DSM 6.x und darunter System-Protokoll zeigt unplausible Einträge des "SYSTEM"-Benutzers

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo,

vor wenigen Wochen habe ich meine DS209 von DSM v2.2 auf DSM v3.1 aktualisiert. Und seitdem gibt es einen "SYSTEM"-User, der (anstelle des damaligen "admin"-Users) sich für die System-internen Aktivitäten verantwortlich zeigt. Dies ist im System-Protokoll sichtbar, das ich von Zeit zu Zeit über WinXP und das WebLogin im LAN anzeigen lasse. Hier nun ein Auszug aus dem Protokoll, der mir etwas Kopfschmerzen bereitet:

Typ Datum & Zeit Benutzer Ereignis
Information 2011/04/23 20:48:53 admin User [admin] logged in from [192.168.1.33]
Information 2011/04/23 19:48:34 admin User [admin] logged in from [192.168.1.33]
Warning 2011/04/23 19:43:48 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 19:43:47 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 19:43:33 SYSTEM Host [199.111.38.62] has been blocked at [...].
Warning 2011/04/23 14:12:14 SYSTEM Host [194.73.255.187] has been blocked at [...].
Warning 2011/04/23 03:18:09 SYSTEM Host [195.88.82.99] has been blocked at [...].
Warning 2011/04/22 22:57:30 SYSTEM Host [120.199.49.50] has been blocked at [...].
Warning 2011/04/22 20:12:34 Administrator Host [58.22.116.179] has been blocked at [...].
Warning 2011/04/22 17:43:16 SYSTEM Host [184.172.142.33] has been blocked at [...].
Warning 2011/04/22 13:39:19 SYSTEM Host [61.183.16.199] has been blocked at [...].
Warning 2011/04/22 10:35:27 SYSTEM Host [190.60.228.170] has been blocked at [...].
Information 2011/04/22 08:45:27 SYSTEM Apple file service was started.

(1) Stimmt es, dass der "SYSTEM"-User die alten "admin"-User-Aktivitäten auf der DiskStation verantwortet? Und wie ist es dann möglich, dass der "SYSTEM"-User von seiner eigenen DiskStation geblockt werden kann? Vor dem Update habe ich den User "SYSTEM" nie zu Gesicht bekommen und nun versucht er scheinbar meine Station zu erstürmen.

(2) Die Einstellungen auf meiner DiskStation blockieren einen fehlerhaften Loginversuch beim drittenmal permanent. Wie kann es dann passieren, dass dreimal hintereinander DER GLEICHE HOST blockiert wird, wo er doch eigentlich schon nach der ersten Blockierung keinen Zugriff mehr haben sollte?

(3) Ist der "SYSTEM"-User vielleicht eine Art Superuser, der auch von außen (LAN oder WAN) auf die DiskStation zugreifen kann und für den die Blockier-Vereinbarung nicht gilt? Damit hätte der "SYSTEM"-User dann ja unendlich viele Versuche offen, meine DiskStation zu knacken...

Über Erklärungen und Anregungen würde ich mich freuen.

Gruß
Petra
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Moin

SYSTEM und Administrator bezeichnen den User unter dem der Prozess der das Warning ins Log geschrieben hat lief / läuft.

Und der 199.111.38.62 wird halt 3 Mal versucht haben die DSM Anmeldeseite zu bekommen. Das er dort aufgeführt wird, heißt ja
nicht, dass er die Seite auch zu sehen bekommen hat.....

Meines Wissens nach ist System ein Prozess, bzw der Nutzer unter dem der Prozess läuft der da die Meldung geschrieben hat.

Grüße
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo Guper-Grobi,
hallo zusammen,

> SYSTEM und Administrator bezeichnen den User unter
> dem der Prozess der das Warning ins Log geschrieben
> hat lief / läuft.

das scheint hier aber anders zu sein, denn in der Spalte "Benutzer" steht bei Blockierungs-Warnungen in der Regel der User, unter dem der Login-Versuch gestartet wurde, nicht der, der den Log-Eintrag schreibt (siehe dazu die Zeile, in der "Administrator" fett dargestellt ist).

> Und der 199.111.38.62 wird halt 3 Mal versucht haben die
> DSM Anmeldeseite zu bekommen. Das er dort aufgeführt wird,
> heißt ja nicht, dass er die Seite auch zu sehen bekommen hat.....

Genau das soll ja durch die Blockierung verhindert werden, dachte ich. Ich hatte selbst einmal versucht, mich nach dreimaligem Falsch-Login (und erfolgter Blockierung) erneut anzumelden. Ich kam aber nicht mehr ins System, da eben die IP blockiert wurde (dazu aber nur EIN Eintrag im Log). Eine mehrmalige Blockierung sollte aus meiner Sicht logisch nicht möglich sein, wenn die DiskStation sich an ihre eigenen Regeln hält.

> Meines Wissens nach ist System ein Prozess, bzw der
> Nutzer unter dem der Prozess läuft der da die Meldung
> geschrieben hat.

s.o.

Gibt es noch weitere/andere Erklärungsmöglichkeiten? Mir ist das Thema wichtig, da diese Effekte für mich aktuell wie eine Sicherheitslücke aussehen... :(

Gruß
Petra
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Gibt es noch weitere/andere Erklärungsmöglichkeiten? Mir ist das Thema wichtig, da diese Effekte für mich aktuell wie eine Sicherheitslücke aussehen... :(
Jedes Blocken wird in den Logs vermerkt. Wenn ich 10x versuche bei dir einzusteigen, wird meine IP wohl auch 10x genannt werden in deinen Logs (und diese obwohl ich bereits ab dem 3. Versuch geblockt bin)
Soviel ich weiss gibt es auf der DS keinen User SYSTEM, drum iritiert mich diese Meldung ein wenig
Code:
Information	2011/04/22 08:45:27	[B]SYSTEM[/B]	Apple file service was started.
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Hallo jahlives,
hallo zusammen,

Jedes Blocken wird in den Logs vermerkt. Wenn ich 10x versuche bei dir einzusteigen, wird meine IP wohl auch 10x genannt werden in deinen Logs (und diese obwohl ich bereits ab dem 3. Versuch geblockt bin)

Meine Erfahrung ist anders. Da nach dem dritten Fehlversuch die Blockierung erfolgt, wird meine IP für alle weiteren Versuche gesperrt. D.h. mir wird der "login" gar nicht mehr ermöglicht. Es sei denn ich wechsle auf eine andere IP-Adresse und versuche es von dort erneut. Dann dürfte aber nicht die gleiche IP-Adresse im Log aufgeführt sein.

Soviel ich weiss gibt es auf der DS keinen User SYSTEM, drum iritiert mich diese Meldung ein wenig

hmmm... scheint aber doch so zu sein. Dieser kam erst mit DSM v3.1 ins Spiel.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@Petra
das findest du ja schnell raus: Lass deine LAN IP blocken und guck ob bei weiteren Zugriffen das geloggt wird oder nicht
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
@jahlives: das habe ich gemacht. Es verhält sich so, wie von mir beschrieben. Deshalb ja dieses Thema.
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Hi Petra,

ja stimmt, Administrator ist schon komisch....

Moment, ich Test mal bei mir eben was da wann bei mir kommt....

Ich habe mich versucht als "Testman" im DSM einzuloggen, 5 mal, und dabei kommt bei mir nur ein Eintrag

Warning 2011/04/26 14:35:47 SYSTEM Host [84.143.16.xxx] has been blocked at [Tue Apr 26 14:35:47 2011].

und der natürlich auch erst nach der Blockierung, neues einloggen unter dieser IP bringt erst mal keinen neuen Eintrag solange ich mit "Testman" probiere. Auch wenn ich jetzt weiter mit anderen Namen probiere, bekomme ich keinen neuen Eintrag. (DSM3.1 1605)

D.h. zumindest beim einloggen im DSM ist SYSTEM nicht der Name mit dem versucht wurde sich einzuloggen. Dann wundert mich aber noch mehr, wie es zu dem "Administrator" kommen konnte. Eigentlich kennt die DS doch nur "admin"?!?

Welche DSM Version nutzt Du denn? Vielleicht ist das Verhalten ja dadurch auch unterschiedlich...

[Edit]
ach ja, den automatischen Reblock hab ich deaktiviert
Grüße
S.Grobi
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
@Super-Grobi: ich verwende aktuell DSM v3.1 (damals, als alles noch anders funktionierte, DSM v2.2)

danke für's ausprobieren :)
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
danke für's ausprobieren :)
Janee, das ist reiner Selbstschutz-Eigennutz. Bin da etwas paranoid aufgestellt.... :D

Auf welchen Diensten kommt man den bei Dir auf ein Login?
Ich hab's bei mir nochmal mit richtigem Namen & falschem Passwort probiert, aber auch keine Änderung.

Schon komisch....
Welche 3.1 Version genau? Also welche Buildnummer?


Grüße
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Wegen dem Administrator Eintrag: Mal /etc/passwd geprüft ob es dort einen Administrator Eintrag gibt? Wie Grobi sehe ich es auch so, dass es eigentlich nur admin geben sollte. Alles andere wäre mir neu.
Als du noch mit DSM2.2 unterwegs warst, welche Services hast du denn von aussen erreichbar gehabt?
 

Petra

Benutzer
Mitglied seit
23. Apr 2011
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Wegen dem Administrator Eintrag: Mal /etc/passwd geprüft ob es dort einen Administrator Eintrag gibt?

"Administrator" ist bei mir im System nicht eingerichtet. Nur "admin" (Standard) und vielleicht fünf weitere händisch eingerichtete User. Nicht einmal "Guest".

Als du noch mit DSM2.2 unterwegs warst, welche Services hast du denn von aussen erreichbar gehabt?

telnet (später SSH) und FTP
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
mhm FTP hatte vor DSM3 eine einigermassen grosse Sicherheitslücke. Es war möglich dem admin der DS im DSM durch einen gefakten Loginversuch Code unterzuschieben. Diese Code kam zur Ausführung wenn der admin sich die Logs im DSM (Verbindungslogs) angeschaut hat. Es wäre möglich gewesen, wenn auch nicht ganz trivial, durch einen manipulierten FTP Login die DS zu kompromittieren.
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Hi.

Ok, der FTP isses. Da kann ich mich als Administrator anmelden und bekomme dann

Rich (BBCode):
Warning	2011/04/26 15:53:11	Administrator	Host [84.143.16.xxx] has been blocked at [Tue Apr 26 15:53:11 2011].

Aber auch nur einmal...

Ist ja auch ein büschen blöd, dass dies Namensfeld je nach Anwendung anders benutzt wird....


SSH kann ich nicht, da bin ich zu blöd für ....

Grüße
S.Grobi
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
Ah das würde mir etwas erklären. FTP basiert ja z.T. auf dem Samba der DS. Und Samba kennt vermutlich den Alias administrator für den admin, da der Kerl auf einem sehr häufig verbreiteten Clientsystem ja Administrator und nicht admin heisst
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Ok, dann muss ich das nochmal probieren mit hubbabubba o.ä. Mombi...
Nee, es ist einfach der Name der beim Login benutzt wird

Rich (BBCode):
Warning	2011/04/26 16:09:59	Hubbabubba	Host [84.143.16.xxx] has been blocked at [Tue Apr 26 16:09:59 2011].

Grüße
S.Grobi
 
Zuletzt bearbeitet:

itari

Benutzer
Mitglied seit
15. Mai 2008
Beiträge
21.900
Punkte für Reaktionen
14
Punkte
0
Ich hab den DSM 3.1 noch gar nicht installiert und kann deswegen gar nicht richtig mitreden :D

Das Protokoll im DSM ist kein Samba-Protokoll und kein Linux-Protokoll, sondern ein reines DSM-Protokoll. Will sagen, dass weder die /etc/passwd noch irgendwelche Windows-Geschichten dabei sind. Es ist schlicht der Login des DSM damit gemeint.

Die Protokollierung der Users im Protokoll stammt von DSM-Login-Fenster, also 'Administrator' was wohl ein Login-Versuch eines Menschen, der nicht weiß, dass es auf der DS keinen 'Administrator' gibt - könnte also ein Einbruchsversuch gewesen sein oder einfach auch die Schlafmützigkeit einen internen Users, der sich halt falsch angemeldet hatte ...

Der User 'SYSTEM' wird wohl jetzt für die Dienste, die der DSM (automatisch oder per cron) startet, verwendet. Also für Aktivitäten, wo sich kein konkreter User hinter verbirgt. Das ist eine Vermutung!!! Wie gesagt, ich hab je kein 3.1 drauf :D

Itari
 

Super-Grobi

Benutzer
Mitglied seit
28. Sep 2010
Beiträge
1.913
Punkte für Reaktionen
0
Punkte
62
Hi Itar,

nein, es legt sich anders dar.

Bei einem DSM login erhalten die Ausgaben im Log (zumindest bei DSM3.1 1605) den Namen SYSTEM.

Wenn ich aber mit dem FTP einen Loginversuch mache, so wird dort der per FTP mitgegebene Name im Log ausgegeben.
Nunja, solange man's weiß

Offen ist noch, wie es jemand bei Petra hin bekommen hat 3 Log-Einträge mit einer IP innerhalb weniger Sekunden zu erstellen...


Grüße
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@Super-Grobi
so langsam macht es klick bei mir. Unter SYSTEM wird geloggt was keinen lokalen Login hat. Du loggst dich zwar im DSM als admin ein, der Prozess (Webserver) läuft aber unabhängig davon immer unter root. Anders sieht es beim FTP oder Samba aus. Wenn ich mich dort als admin anmelde, dann läuft auch der Prozess unter dem admin.
Lange Rede kurzer Sinn: Beim Webserver (DSM) wird man wohl unabhängig vom User immer SYSTEM haben.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat