Toggle sidebar

Unbekannte Logins via SSH auf dem NAS

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
S

SaschaK94

Benutzer
Registriert
23. Juni 2014
Beiträge
16
Reaktionspunkte
0
Punkte
1
Guten Tag,

ich habe das komische Problem, das wohl von meinem NAS aus versucht wird, sich per SSH auf dem NAS anzumelden.

2017-04-12 10:17:01 Warning NAS-Server SYSTEM Connection User [usuario] from [127.0.0.1] failed to log in via [SSH] due to authorization failure.
2017-04-12 09:23:42 Warning NAS-Server SYSTEM Connection User [prueba] from [127.0.0.1] failed to log in via [SSH] due to authorization failure.
Zum Vergrößern anklicken....

Das komische ist, das dies von localhost 127.0.0.1 passiert, nicht - wie üblich - mit IP-Adressen aus dem Internet.
Kann sich dies jemand erklären?

Besten Dank.
 
Sieht sich für mich fast so an, als ob da wirklich jemand versucht bei Dir einzubrechen. Allerdings müsstest Du dann den Port 22 nach außen hin (durch den Router durch) freigegeben haben! Meine Frage wäre dann: Wieso hast Du das gemacht? Das kann fatal enden!
 
Ich gehe nicht von Angriffen von außen aus, sondern von welche, die von der DS an die DAS gehen, weil, wie gesagt, es von localhost passiert.
 
Das macht mich auch etwas stutzig. Hast Du evtl. eine Malware auf der Syno?
 
Soweit ich weiß nicht, die Frage ist ja, wie man dies herausfindet. Leider steht dort ja nicht bei, woher der SSH-Login versucht wird, außer der IP.
 
Hast Du die Web Station aktiviert? Befinden sich unter /web etwaige Scropts/Dateien welche dort nicht hingehören, bzw. Dir unbekannt sind?
Hast Du Zugriff auf die Konsole?
Evtl. mal das Log unter var/log/auth.log durchforsten.
 
WebStation habe ich nicht installiert.

Um 22:17 wurde laut Protokoll wieder ein Login versucht. In der Datei steht folgendes zu diesem Zeitpunkt:

Rich (BBCode): 
ash-4.3# tail -n 1000 auth.log | grep 22:17
2017-04-12T22:17:01+02:00 NAS-Server sshd[13039]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1
2017-04-12T22:17:03+02:00 NAS-Server sshd[13215]: pam_unix(sshd:session): session opened for user admin by (uid=0)
2017-04-12T22:17:03+02:00 NAS-Server sshd[13215]: pam_unix(sshd:session): session closed for user admin
2017-04-12T22:17:16+02:00 NAS-Server sshd[13300]: fatal: ssh_dispatch_run_fatal: no matching MAC found [preauth]
2017-04-12T22:17:16+02:00 NAS-Server sshd[13300]: error: mm_request_receive: socket closed
2017-04-12T22:17:19+02:00 NAS-Server sshd[13039]: error: mm_request_receive: socket closed
2017-04-12T22:17:19+02:00 NAS-Server sshd[13039]: PAM 2 more authentication failures; logname= uid=0 euid=0 tty=ssh ruser= rhost=127.0.0.1
2017-04-12T22:17:31+02:00 NAS-Server sshd[13546]: fatal: ssh_dispatch_run_fatal: no matching MAC found [preauth]
2017-04-12T22:17:31+02:00 NAS-Server sshd[13546]: error: mm_request_receive: socket closed
2017-04-12T22:17:41+02:00 NAS-Server sshd[13744]: fatal: ssh_dispatch_run_fatal: no matching MAC found [preauth]
2017-04-12T22:17:41+02:00 NAS-Server sshd[13744]: error: mm_request_receive: socket closed
ash-4.3#

2017-04-12 22:18:13 Information NAS-Server admin Connection User [admin] from [192.168.178.30] logged in successfully via [SSH].
2017-04-12 22:17:13 Warning NAS-Server SYSTEM Connection User [usuario] from [127.0.0.1] failed to log in via [SSH] due to authorization failure.
2017-04-12 22:17:07 Warning NAS-Server SYSTEM Connection User [usuario] from [127.0.0.1] failed to log in via [SSH] due to authorization failure.
Zum Vergrößern anklicken....
 
Solange nicht geklärt ist wer oder was bei dir versucht sich per SSH einzuloggen, würde ich entweder den SSH Dienst deaktivieren oder zumindest einen anderen Port zuweisen. Eine eventuelle Portweiterleitung im Router vorrübergehend löschen bzw. ganz löschen.

Die beiden Benutzernamen „usuario“ und „prueba“ stammen wahrscheinlich aus dem spanischem und bedeuten auf Deutsch „Benutzer“ und „Test“. Ist möglicherweise ein Hinweis.

- Auf deiner DS gibt es keine Benutzer mit diesen Namen?
- Auch keine internen Systembenutzer?
- Kannst du ausschließen das in deinem Netzwerk was läuft was zur geloggten Zeit an war?

Hast du mal geschaut ob ein fremder Dienst oder Prozess bei dir auftaucht?

Die IP 127.0.0.1 wird zwar üblicherweise für interne Zwecke verwendet ich kann aber ohne Probleme z.B. einem Tablet diese IP zuweisen. Ich würde also nicht zwangsweise einen externen Anmeldeversuch ausschließen.
 
BigRonin schrieb:
- Auf deiner DS gibt es keine Benutzer mit diesen Namen?
- Auch keine internen Systembenutzer?
Zum Vergrößern anklicken....
Nein, keine Systembenutzer und auch keine normalen.

BigRonin schrieb:
- Kannst du ausschließen das in deinem Netzwerk was läuft was zur geloggten Zeit an war?
Zum Vergrößern anklicken....
Im Netzwerk laufen parallel folgende Geräte:
- Raspberry
- FritzBox
- Drucker
- Handys, Tablets, usw.

BigRonin schrieb:
Hast du mal geschaut ob ein fremder Dienst oder Prozess bei dir auftaucht?
Zum Vergrößern anklicken....
Gehe mal davon aus, das der Prozess eh nur dann läuft, wenn die Loginversuche stattfinden, aber nein, sonst kein ungewöhnlicher Prozess.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten