heißt abhaken, so lange es sich nicht wiederholt.

 

[mördock]

Nabend,
einige Tage nach dem Update auf die aktuelle dsm Version bekam ich dieselbe Meldung. Ich habe mir erstmal nichts dabei gedacht, da es im lokalen Netz und von meinem s8 + ausgegangen ist. Konnte auch in keinem Protokoll etwas auffälliges finden.
Evtl. liegt es auch gar nicht an synology sondern am s8, denn das bekam vor einigen Tagen auch ein Update.
#Mördock#

 

[Speicherriese]

Dieses Phänomen habe ich ich auch ab und zu. Ich bekomme dann eine E-Mail zugeschickt. So über die Jahre waren dies doch schon einige. Aber hier kann ich dich beruhigen. Ich bin hier anfangs auch erst panisch geworden und dachte hier hat sich jemand zu schaffen gemacht. Nein, dem ist nicht so, das liegt an der Privateinstellung des Browsers/Adblockers und zusätzlich noch Virenscanner der sich auch in den Browser einpflanzt. Hier kommt es dann ab und zu vor, das die Synology denkt, hier wäre ein fremder User am schaffen, da er die eigene Maschine /IP Adresse nicht mehr kennt unter der ich mich ja bereits schon mehrmals im eigenen Netz angemeldet hatte.

Also alles kein Grund zur Aufregung. Die, welche wirklich bei dir reinwollen findest dann schon im Eventmanager, aber die werden ja eh gnadenlos nach 3 Fehlversuchen automatisch geblockt.