DSM 6.x und darunter mehrfache Blockierungseinträge für identische IP im Protokoll

Petra · 11. Jan 2014

Hallo Community,

vor vielen Monaten hatte ich bereits ein ähnliches Problem, welches im Thread System-Protokoll zeigt unplausible Einträge des SYSTEM-Benutzers gelöst zu sein schien, sobald ich auf die neue Firmware DSM 3.2-1992 umgestiegen war. Diese Firmware nutze ich immer noch und es zeigt sich seit kurzem wieder gehäuft folgendes Problem:

Ein blockierter externer Nutzer erscheint MEHRFACH im System-Protokoll. Hier ein aktueller Auszug:

Rich (BBCode):

Information	2014/01/11 12:09:07	admin	System successfully stopped Photo Station service.
Warning		2014/01/11 11:52:43	SYSTEM	Host [61.191.191.239] has been blocked at [Sat Jan 11 11:52:43 2014].
Information	2014/01/11 11:40:33	admin	User [admin] logged in from [192.168.1.30]
Information	2014/01/11 10:54:39	SYSTEM	Apple file service was started.
Information	2014/01/11 10:54:36	SYSTEM	Windows file service was started.
Information	2014/01/11 10:54:04	SYSTEM	System started to boot up.
Information	2014/01/11 01:00:23	SYSTEM	Windows file service was stopped.
Information	2014/01/11 01:00:21	SYSTEM	Apple file service was stopped.
Warning		2014/01/11 00:02:25	SYSTEM	Host [95.154.26.197] has been blocked at [Sat Jan 11 00:02:19 2014].
Warning		2014/01/11 00:02:24	SYSTEM	Host [95.154.26.197] has been blocked at [Sat Jan 11 00:02:23 2014].
Warning		2014/01/11 00:02:10	SYSTEM	Host [95.154.26.197] has been blocked at [Sat Jan 11 00:02:10 2014].
Warning		2014/01/10 11:43:13	SYSTEM	Host [118.98.97.168] has been blocked at [Fri Jan 10 11:43:12 2014].
Warning		2014/01/10 11:42:59	SYSTEM	Host [118.98.97.168] has been blocked at [Fri Jan 10 11:42:59 2014].
Warning		2014/01/10 10:27:08	SYSTEM	Host [202.85.221.153] has been blocked at [Fri Jan 10 10:27:08 2014].
Information	2014/01/10 08:27:51	SYSTEM	Apple file service was started.
Information	2014/01/10 08:27:49	SYSTEM	Windows file service was started.
Information	2014/01/10 08:27:16	SYSTEM	System started to boot up.
Information	2014/01/10 01:00:25	SYSTEM	Windows file service was stopped.

In meiner DS209 sind dabei nur folgende Ports offen: FTP und SSH.

Folgende Fragen dazu:

(1) Wie kann es kommen, dass trotz erfolgreicher Blockierung einer IP ein weiterer Anmeldeversuch mit gleicher IP gestattet wird?
(2) Wie kommt es zu den Unplausibiltäten zwischen Protokollier- und Detektionszeitpunkt? Die Detektion des mittleren Eintrags erfolgt zuletzt, wird aber als zweites protokolliert. Bei genauerer Betrachtung fällt auch auf, dass die Detektions- und Protokollierungszeitpunkte hier unüblich weit aus einander liegen (z.B. 5 Sekunden). Ein Hänger in der Verarbeitung innerhalb der DS?
(3) Existiert vielleicht bereits ein weiter ähnlicher Beitrag, den ich bisher übersehen hatte?

Ein frohes neues Jahr noch!

Vielen Dank und Gruß
Petra

Anzeige · 11. Jan 2014

Hallo Petra,

Bücher und Hardware zum Thema gibt es bei Amazon: mehrfache Blockierungseinträge für identische IP im Protokoll

Petra · 17. Mai 2014

Hallo nochmal,

dieses Forum ist der einzige Ort, an dem ich hoffe, Informationen und Hilfe zu finden. Leider gab es auf meinen letzten Beitrag bisher keine Reaktion, so dass ich immer noch mit der Unsicherheit lebe, dass das System an möglicherweise sicherheitsrelevanten Stellen nicht zuverlässig funktioniert.

Heute trat das Problem nochmals in verstärkter Form auf (achtmalige Blockierung der gleichen IP, obwohl eigentlich nach einer erfolgreichen Blockierung keine weitere Blockierung notwendig sein sollte):

Rich (BBCode):

Information  2014/05/17 10:09:17  admin   User [admin] logged in from [192.168.1.31]
Information  2014/05/17 09:17:22  SYSTEM  Apple file service was stopped.
Warning      2014/05/17 07:04:14  SYSTEM  Host [87.98.252.201] has been blocked at [Sat May 17 07:04:14 2014].
Warning      2014/05/17 06:23:54  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:44 2014].
Warning      2014/05/17 06:23:53  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:43 2014].
Warning      2014/05/17 06:23:53  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:44 2014].
Warning      2014/05/17 06:23:52  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:43 2014].
Warning      2014/05/17 06:23:52  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:43 2014].
Warning      2014/05/17 06:23:50  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:42 2014].
Warning      2014/05/17 06:23:48  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:42 2014].
Warning      2014/05/17 06:23:34  SYSTEM  Host [110.76.194.237] has been blocked at [Sat May 17 06:23:34 2014].
Warning      2014/05/17 00:44:34  SYSTEM  Host [222.163.192.162] has been blocked at [Sat May 17 00:44:34 2014].
Warning      2014/05/16 19:16:13  SYSTEM  Host [83.240.153.178] has been blocked at [Fri May 16 19:16:13 2014].
Warning      2014/05/16 10:35:28  SYSTEM  Host [1.93.30.190] has been blocked at [Fri May 16 10:35:28 2014].
Information  2014/05/16 09:35:20  SYSTEM  Apple file service was started.
Information  2014/05/16 09:35:18  SYSTEM  Windows file service was started.
Information  2014/05/16 09:34:44  SYSTEM  System started to boot up.

Ich würde mich sehr über Erläuterungen, Ideen oder Antworten (siehe vorhergehenden Beitrag in diesem Thread) freuen. Gibt es sonst eine andere Stelle, an die ich mich wenden könnte?

Vielen Dank.
Petra

stefan_lx · 18. Mai 2014

Wenn mit der gleichen IP-Adresse mehrfach versucht wird, auf die syno zuzugreifen, ist das korrekt, weil auch jeder weitere Zugriffsversuch blockiert und protokolliert wird... Um zu entscheiden, ob der Zugriff erlaubt ist, muss Autoblock mal erst feststellen welche IP-Adresse ankommt, dann erst kann bestimmt werden, ob die IP darf oder nicht ...

Die Uhrzeit des Eintrags ist - wenn ich das richtig sehe - immer später oder gleich der Blockierung.. es kann schon sein, dass die Einträge verzögert ins Log geschrieben werden, wenn autoblock gerade noch beschäftigt ist..

Stefan

Petra · 19. Mai 2014

stefan_lx schrieb:
Wenn mit der gleichen IP-Adresse mehrfach versucht wird, auf die syno zuzugreifen, ist das korrekt, weil auch jeder weitere Zugriffsversuch blockiert und protokolliert wird... Um zu entscheiden, ob der Zugriff erlaubt ist, muss Autoblock mal erst feststellen welche IP-Adresse ankommt, dann erst kann bestimmt werden, ob die IP darf oder nicht ...

Die Uhrzeit des Eintrags ist - wenn ich das richtig sehe - immer später oder gleich der Blockierung.. es kann schon sein, dass die Einträge verzögert ins Log geschrieben werden, wenn autoblock gerade noch beschäftigt ist..

Stefan

Hallo Stefan,

meine eigene Erfahrung ist folgende: Immer wenn ich mich selbst durch mehrfache Zugangsdaten-Falscheingabe "ausgeschlossen" habe, sehe ich einen einzigen Eintrag mit Nennung meiner entsprechenden IP-Adresse im Blockierungs-Log. Wenn ich dann erneut versuche mich von der gleichen IP-Adresse aus per FTP einzuloggen, werde ich sofort abgewiesen, so dass ich nicht einmal den Login-Namen eingeben kann (geschweige denn durch Eingabe eines Passworts den Login-Versuch abschließen). In dem Log findet die erste Blockierung der IP zu folgender Uhrzeit statt: Sat May 17 06:23:34 2014. Das wird auch geloggt. Damit sollten die weiteren Blockierungen, die nach 06:23:34 stattfinden, nicht mehr nötig / möglich sein.

Auch die Erläuterungen der damaligen Synology-Spezialisten deuteten auf einen klaren Bug hin, der durch Installation der neuen Firmware/Software behoben sein würde. Das war dann auch so. Bis es halt wieder auftrat. Du kannst das damalige Thema hier nachlesen, wenn Du magst:
http://www.synology-forum.de/showth...ble-Eintr%E4ge-des-quot-SYSTEM-quot-Benutzers

Gibt es noch andere Erklärungen / Vorschläge?

Danke.