Warum taucht admin bei "verbundene Benutzer" zweimal auf?

[KlausK]

Hallo,

warum taucht bei der Anzeige "verbundene Benutzer" admin zweimal auf und dann noch mit unterschiedlicher Nutzungsdauer?
Was bedeutet in dem Zusammenhang CIFS?
Ist da jemand mit meinem Passwort angemeldet??!
Gesetzt den Fall da wäre jemand extern auf dem Server, gibt es eine Möglichkeit ihn genauer zu identifizieren und seine Handlungen nachzuvollziehen?

Für einen Tipp wäre ich sehr dankbar.

Gruß?
Klaus

 

[m0useP4d]

Der eine durch Web-Anmeldung und
der andere durch Netzwerk-Anmeldung, also auf deine freigegebene Ordner

 

[KlausK]

Ja super, heißt das jetzt wenn ich über Netz angemeldet bin, hängt jemand anderes über WEB am Server?!
Der Server hängt mittels LAN an der FritzBox und ich mittels WLAN im Netz.

 

[Fusion]

Nein, das bist beides mal du selbst. Dein Rechner ist auf der Netzwerkfreigabe angemeldet und du selbst ja wohl im Browser im DSM, sonst könntest du den Screenshot nicht machen.
Du hast also zwei Verbindungen über verschiedene Protokolle offen.

 

[KlausK]

Na prima, dann kann ich mich ja wieder hinlegen ;-)
Vielen Dank für den Hinweis!

Hast Du vielleicht noch eine Antwort auf den zweiten Teil der Frage:

"Gesetzt den Fall da wäre jemand extern auf dem Server, gibt es eine Möglichkeit ihn genauer zu identifizieren und seine Handlungen nachzuvollziehen?"

 

[Fusion]

Da gibt es keine einfache Antwort.
Entweder wurde ein Nutzer kompromittiert, dann sieht es so aus, als ob dieser Nutzer eben angemeldet wäre und in seinen Möglichkeiten eben arbeitet.
Wenn Sicherheitslücken ausgenützt würden und z.B. root-Rechte erlangt werden, könnte man schalten und walten wie man will.
Es sind aber immer existierende Benutzer die da werkeln, gibt ja nicht von Selbst einen Benutzer der dann "Einbrecher" heißt.
Wie man also Verhaltensanalyse betreibt und forensische Beweise sichert, nein, damit habe ich mich noch nicht beschäftigt.

 

[Stewi]

Im Protokollcenter kannst du sehen welcher User sich an oder abgemeldet hat, dazu gibt es dann auch die IP Adresse, von der das Ganze geschehen ist. Weiterhin kann man dort sehen, welche Daten Up- bzw. downlgeloadet wurden. Das muss aber erst aktiviert werden, musst du mal in den Systemeinstellungen suchen.

 

[Andy14]

Wobei man bedenken sollte das jemand der es schafft sich Zugang zu verschaffen (Aufwand/Erfahrung ...) diese Log-Dateien auch manipulieren kann!

 

[Stewi]

Ich weiss nicht so recht. Ich habe manchmal das Gefühl, man setzt zu viel Wissen bei den "Hackern" voraus. Das ist längst nicht mehr so wie früher, dass man da etwas vom Coden verstehen muss. heute suchen sich die Kiddies im Netz die Scripte zusammen. Scripte für Portscans und Brute Force Attacken findet man auf einschlägigen Seiten. Einige machen sich nicht einmal die Mühe (oder machen es aus Unwissenheit) bei einem Angriff ihre IP zu verschleiern.
User die ihre Geräte ins Netz hängen und alles auf Standardeinstellungen lassen machen es diesen "bösen Jungs" natürlich leicht. Deshalb ist es umso wichtiger, dass man diese Standardkonfiguration ändert. Standardports für die Zugriffe ändern, Standardbenutzer deaktivieren, Gastzugänge sperren, nicht genutzte Anwendungen deaktivieren, Firewall richtig konfigurieren, sichere Passwörter, aktuelle Systemupdates einspielen, Kontrolle der Logfiles und permanenter Einsatz von brain.exe. Damit hält man sich o.g. Klientel schon mal vom Hals, und echten Freaks, die gezielt deine Systeme kompromittieren wollen und auch das Wissen dazu haben, macht man das Leben auch etwas schwerer.