DSM 6.x und darunter System-Protokoll zeigt unplausible Einträge des "SYSTEM"-Benutzers

[itari]

Hi Itar,

nein, es legt sich anders dar.

Bei einem DSM login erhalten die Ausgaben im Log (zumindest bei DSM3.1 1605) den Namen SYSTEM.

Wenn ich aber mit dem FTP einen Loginversuch mache, so wird dort der per FTP mitgegebene Name im Log ausgegeben.
Nunja, solange man's weiß

Das macht aber keinen wirklichen Sinn ... Es sollte schon so sein, dass man sieht, wer sich unter welchem Namen angemeldet hat. Insofern würde ich dann drauf tippen, dass 'SYSTEM' ein Bug ist.

Nebenbemerkung: Der ftpd ist eine smbftpd, also was ganz spezielles ... guck auch: http://www.twbsd.org

Itari

 

[Super-Grobi]

Hi

Das macht aber keinen wirklichen Sinn ... Es sollte schon so sein, dass man sieht, wer sich unter welchem Namen angemeldet hat. Insofern würde ich dann drauf tippen, dass 'SYSTEM' ein Bug ist.

Ja, so richtig Sinn macht die Ausgabe an der Stelle nicht. Aber da kann Petra dann ja ein Ticket machen

Nebenbemerkung: Der ftpd ist eine smbftpd, also was ganz spezielles ... guck auch: http://www.twbsd.org

Ich bin doch schon froh wenn ich ftp bedienen kann

Grüße

 

[itari]

Ich bin doch schon froh wenn ich ftp bedienen kann

Ich wollte nur drauf hinweisen, dass die Authentifikation und die Rechtevergabe der Ordner im smbftpd auch über die smb.conf gesteuert wird. Es sind also, was die Benutzerverwaltung angeht, keine großen Unterschiede da. Und das (!) ist anders als bei den normalen ftpd.

Itari

 

[Petra]

Welche 3.1 Version genau? Also welche Buildnummer?

DSM v3.1 - 1605

 

[ueffchen]

In welche Logdatei werden die falschen Logins (ins DSM) geschrieben?
Ich habe mich jetzt bewusst falsch eingeloggt, finde aber keinen Eintrag im Log (Webinterface) oder irgendwo auf shell Ebene.

(ich habe 3.0.x installiert, falls das relevant ist)

Gruss, ueffchen

 

[Petra]

Hallo ueffchen,

In welche Logdatei werden die falschen Logins (ins DSM) geschrieben?
Ich habe mich jetzt bewusst falsch eingeloggt, finde aber keinen Eintrag im Log (Webinterface) oder irgendwo auf shell Ebene.

Der Eintrag würde nur dann im "System-Protokoll" erfolgen, wenn Du Dich entsprechend Deiner konfigurierten Maximal-Versuchsanzahl falsch mit dem gleichen Benutzernamen angemeldet hast (über FTP, Telnet, SSH,...) und die automatische Blockierung aktiviert ist. Den Eintrag kannst Du dann in den Protokollen einsehen, die Du dann auch in eine Datei (in Dein Dateiverzeichnis) exportieren kannst. Im DSM findest Du die blockierten Einträge auch irgendwo in der Filestruktur. Dazu gibt es auch einen Forums-Beitrag.

Gruß
Petra

 

[ueffchen]

Hallo Petra

danke, das hatte ich vermutet nachdem ich gestern auf Dateiebene rumgewühlt habe.
Wird wohl irgendwo verschlüsselt abgelegt sein.
Das ist insofern schade, weil man dann die einzelnen Zugriffe nicht sieht, aber bringt sowieso nichts, weil IPs i.d.R sowieso alle 24 Std neu vergeben werden. Mich hätte nur mal interessiert, warum mein Linux PC gesperrt wurde, irgendwie müssen sich mal die 5 falschen Logins kummuliert haben.
Wird wohl ungelöst bleiben

Gruss, ueffchen

 

[Super-Grobi]

Moin,

man kann natürlich die Maximalanzahl falscher Logins einfach auf 1 setzen, dann erhält man jedes Mal eine entsprechende Log-Meldung.

Grüße

 

[DjCrasher]

Hallo,
ich habe seid dem neuem Update auf die Version von 4.1-2661 folgendes Probelm.
In meinem SystemLog werden mir folgende einträge gezeigt:


Diese Einträge sind erst mit dem Update gekommen, zwischen durch habe ich schon das Admin PW geändert und noch den IP-Blocker eingeschaltet.
Da es einige Login versuche gabe mit Usern die im System nicht vorhanden sind.
Das ganze gab aber kein erfolg.
Könnte mir einer weiterhelfen?

Mit freundlichen Grüßen
Djcrasher

 

[jahlives]

und was ist mit diesen Einträgen nicht okay? Das die Mail ned versendet werden konnte dürfte daran liegen, dass die Logindaten für den Mailserver wohl ned stimmen

 

[DjCrasher]

ja nur das ich keine EMails schicke über den User.

und das es erst aufgeträtten ist seid dem ich das Update drauf habe...

eine Idee???

ich keine mehr.

 

[jahlives]

eine Idee wozu? Ich kapier ned was dein Problem ist. Du hast Autoblock drin und der scheint fleissig IPs zu blocken, also genau das wofür Autoblock gemacht ist

 

[DjCrasher]

Mein Problem liegt darin das ich gern wissen möchte, warum das system über den User "SYSTEM" veruscht sich einzulogen oder auch eine Email zu senden.

Mir ist nur bekannt das sich das System auf die DDNS sich einlogt, aber die verbindungs versuche sind mir noch unklar.

daher frage ich, weil das mir schon komisch vorkommt.

Könnte ja sein das einer das gleiche bemerkt hat, oder etwas weis.

Aber danke für die Antwort (jahlives).

 

[jahlives]

und wenn SYSTEM einfach immer steht? Ohne es sicher zu wissen würde ich mal folgendes annehmen: da werden Zugriffsversuche auf deine DS von externen IPs geblockt. Weiterhin würde ich annehmen, dass Synology nicht den benutzten Usernamen im Log anzeigt, sondern den generischen User SYSTEM verwendet. Hast du denn irgendeinen Versuch wo ein anderer User als SYSTEM steht? Es ist zwar nicht sehr "hübsch" wenn immer SYSTEM steht, hat aber auch einen Sicherheitsvorteil: vor einiger Zeit gab es im DSM eine Lücke wo man durch geschickte Manipulation des Usernamens beim FTP Login Code in die Loganzeige im DSM bringen konnte. Wenn man z.B. Javascript Code eingeschleust hätte, dann wurde der auf dem Client mit dem sich der Admin auf den DSM verbindet ausgeführt. Das Problem war, dass Synology den verwendeten Usernamen 1:1 aus den Logs übernommen hat. Auch wenn dieser Username eigentlich nur Javascriptcode war. Von dem her halte ich es eigentlich für besser wenn in diesem Fall ein generischer Name angezeigt wird.

zudem schau dir mal die IPs an. Das wird kaum deine DS sein, die sich auf sich selber verbindet. Wäre es die DS dann müsste dort die LAN-IP deiner DS oder 127.0.0.1 stehen. Mit DDNS dürfte das imho nichts zu tun haben. Schau dir doch einfach mal die gefundenen IPs mittels whois an, dann siehst du recht schnell wo die herkommen und allenfalls auch wem sie gehören

 

[goetz]

Hallo,
eigentlich müßte da root stehen da die Systemprozesse unter diesem User laufen, wird einfach als System dargestellt. Böse Buben klappern Deine offenen Ports ab, welche hast Du denn offen? Wahrscheinlich hast Du die email Benachrichtigung bei Blockierung aktiv aber die Zugangsdaten zu Deinem Mailprovider stimmen nicht. An den Zeiten sieht man das ganz gut, erst Blockierung dann Versuch eine mail zu senden.

Gruß Götz

 

[Aevin]

Hi Leute,

ich gebe DjCrasher da recht, habe seit dem Update auf die Version 4.1 UND einem DynHost von Synology, diese ständigen Versuche von System/Administrator und HOST Einträgen in meiner Blockierliste. Pro Tag so ca. 3 bis 4 Blockierungen...

Da ich vorher einen DynHost eines anderen Anbieters hatte, vermute ich mal das liegt auch zum größten Teil an den Synology-Hosts.
Auch wenn man sich mal den Spaß macht die IP's zu orten, kommen diese Angriffe meist aus dem asiatischen Raum.

Nun gut, solange alles brav blockiert wird, ist es nur lästig, immer mal die Logeinträge zu löschen.

Gruß Aevin

 

[Puppetmaster]

Ich habe auch eine DynDNS von Synology. Seit Beginn (also seit DSM 4.0) habe ich aber noch keine IP blocken müssen.
Kommt auch immer darauf an, wieviele und welche Ports du geöffnet hast!

@DjCrasher:

Dein Problem verstehe ich auch nicht ganz. Monierst du, daß die DS Mails an dich versenden möchte, es aber nicht schafft? Dann guck dir den Tip von goetz aus Post#35 an.

 

[jahlives]

und ich habe kein dyndns von Synology und wahrscheinlich sogar pro Stunde mehr Blocks Ein System, welches am Netz hängt wird zwangsläufig immer wieder mal Besuch bekommen von pösen Puben ;-)Wenn du das System offline nimmst, hast du keine solche Einträge mehr, oder? Das ist leider der Nachteil wenn man öffentlich erreichbare Systeme hat. Viel machen kann man dagegen ned. Ausser mittels autoblock die fehlerhaften Login-IPs zu blocken

 

[Aevin]

Das ganze stört mich ja nicht wirklich, mir ist es halt nur aufgefallen, nachdem ich den DynHOST-Zugriff gewechselt habe... solange alles blockiert wird, tut der Dienst ja sein "Soll"