Was ist hier passiert? (Log)

[ElaCorp]

Hi,

darf ich das Protokoll mit euch teilen und könnt ihr mal drüber schauen?
Was würde man sagen können?

2022:06_15 bis 2022_06_27
Benutzer war ganz normal drin und hat gearbeitet.

2022_08_05 (1 Monat 5 Tage später versucht jemand sich anzumelden.)
10:31:36 Uhr - Das Gerät wurde vom Strom gezogen und dann neugestartet.
10:41:28 Uhr - Der Admin wurde über den Knopf zurückgesetzt.
10:41:38 Uhr - Die verschlüsselten Ordner konnten nicht eingebunden werden.
10:41:41 Uhr - LAN Probleme? Wurde das Lan Kabel entfernt und wieder dran gemacht?
10:46:23 Uhr - Bedeutet dies, dass es über die Weboberfläche oder über das gedrückt halten den Knopf runtergefahrne wurde?
10:49:08 Uhr - "System successfully started [Media Indexing]." wurde das manuell gestartet oder vom System alleine?
10:50:00 Uhr - Wurde wieder der Admin zurückgesetzt?
10:50:13 Uhr - Wieder Lan umgesteckt
11:06:28 Uhr - Erstmal Ende. Normal heruntergefahren? Das war eine 30 Minuten Sitzung.
Hier wurde 8 Mal mit dem Benutzer "Paul" 14 mal mit "admin" und 1 mal mit "administrator" händisch versucht sich anzumelden.

2022_09_16 (1 Monat und 11 Tage später, geht es weiter)
06:13:21 Uhr - Früh morgens geht es los.
06:13:58 Uhr - Wenige Sekundne danach, das Gerät nochmal agressiv vom Strom trennen. Festplatten egal!
06:31:33 Uhr - Lan Probleme
09:02:26 Uhr - ENDE "Server started counting down to shutdown." wurde das über den gedrückten Knopf oder über die Weboberfläche in Gang gesetzt? Das waren fast 3 Stunden.
Nun wurde 5 mal mit jeweils einen anderen Benutzer versucht sich anzumelden.

2024_05_21 (1 Jahr und 8 Monate später)
Benutzer ist wieder drin.

Der Admin Benutzer wurde das letzte mal am 23.07.2021 geändert? Müsste hier nicht das Datum vom Admin-Hardreset sein?

Habe ich das alles richtig erkannt?
Wie wirkt der Ablauf auf euch?
PS: Es gibt diese ofizielle Anleitung. (Wie melde ich mich an, wenn ich das Kennwort für mein Administratorkonto vergessen habe?)

 

[Ronny1978]

Hallo @ElaCorp ,

ich bin mir jetzt nicht sicher, wie wir hier helfen sollen und was das Problem ist. Jedoch kann ich ich dir schon einmal verschiedene Hinweise geben damit das

Hier wurde 8 Mal mit dem Benutzer "Paul" 14 mal mit "admin" und 1 mal mit "administrator" händisch versucht sich anzumelden.

eben nicht passiert:

1. ein neues Konto mit Adminrechten anlegen, was eben NICHT Admin heißt.
2. Admin-Konto DANACH DEAKTIVIEREN
3. Kontoschutz auf 2 oder 3 Anmeldungen innerhalb einer Minute setzen -> Aussperrzeit auf 990 Minuten hochsetzen
4. Autoblock anschauen -> ebenso nur 2 oder Anmeldungen innerhalb einer Minute
5. 2FA für das/die Admin Konto/Konten AKTIVIEREN!!!!!!!!!
6. Zugang vom Internet einschränken, wenn es geht mit VPN Benutzen + Standardports ändern!!! + ggf. Reverse Proxy verwenden


Du scheinst ja nach 2-3 Jahren immer noch das Admin Konto aktiv zu halten.

 

[metalworker]

Grüße ,

was genau ist eigentlich dein Anliegen?

Das Log zeigt das du auch geschrieben hast.

 

[ElaCorp]

Hallo @Ronny1978 danke für deine Rückmeldung. Es war aber ein neues Test NAS welches noch nicht Produktiv eingesetzt wurde. Ich weiß diese Dinge, und habe Sie auch bei den Main NAS so eingestellt. Nur das 2FA habe ich hinzugefügt.

Mein Ziel ist es, zu verstehen, was da passiert ist. Habe ich das alles richtig erkannt? Weil, ich erst euch danach sage, warum mich das so interessiert. (Zuerst möchte ich eure Gedanken wissen) Kann man anhand des Logs sehen, dass ob der User mit dem standart User angemeldet war? Ist der auf die Box gekommen oder nicht?

@metalworker
OK, mehr seht ihr nicht? Ich hab das gut zusammengefasst?
Naja, die Antwort ist, ich hatte eine Hausdurchsuchung wegen einer eMail in der sich eine Beamtin beleidigt fühlte. Dabei wurden die Geräte mitgenommne. Das war der IT "Spezialist" der sich das Gerät angeschaut hat. =D
Vor Gericht hab ich alles gewonnen und das war unverhältnismäßig.

 

[ElaCorp]

Kann ich nachschauen welches Passwort das Konto admin vergeben hat?
EDIT: Scheint als HASH gespeichert zu sein. Dann ist es egal.

 

[metalworker]

Eine Hausdurchsuchung wegen Ner kleinen Beleidigung?
Interessant


Ob er auf der Box war kannst schlecht erkennen.
Normal machen die in der Forensik vorher noch ne Bit Kopie der Platten

 

[ElaCorp]

@metalworker Naja, im Protokoll sehe ich grob einige Einträge. Ich denke nicht, dass die viel gemacht haben.

PS: Warum findet du das interessant?

 

[metalworker]

Naja ist ja schon eine eher unübliche Aktion für ne profane Beleidigung.


Naja das Protokoll gibt ja nur das wieder was im DSM geloggt wird .

SSH oder direkte Konsole wird da nicht angezeigt

 

[Jim_OS]

PS: Warum findet du das interessant?

Vermutlich weil das irgendwie mit Kanonen auf Spatzen schießen war, sprich eine Hausdurchsuchung wegen einer Beleidigung per Email. Ja klar es diente der Beweissicherung, aber trotzdem finde ich das unverhältnismäßig:

A) Das die Beamtin so etwas überhaupt angezeigt hat. Was natürlich ihr gutes Recht war.
B) Das die Staatsanwaltschaft in so einem Fall statt nur einfach z.B. einen Anhörungsbogen an den Beschuldigten zu schicken und sich mit dem Beweis der empfangenen Email zu begnügen, gleich die ganz große Keule hervorholt und zusätzlich einen richterlichen Beschluss für eine Hausdurchsuchung einholt und der entscheidende Richter in dem Fall eine Durchsuchung auch noch für gerechtfertig gehalten hat und somit den Beschluss erteilt hat.

Wenn die Staatsanwaltschaft und die Polizei jeder Beleidigung per Email oder im Internet so nachgehen würde/müsste, dann hätte die wohl kaum noch Zeit für irgendwelche sonstigen Aufgaben.

Edit: Hat sich gerade mit der Antwort von @metalworker überschnitten.

VG Jim

 

[patrickn]

Ich sag nur ..gate https://www.spiegel.de/panorama/jus...aessig-a-de489269-6589-453f-896f-56e728128cea

 

[metalworker]

Ach krass, hab ich gar nicht mitbekommen.

Also ich find es schon immer Traurig was sich im Internet so beleidigt wird. Schade das die Menschen es nicht mehr hinbekommen sich normal auszudrücken.
Aber deswegen ne Haussdurchsuchung ist ja echt bitter .
Da frag ich mich eher ,was der Richter da gesehen hat das sowas angemesssen ist.

 

[peterhoffmann]

Normal machen die in der Forensik vorher noch ne Bit Kopie der Platten

So wäre das Vorgehen eines Profis.
Aber so wird es nicht immer gemacht.

Kleine Geschichte dazu:
Bei einer Kundin (gewerblich) wird bei einer Hausdurchsuchung (9 Uhr) u.a. ein Laptop beschlagnahmt. Die Kundin stimmt der Beschlagnahme im Durchsuchungsprotokoll nicht zu. Die Gegenstände werden mitgenommen, dürfen dadurch aber erst nach einer richterlichen Entscheidung gesichtet werden.
Nach 8 Monaten bekam die Kundin ihr Laptop wieder und brachte es direkt zu uns. Wir konnten nachweisen, dass das Gerät um 11:04 Uhr am Tage der HD noch gestartet wurde, ganz normal, einfach so eingeschaltet und dann 53 Minuten benutzt wurde. Fazit: Da hat niemand gewartet bis die Beschlagnahme richterlich abgesegnet wurde.

Merkzettel:

• In der "Forensik" der Polizei wird nicht immer wie bei Profis gearbeitet. Da wird auch mal ein Gerät einfach so gestartet um mal "zu gucken", was da so Schönes auf der Platte liegt.
• Vertraue nie der Polizei, es sind auch nur Menschen, die gegen Gesetze verstoßen (z.B. Sichtung von beschlagnahmten Geräten ohne richterliche Entscheidung).

Folgen für den Einsatzleiter der HD: Keine. Am Ende konnte sich keiner erinnern, ob und wer überhaupt das Laptop gestartet hat.

das sowas angemessen ist

Der Schutz der Wohnung ist in Deutschland gefühlt hoch, in Wirklichkeit ist der Schutz eher in Bodennähe zu finden.
Die Begründungen werden von der StA vorgefertigt, damit der Richter so wenig Arbeit wie möglich hat. Am Ende muss er nur noch nicken und unterschreiben. Man kennt sich ja, das wird alles schon so richtig sein. Kritische Richter findet man eher nicht, sie sind auch nicht gewollt. Das würde ja den "Ablauf" ins Stocken bringen.

 

[metalworker]

Ja Schwarze Schafe gibts immer.

Ich hatte in meiner Letzten Firma auch immer mal wieder Kunden die ne Durchsuchung hatten.
Oder welche die sich davor sichern wollten.

Und soll ich mal ehrlich sein , bei allen war es gerechtfertigt.
Einige hab ich dann selbst zur anzeige gebracht .


Ich bin da deswegen immer eher skeptisch.

 

[maxblank]

Auch deshalb ist es immer gut, die verfügbaren Verschlüsselungen einzusetzen - auch wenn diese noch so rudimentär sein sollten.
Das ist nicht nur auf eine Hausdurchsuchung bezogen, sondern generell, falls ein Gerät entwendet wird. Und wenn es der Arbeitslaptop nach der Arbeit vor dem Einkaufszentrum oder nach dem Kundentermin ist.

 

[ElaCorp]

@peterhoffmann Oh, ja, ich versteht dich so gut. Ich könnte auch Tatsachen wiedergeben.