Protokoll-Center Warnhinweis blocked user Benutzername falsch?

Status
Für weitere Antworten geschlossen.

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Hallo Forum,

das Protokoll-Center hat gestern 10 fehlgeschlagene Loginversuche von der selben IP-Adresse für den Benutzer "admin" registriert.
Danach wurde der Host, also die IP-Adresse geblockt.

Soweit so gut. Allerdings verstehe ich nicht, warum im Protokoll-Center unter dem Eintrag "Host XXX.XXX.XXX.XXX was blocked via [DSM].", nicht der Benutzer "admin" steht, sondern ein anderer Benutzer der DS:

Protokoll-Center.jpg

(IP-Adresse und Nutzername tlw. geschwärzt)

Wenn ich im Protokoll-Center zum letzten ähnlichen "Vorfall" zurück gehe, bei dem ebenfalls 10 fehlgeschlagene Loginversuche für den Benutzer "admin" vorliegen, wird dort auch ein anderer Benutzer angezeigt als admin.

Ich geh davon aus, dass das ein Bug ist! Kann das damit zusammenhängen, dass ich den User "admin" deaktiviert habe?

Grüße
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
warum sollte kein anderer Benutzer drin stehen?
Wenn jemand probiert mit einem anderen Benutzer als admin und hat nicht das richtige Passwort dann wird es auch blockiert.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Hast du alles gelesen?
Der Benutzer "admin" hat 10x das falsche Passwort eingegeben und unter dem Eintrag "Host (...) was blocked" steht ein anderer Benutzer.
Macht ja wenig Sinn Benutzer X zu sperren, wenn Benutzer Y das Passwort falsch eingibt.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
warum nicht? Es gibt doch auch andere Gründe um eine IP zu sperren. Es kann doch jeder Benutzer gesperrt werden.
Wem gehört denn die IP welche geblockt wurde?
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Selbstverständlich kann jeder Nutzer gesperrt werden, aber das ergibt doch keinen Sinn.
Benutzer admin gibt 10x das Passwort falsch ein und ein anderer Benutzer wird eine Sekunde später gesperrt.
Warum sollte das so sein?
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.186
Punkte für Reaktionen
873
Punkte
268
wieso nicht? Die IP wurde ja gesperrt. Das ist doch egal welcher User dahinter steckt.

Autoblock sperrt nicht User sondern IP oder IP-Bereich , das kann auch nach Ländern, oder Regionen etc aktiviert sein.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Das mit der IP-Adresse oder einem IP-Adressenbereich macht Sinn.
Ich verstehe dann aber die Logik nicht, warum dafür dann ein Benutzer angezeigt wird.
Wo ist der Zusammenhang zwischen dem Benutzernamen, der bei der Sperrung ("Host (...) was blocked") angezeigt wird und den fehlerhaften Loginversuchen?
 

c0smo

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
08. Mai 2015
Beiträge
6.590
Punkte für Reaktionen
1.172
Punkte
254
Gibt es den Benutzer? Vielleicht wurde erst versucht sich als admin anzumelden und danach als benutzer?! IP ist die gleiche?
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
616
Punkte
484
Benutzer admin gibt 10x das Passwort falsch ein und ein anderer Benutzer wird eine Sekunde später gesperrt.
Warum sollte das so sein?

Das "Warum" werden wir nur schwerlich klären. Das "Ob" kannst du aber doch selbst schnell durch einen Selbstvesuch herausbekommen.
 

Geograph

Benutzer
Mitglied seit
15. Okt 2014
Beiträge
82
Punkte für Reaktionen
0
Punkte
6
Das "Warum" werden wir nur schwerlich klären.

Darum geht's mir aber. Gerade wenn es um sicherheitsrelevantes geht, würde ich schon gerne verstehen, was die Software da vor hat.
Ich dachte, vielleicht hat schon mal jemand ähnliches beobachtet.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ich würds mal so vermuten, ohne DSM internals zu kennen.

Die Synology blockt die IP, da x Fehlversuche. Einen tatsächlichen User in der Session gibt es ja nicht, da ja keiner angemeldet ist. Scheint so das entweder zufällig einer genommen worden ist, oder das war der letzte Benutzer der hier irgendwo zB. in einem ThreadLocal gesetzt war und ggf. nicht sauber zusammengeräumt wird oder sonst was.
Aber da die Sperre ja pro IP ist, und nicht pro User, sollte das ziemlich egal sein.

Also so quasi, nehmen wir irgendeinen, damit wir hinten beim Protokoll keinen Nullpointer-auslösen können :rolleyes:
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
616
Punkte
484
So, ich hab's dann einfach mal probiert. Führt meines Erachtens meist am schnellsten zum Ziel.

5 Anmeldeversuche von der gleichen IP aus, immer mit einem anderen Benutzernamen. Alle schlagen fehl. Nach dem fünften Anmeldeversuch ist die IP blockiert.
 

tproko

Benutzer
Sehr erfahren
Mitglied seit
11. Jun 2017
Beiträge
2.101
Punkte für Reaktionen
253
Punkte
129
Ja. Der TE wollte aber wissen, warum da irgendein Benutzer steht.
Aber ich denke, das können wir ihm auch nicht beantworten.

@Geograph: Du kannst ja mal ein Ticket an Synology schicken, vielleicht beantworten sie dir dann ja die Frage.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.973
Punkte für Reaktionen
616
Punkte
484
Jo, hab ich auch schon in Post#9 festgestelt. ;)

Kann sein, dass da "irgendein" Benutzer steht. Falls ja -> Synology fragen. Kann aber auch sein, dass es zufällig dann der Benutzer war, den das Log auswirft. Das muss man ja zunächst einmal eruieren.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat