DSM 6.x und darunter System-Protokoll zeigt unplausible Einträge des "SYSTEM"-Benutzers

[Petra]

Hallo,

vor wenigen Wochen habe ich meine DS209 von DSM v2.2 auf DSM v3.1 aktualisiert. Und seitdem gibt es einen "SYSTEM"-User, der (anstelle des damaligen "admin"-Users) sich für die System-internen Aktivitäten verantwortlich zeigt. Dies ist im System-Protokoll sichtbar, das ich von Zeit zu Zeit über WinXP und das WebLogin im LAN anzeigen lasse. Hier nun ein Auszug aus dem Protokoll, der mir etwas Kopfschmerzen bereitet:

Typ Datum & Zeit Benutzer Ereignis
Information 2011/04/23 20:48:53 admin User [admin] logged in from [192.168.1.33]
Information 2011/04/23 19:48:34 admin User [admin] logged in from [192.168.1.33]
Warning 2011/04/23 19:43:48 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 19:43:47 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 19:43:33 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 14:12:14 SYSTEM Host [194.73.255.187] has been blocked at [...].
Warning 2011/04/23 03:18:09 SYSTEM Host [195.88.82.99] has been blocked at [...].
Warning 2011/04/22 22:57:30 SYSTEM Host [120.199.49.50] has been blocked at [...].
Warning 2011/04/22 20:12:34 Administrator Host [58.22.116.179] has been blocked at [...].
Warning 2011/04/22 17:43:16 SYSTEM Host [184.172.142.33] has been blocked at [...].
Warning 2011/04/22 13:39:19 SYSTEM Host [61.183.16.199] has been blocked at [...].
Warning 2011/04/22 10:35:27 SYSTEM Host [190.60.228.170] has been blocked at [...].
Information 2011/04/22 08:45:27 SYSTEM Apple file service was started.

(1) Stimmt es, dass der "SYSTEM"-User die alten "admin"-User-Aktivitäten auf der DiskStation verantwortet? Und wie ist es dann möglich, dass der "SYSTEM"-User von seiner eigenen DiskStation geblockt werden kann? Vor dem Update habe ich den User "SYSTEM" nie zu Gesicht bekommen und nun versucht er scheinbar meine Station zu erstürmen.

(2) Die Einstellungen auf meiner DiskStation blockieren einen fehlerhaften Loginversuch beim drittenmal permanent. Wie kann es dann passieren, dass dreimal hintereinander DER GLEICHE HOST blockiert wird, wo er doch eigentlich schon nach der ersten Blockierung keinen Zugriff mehr haben sollte?

(3) Ist der "SYSTEM"-User vielleicht eine Art Superuser, der auch von außen (LAN oder WAN) auf die DiskStation zugreifen kann und für den die Blockier-Vereinbarung nicht gilt? Damit hätte der "SYSTEM"-User dann ja unendlich viele Versuche offen, meine DiskStation zu knacken...

Über Erklärungen und Anregungen würde ich mich freuen.

Gruß
Petra

 

[Super-Grobi]

Moin

SYSTEM und Administrator bezeichnen den User unter dem der Prozess der das Warning ins Log geschrieben hat lief / läuft.

Und der 199.111.38.62 wird halt 3 Mal versucht haben die DSM Anmeldeseite zu bekommen. Das er dort aufgeführt wird, heißt ja
nicht, dass er die Seite auch zu sehen bekommen hat.....

Meines Wissens nach ist System ein Prozess, bzw der Nutzer unter dem der Prozess läuft der da die Meldung geschrieben hat.

Grüße

 

[Petra]

Hallo Guper-Grobi,
hallo zusammen,

> SYSTEM und Administrator bezeichnen den User unter
> dem der Prozess der das Warning ins Log geschrieben
> hat lief / läuft.

das scheint hier aber anders zu sein, denn in der Spalte "Benutzer" steht bei Blockierungs-Warnungen in der Regel der User, unter dem der Login-Versuch gestartet wurde, nicht der, der den Log-Eintrag schreibt (siehe dazu die Zeile, in der "Administrator" fett dargestellt ist).

> Und der 199.111.38.62 wird halt 3 Mal versucht haben die
> DSM Anmeldeseite zu bekommen. Das er dort aufgeführt wird,
> heißt ja nicht, dass er die Seite auch zu sehen bekommen hat.....

Genau das soll ja durch die Blockierung verhindert werden, dachte ich. Ich hatte selbst einmal versucht, mich nach dreimaligem Falsch-Login (und erfolgter Blockierung) erneut anzumelden. Ich kam aber nicht mehr ins System, da eben die IP blockiert wurde (dazu aber nur EIN Eintrag im Log). Eine mehrmalige Blockierung sollte aus meiner Sicht logisch nicht möglich sein, wenn die DiskStation sich an ihre eigenen Regeln hält.

> Meines Wissens nach ist System ein Prozess, bzw der
> Nutzer unter dem der Prozess läuft der da die Meldung
> geschrieben hat.

s.o.

Gibt es noch weitere/andere Erklärungsmöglichkeiten? Mir ist das Thema wichtig, da diese Effekte für mich aktuell wie eine Sicherheitslücke aussehen...

Gruß
Petra

 

[jahlives]

Gibt es noch weitere/andere Erklärungsmöglichkeiten? Mir ist das Thema wichtig, da diese Effekte für mich aktuell wie eine Sicherheitslücke aussehen...

Jedes Blocken wird in den Logs vermerkt. Wenn ich 10x versuche bei dir einzusteigen, wird meine IP wohl auch 10x genannt werden in deinen Logs (und diese obwohl ich bereits ab dem 3. Versuch geblockt bin)
Soviel ich weiss gibt es auf der DS keinen User SYSTEM, drum iritiert mich diese Meldung ein wenig

Information	2011/04/22 08:45:27	[B]SYSTEM[/B]	Apple file service was started.

 

[Petra]

Hallo jahlives,
hallo zusammen,

Jedes Blocken wird in den Logs vermerkt. Wenn ich 10x versuche bei dir einzusteigen, wird meine IP wohl auch 10x genannt werden in deinen Logs (und diese obwohl ich bereits ab dem 3. Versuch geblockt bin)

Meine Erfahrung ist anders. Da nach dem dritten Fehlversuch die Blockierung erfolgt, wird meine IP für alle weiteren Versuche gesperrt. D.h. mir wird der "login" gar nicht mehr ermöglicht. Es sei denn ich wechsle auf eine andere IP-Adresse und versuche es von dort erneut. Dann dürfte aber nicht die gleiche IP-Adresse im Log aufgeführt sein.

Soviel ich weiss gibt es auf der DS keinen User SYSTEM, drum iritiert mich diese Meldung ein wenig

hmmm... scheint aber doch so zu sein. Dieser kam erst mit DSM v3.1 ins Spiel.

 

[jahlives]

@Petra
das findest du ja schnell raus: Lass deine LAN IP blocken und guck ob bei weiteren Zugriffen das geloggt wird oder nicht

 

[Petra]

@jahlives: das habe ich gemacht. Es verhält sich so, wie von mir beschrieben. Deshalb ja dieses Thema.

 

[Super-Grobi]

Hi Petra,

ja stimmt, Administrator ist schon komisch....

Moment, ich Test mal bei mir eben was da wann bei mir kommt....

Ich habe mich versucht als "Testman" im DSM einzuloggen, 5 mal, und dabei kommt bei mir nur ein Eintrag

Warning 2011/04/26 14:35:47 SYSTEM Host [84.143.16.xxx] has been blocked at [Tue Apr 26 14:35:47 2011].

und der natürlich auch erst nach der Blockierung, neues einloggen unter dieser IP bringt erst mal keinen neuen Eintrag solange ich mit "Testman" probiere. Auch wenn ich jetzt weiter mit anderen Namen probiere, bekomme ich keinen neuen Eintrag. (DSM3.1 1605)

D.h. zumindest beim einloggen im DSM ist SYSTEM nicht der Name mit dem versucht wurde sich einzuloggen. Dann wundert mich aber noch mehr, wie es zu dem "Administrator" kommen konnte. Eigentlich kennt die DS doch nur "admin"?!?

Welche DSM Version nutzt Du denn? Vielleicht ist das Verhalten ja dadurch auch unterschiedlich...

[Edit]
ach ja, den automatischen Reblock hab ich deaktiviert
Grüße
S.Grobi

 

[Petra]

@Super-Grobi: ich verwende aktuell DSM v3.1 (damals, als alles noch anders funktionierte, DSM v2.2)

danke für's ausprobieren

 

[Super-Grobi]

danke für's ausprobieren

Janee, das ist reiner Selbstschutz-Eigennutz. Bin da etwas paranoid aufgestellt....

Auf welchen Diensten kommt man den bei Dir auf ein Login?
Ich hab's bei mir nochmal mit richtigem Namen & falschem Passwort probiert, aber auch keine Änderung.

Schon komisch....
Welche 3.1 Version genau? Also welche Buildnummer?


Grüße

 

[Petra]

Auf welchen Diensten kommt man den bei Dir auf ein Login?

SSH und FTP

Welche 3.1 Version genau? Also welche Buildnummer?

kann ich erst heute abend mitteilen, wenn ich wieder zu Hause bin und nachgeschaut habe...

 

[jahlives]

Wegen dem Administrator Eintrag: Mal /etc/passwd geprüft ob es dort einen Administrator Eintrag gibt? Wie Grobi sehe ich es auch so, dass es eigentlich nur admin geben sollte. Alles andere wäre mir neu.
Als du noch mit DSM2.2 unterwegs warst, welche Services hast du denn von aussen erreichbar gehabt?

 

[Petra]

Wegen dem Administrator Eintrag: Mal /etc/passwd geprüft ob es dort einen Administrator Eintrag gibt?

"Administrator" ist bei mir im System nicht eingerichtet. Nur "admin" (Standard) und vielleicht fünf weitere händisch eingerichtete User. Nicht einmal "Guest".

Als du noch mit DSM2.2 unterwegs warst, welche Services hast du denn von aussen erreichbar gehabt?

telnet (später SSH) und FTP

 

[jahlives]

mhm FTP hatte vor DSM3 eine einigermassen grosse Sicherheitslücke. Es war möglich dem admin der DS im DSM durch einen gefakten Loginversuch Code unterzuschieben. Diese Code kam zur Ausführung wenn der admin sich die Logs im DSM (Verbindungslogs) angeschaut hat. Es wäre möglich gewesen, wenn auch nicht ganz trivial, durch einen manipulierten FTP Login die DS zu kompromittieren.

 

[Super-Grobi]

Hi.

Ok, der FTP isses. Da kann ich mich als Administrator anmelden und bekomme dann

Warning	2011/04/26 15:53:11	Administrator	Host [84.143.16.xxx] has been blocked at [Tue Apr 26 15:53:11 2011].

Aber auch nur einmal...

Ist ja auch ein büschen blöd, dass dies Namensfeld je nach Anwendung anders benutzt wird....


SSH kann ich nicht, da bin ich zu blöd für ....

Grüße
S.Grobi

 

[jahlives]

Ah das würde mir etwas erklären. FTP basiert ja z.T. auf dem Samba der DS. Und Samba kennt vermutlich den Alias administrator für den admin, da der Kerl auf einem sehr häufig verbreiteten Clientsystem ja Administrator und nicht admin heisst

 

[Super-Grobi]

Ok, dann muss ich das nochmal probieren mit hubbabubba o.ä. Mombi...
Nee, es ist einfach der Name der beim Login benutzt wird

Warning	2011/04/26 16:09:59	Hubbabubba	Host [84.143.16.xxx] has been blocked at [Tue Apr 26 16:09:59 2011].

Grüße
S.Grobi

 

[itari]

Ich hab den DSM 3.1 noch gar nicht installiert und kann deswegen gar nicht richtig mitreden

Das Protokoll im DSM ist kein Samba-Protokoll und kein Linux-Protokoll, sondern ein reines DSM-Protokoll. Will sagen, dass weder die /etc/passwd noch irgendwelche Windows-Geschichten dabei sind. Es ist schlicht der Login des DSM damit gemeint.

Die Protokollierung der Users im Protokoll stammt von DSM-Login-Fenster, also 'Administrator' was wohl ein Login-Versuch eines Menschen, der nicht weiß, dass es auf der DS keinen 'Administrator' gibt - könnte also ein Einbruchsversuch gewesen sein oder einfach auch die Schlafmützigkeit einen internen Users, der sich halt falsch angemeldet hatte ...

Der User 'SYSTEM' wird wohl jetzt für die Dienste, die der DSM (automatisch oder per cron) startet, verwendet. Also für Aktivitäten, wo sich kein konkreter User hinter verbirgt. Das ist eine Vermutung!!! Wie gesagt, ich hab je kein 3.1 drauf

Itari

 

[Super-Grobi]

Hi Itar,

nein, es legt sich anders dar.

Bei einem DSM login erhalten die Ausgaben im Log (zumindest bei DSM3.1 1605) den Namen SYSTEM.

Wenn ich aber mit dem FTP einen Loginversuch mache, so wird dort der per FTP mitgegebene Name im Log ausgegeben.
Nunja, solange man's weiß

Offen ist noch, wie es jemand bei Petra hin bekommen hat 3 Log-Einträge mit einer IP innerhalb weniger Sekunden zu erstellen...


Grüße

 

[jahlives]

@Super-Grobi
so langsam macht es klick bei mir. Unter SYSTEM wird geloggt was keinen lokalen Login hat. Du loggst dich zwar im DSM als admin ein, der Prozess (Webserver) läuft aber unabhängig davon immer unter root. Anders sieht es beim FTP oder Samba aus. Wenn ich mich dort als admin anmelde, dann läuft auch der Prozess unter dem admin.
Lange Rede kurzer Sinn: Beim Webserver (DSM) wird man wohl unabhängig vom User immer SYSTEM haben.