DSM 6.x und darunter Login

[rollsyn_001]

Hallo zusammen,
meine Synology sendet mir entsprechend gewünschte Ereignisse via Email. In der heutigen Nacht so gegen drei Uhr war ein Login auf DSM mit meinem user. Die dazugehörige IP wird einmal der USA und einmal in Deutschland angezeigt (je nach mit welchem Tool gesucht wird).
Habe heute morgen gleich den user deaktiviert, alle Ports geschlossen, Virenprogramm laufen lassen. Nichts auffälliges. Es funktioniert noch alles.
Mir rätselhaft. Schlafwandeln tue ich auch nicht.
Was würdet Ihr mir raten, welche Tools kann ich verwedenden um zu suchen, ob Daten transferiert wurden oder in welchen Ecken würdet Ihr suchen?

Vielen Dank für Eure Hilfe
Gruß

 

[ottosykora]

kommt noch etwas darauf an wie dein User heisst, Automaten versuchen so die gängigsten Namen zuerst.
Was steht in Logcenter? Hat sich ein Angreifer tatsächlich eingeloggt? Da kann man auch versuchen zu sehen ob Files verschoben wurden.
Ich denke aber nicht, ich denke dein Anschluss ist einfach auf eine Bot Liste gekommen weil da etwas auf Port 5000 oder 5001 reagiert.

Und wenn du ein einigermassen brauchbares Passwort hast, ist es gar nicht so einfach sich einzuloggen.
Ist die DS mal als lebendig den Bots bekannt, dann gibt es dauernd Angriffe auch wenn es eigentlich sinnlos ist.
Dann kann man 'verschleiern' in dem man etwas ungewöhnliche Ports von aussen her verwendet, also zum Bsp in einem 5-stelligen Bereich. Die Bots klappern oft nur die originalen 5000/5001 ab.

 

[rollsyn_001]

Danke njanert,
Locenter steht nur [mein usernahme] fom [ip4-Adresse] logged in successfully via DSM. (Der username ist kein Admin)
Kann nichts weiter auffälliges, kann nichts erkennen. Ich jedenfalls nicht. Kann es sein, dass dass eine App wie DS-Note, oder vom Handy Davx5 dies verursacht hat, aber der geht ja nicht über die DSM, oder?

 

[Benie]

logged in successfully

würde ja bedeuten daß derjenige eingeloggt war.

Verwendest Du irgend einen VPN Dienst über ein Virenprogramm?

 

[rollsyn_001]

Auf meinem PC, Android Tablet und Mobiltelefon habe ich Cyberghost laufen ebenso AVG. Auf der Synology VPN-server und Antivirus Essential.

 

[ottosykora]

dann hast du dich vielleicht selber eingeloggt von USA aus?

 

[rollsyn_001]

nein, bin ja nicht in den USA . Aber Spass beiseite. War nachts um drei. Da habe ich geschlafen. Die gleiche IP wird auch in Frankfurt am Main verwendet. der VPN auf der Syno ist nicht aktiv. Wo kann man auf der syno nacht Datentraffic suchen?

 

[ottosykora]

was macht der Cyberghost?

 

[Benie]

nein, bin ja nicht in den USA . Aber Spass beiseite.

Das hat ja nichts mit Spaß zu tun, ich benütze zb. auch das VPN über das Vierenprogramm gerade zum Surfen. Und wenn ich da manchmal schaue von wo aus überall meine Ip kommt, das geht um die ganze Welt.

Schau im Protokoll-Center in den Protokollen nach, da steht dann in der Regel genau welcher User wann mit welcher IP, am Ende auch mit welchem PC usw. oder wer sonst eingeloggt war.

 

[rollsyn_001]

Cyberghost ist ein VPN-Tool. Dieses läuft permanent auf meinem Smartphone.

 

[Benie]

Cyberghost ist ein VPN-Tool

Ja und denkst Du das Cyberghost mit einer statischen IP arbeitet? Genau das ist ja der Trick dabei, daß es von überall sein kann weil es über unzählige Server läuft und niemand Dein tun so richtig nachverfolgen kann. Zudem auch hiermit kannst Du zumindest das Land festlegen wo Du gerade sein willst. zb. um auf bestimmten Seiten zu surfen ohne daß man sieht daß Du in Good Old Germany" sitzt.

 

[rollsyn_001]

Hallo Benie,
der genaue Text des Log protokolls lautet:

User [mein user] from [externe 4v-IP-Adresse] logged in successfuly via [DSM].

Mehr nicht.

 

[synfor]

in welchen Ecken würdet Ihr suchen?

Jedenfalls nicht im Wiki-Forum. Da gehört dieser Thread nicht hin. Die meisten anderen im Forum allerdings ebenso wenig.

 

[Benie]

@rollsyn_001

Ja also, dann hat sich auf jedenfall jemand sattelfest übers DSM eingeloggt. Gerät ist ja nicht immer ersichtlich.

 

[ottosykora]

User [mein user] from [externe 4v-IP-Adresse] logged in successfuly via [DSM].

ja und die IP ist dann die Exit Point Adresse des Cyberghost zu dem Zeitpunkt

 

[rollsyn_001]

Bin nicht so versiert. Was bedeutet dies nun? Danke im voraus.

 

[Benie]

Das ist die IP Adresse die zb. Cyberghost dann anstatt Deiner IP Adresse ausgibt, so weiß eben niemand Deine ware Herkunft bzw. kann Deine wirkliche IP loggen. Müsstest Du aber sogar jederzeit in Cyberghost wärend der Verwendung einsehen können mit welcher IP Du quasi gerade unterwegs bist..

 

[ottosykora]

Bin nicht so versiert.

na ja, auch mit solchen Sachen muss man zuerst umgehen können und die Funktionen genau kennen
Entferne also Cyberghost von allen deinen Geräten und dann hast du diese Probleme nicht mehr

 

[Benie]

VPN ist eben nicht VPN

Soweit möglich, solltest Du aber schon noch klären wie es zu diesem Loggin kam, ansonsten ist es das mindeste was Du tun mußt, das Password auf ein neues und sicheres Paswort zu ändern.
Wir hatten hier noch vor garnicht allzulanger Zeit auch so einen Fall, nur da war dann Ramsonware im Spiel und die ganze DS sammt USB-BackUp waren unerreichbar verschlüsselt.

 

[rollsyn_001]

Das ist die IP Adresse die zb. Cyberghost dann anstatt Deiner IP Adresse ausgibt, so weiß eben niemand Deine ware Herkunft bzw. kann Deine wirkliche IP loggen. Müsstest Du aber sogar jederzeit in Cyberghost wärend der Verwendung einsehen können mit welcher IP Du quasi gerade unterwegs bist..

Das ist die IP Adresse die zb. Cyberghost dann anstatt Deiner IP Adresse ausgibt, so weiß eben niemand Deine ware Herkunft bzw. kann Deine wirkliche IP loggen. Müsstest Du aber sogar jederzeit in Cyberghost wärend der Verwendung einsehen können mit welcher IP Du quasi gerade unterwegs bist..

OK, ich habr um diese Zeit mein Smartphon gar nicht genutzt. Wie kann dann ein Login erfolgen? Das dies was mit cyberghost zu tun hat, erscheint mir jetzt auch irgendwie klarer, da ich bei der IP-Rückverfolgung zwei identische Adressen mit unterschiedlichen Nutzern fand. So arbeiten ja diese Dienste ja.