Seltsame Warnmeldung über unbekannten Admin-Zugriff auf DSM

Status
Für weitere Antworten geschlossen.

MartinGr

Benutzer
Mitglied seit
03. Feb 2013
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Hallo,
heute morgen bekam ich eine Warnung, dass um 7:24 ein unbekanntes Android 0.0.0 über mein "sysadmin"-Konto auf den DSM zugegriffen hätte. Als IP-Adresse steht dort allerdings die, die mein Heimnetz zur Zeit bei Vodafone/Kabel Deutschland hat. Also müsste es ja von mir zu Hause aus passiert sein. Nur kann ich es nicht gewesen sein (da ich da noch gar nicht wach war.), außerdem ist das Gerät ja unbekannt. Und sonst ist hier gerade niemand.
Das Standard-Konto mit dem Namen admin habe ich schon lange deaktiviert, und mein Passwort ist ziemlich kryptisch.
Habe jetzt die Anmeldung in zwei Stufen aktiviert - aber beunruhigen tut mich das natürlich.
Hat jemand eine Idee, was da passiert sein kann?
Dateizugriffe gab es laut Protokoll übrigens keine.
Viele Grüße
Martin
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Hast du mal das Zugriffsprotokoll deines Routers angeschaut ?
 

MartinGr

Benutzer
Mitglied seit
03. Feb 2013
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Nachtrag: wenn ich mich mit meinem S8 über eine Mobilverbindung auf die DSM einlogge, kommt ebenfalls so eine Warnung (weil ich das noch nie gemacht habe). Android 0.0.0 steht dann auch dort - aber auch, was für ein Browser es war. Bei der Warnung von 7:25 wird kein Browser genannt.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Also in meiner Fritzbox kann ich nichts entdecken. Allerdings sehe ich unter "System >> Eregnisse >> alle" ja nicht, welche Geräte sich an- oder abmelden (?)

Ja, die FB ist da etwas sparsam. Es gibt andere Router, die mehr mitschreiben. Aber zumindest „robuste“ Anmeldeversuche dort wären protokolliert worden.

Kann irgendeine App bei dir selbst versucht haben, sich als Hintergrundaktivität mit der Syno zu verbinden ?
 

MartinGr

Benutzer
Mitglied seit
03. Feb 2013
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Kann irgendeine App bei dir selbst versucht haben, sich als Hintergrundaktivität mit der Syno zu verbinden ?

Mein Smartphone war unüblicherweise an über Nacht. Aber DS Audio etc. habe ich auf dem Gerät doch schon oft benutzt. Das wäre ja kein unbekanntes Gerät. Außerdem melden die sich doch nicht selbsttätig an? Und wäre das überhaupt eine Anmeldung beim DSM?
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.097
Punkte für Reaktionen
2.065
Punkte
259
Keine Ahnung, kenne deine Aufstellung nicht, und nutze kein Android.

Die konservative Strategie wäre ein PW-Wechsel, plus ggf. 2-FA aktivieren. Wenn es Fernzugriffswege gibt (insbesondere Portweiterleitungen) überdenken, ob man sie wirklich braucht.

Die andere heißt abhaken, so lange es sich nicht wiederholt.
 

mördock

Benutzer
Mitglied seit
04. Jan 2012
Beiträge
806
Punkte für Reaktionen
17
Punkte
44
Nabend,
einige Tage nach dem Update auf die aktuelle dsm Version bekam ich dieselbe Meldung. Ich habe mir erstmal nichts dabei gedacht, da es im lokalen Netz und von meinem s8 + ausgegangen ist. Konnte auch in keinem Protokoll etwas auffälliges finden.
Evtl. liegt es auch gar nicht an synology sondern am s8, denn das bekam vor einigen Tagen auch ein Update.
#Mördock#
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Dieses Phänomen habe ich ich auch ab und zu. Ich bekomme dann eine E-Mail zugeschickt. So über die Jahre waren dies doch schon einige. Aber hier kann ich dich beruhigen. Ich bin hier anfangs auch erst panisch geworden und dachte hier hat sich jemand zu schaffen gemacht. Nein, dem ist nicht so, das liegt an der Privateinstellung des Browsers/Adblockers und zusätzlich noch Virenscanner der sich auch in den Browser einpflanzt. Hier kommt es dann ab und zu vor, das die Synology denkt, hier wäre ein fremder User am schaffen, da er die eigene Maschine /IP Adresse nicht mehr kennt unter der ich mich ja bereits schon mehrmals im eigenen Netz angemeldet hatte.

Also alles kein Grund zur Aufregung. Die, welche wirklich bei dir reinwollen findest dann schon im Eventmanager, aber die werden ja eh gnadenlos nach 3 Fehlversuchen automatisch geblockt.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat