Ich versuche, bei mir selbst einzubrechen ... laut Log?

    Ich habe bis zu 10000 Einträge im Log, das mir sagt, ich versuche so alle zehn Sekunden bei meinem NAS TS 209 (II) selbst einzubrechen, das verrät mir das Log. Das Log zeigt mir zudem, dass ich michalle xx-Versuche als guest ordnungsgemäß anmelde.


    Jetzt habe ich aber alle Netzwerkverbindungen getrennt und versteh das nicht ganz, da dürfte ja wohl im Log Ruh und Friede sein .. hat da jemand ne Idee. Das ist bei der Beta-Firmware und auch der anderen normalen Firmware (die letzte vor der 3er Beta) so. Von außen greift hier niemand zu ... das sehe ich an meinem Kabelmodem an der LED.


    EDIT: hab keinerlei USB-Drucker für die gemeinsame Nutzung am NA, hatte gerade noch dazu im Forum einen anderen Beitrag gefunden ... mein USB-Drucker hängt am Router ...

    Hallöle,


    um Dir effektiv helfen zu können bräuchten wir einige Angaben um das Problem einzukreisen.
    Wichtig wäre da z.B. Ob Dein NAS die IP vom Router bekommt, oder ob Du eine feste IP vergeben hast.
    Ferner wäre u.U. auch interessant, welchen IP-Bereich Du verwendest und ob sämtliche Parameter in allen Geräten
    "zusammenpassen" (IP, Subnetmask, Standard Gateway, DNS)
    Wichtig wäre auch ob Du den Zugriff auf das NAS eingeschränkt hast, Zugriff vom Internet aus bereitgestellt wird (Portforwarding)
    und eventuell die Anzahl Deiner Netzwerkgeräte (also Computer, Netzwerkdrucker, Multimediaclients etc.)


    Wenn Du uns dazu mehr sagen könntest, können wir Dir eventuell auch sagen woran es liegt!


    Grüße
    J :D dy

    Pardon, ist mir heute morgen dann auch aufgefallen, danke, dass du dich trotzdem meines Problems annimmst, in anderen Foren ist man nicht so höflich.


    So, erstmal Betriebssystem WinXP Servicepack 3, alle Netzwerksoftware wie Replikator habe ich abgeschaltet und per Konsolenbefehl net use die Netzwerkverbindungen getrennt. ich habe hier auch noch eine Software ähnlich Replikator im Einsatz, Always Sync. Habe ich auch beendet. Das automatische Suchen von Netzwerk-Shares unter WIndows habe ich extra abgeschaltet, es sind auch keine Netzpasswörter aktuell in meinem Benutzerkonto unter XP gespeichert, ich hatte das aber mal gemacht, dann aber wieder gelöscht (Relikte?). Es erfolgt keine Einschränkung des IP-Adressbereichs, der Web-Server ist im NAS abgeschaltet.
    Mit wird im Log angezeigt, dass ich mich als User xy an 192.168.1.x anmelde, aber der Login-Versuch unter Samba fehlschlägt, irgendwann kommt nach einer Weile guest login ok und dann wieder xy Logon fail. Das wechselt sich so ab.
    Ich befördere hier den PC einfach nur aus dem Ruhezustand und melde mich an keinem Share an.

    Wenn der NAS-Replikator läuft, dann sehe ich im Log die Read and Write-Vorgänge, falls sich was geändert hat. Danach habe ich jetzt brandaktuell im Log sieben Minuten gar keinen Eintrag stehen, dann kommt ein guest login ok, ohne dass ich was gemacht hätte und danach Logon fails von xy per Samba, bis mal wieder kurz das guest-logon kommt und dann wieder xy samba Logon fails. Hoffe mich klar genug ausgedrückt zu haben.


    Die IP wird per Mac-Adress vom Router zum NAS fest zugeordnet (es läuft auf dem Router ab einem bestimmten IP-Bereich ein DHCP-Server, es hängt noch am Router ein USB-Drucker). Im Netz ist per WLAN ein anderen Gerät aktiv, sonst nur mein Hauptrechner und das NAS.


    Irgendwo muss sich doch noch was anmelden, ist es schon der Bundestrojaner :x

    Hallo Klotz,


    ja freundlich gehört einfach dazu!


    Könntest du mal unter Windows die Windows Taste + R Taste drücken, cmd eingeben und mit enter bestätigen. Anschliessend gibst du

    Code
    net use

    ein und schaust ob es offene Verbindungen zum NAS gibt.



    Christian

    net use-Ausgabe erbringt keine Verbindung, momentan auch keine Fehlermeldung im Log.


    ich hab das jetzt nochmal versucht nachzuvollziehen:
    zunächst nur NAS-Oberflche angemeldet und Log aufgerufen. HTTP-Anmeldung erfolgt einwandfrei. Dann habe ich mich am NAS-Share mit einem unterschiedlichen Benutzer angemeldet. Log läuft parallel mit. Schwuppdiwupp wirds komisch. Ein guest meldet sich an, dann ich als Benutzer (alles ok), danach wieder ein guest (auch ok), dann kommen die Fehler, dann erneut ein guest und dann ich als Benutzer, danach keine Fehler mehr, alles innerhalb von zwei Minuten ... momentan ist Ruh.


    ich mal jetzt nochmal ein net use delete .. und schau nochmal ins Log.

    Hi,


    kannst du nichtmal zum besseren visuellen Verständnis einen Auszug aus dem Log hier einstellen? Inklusive Erläuterung der Benutzer im Bezug zu IP etc. ?



    Christian

    So sieht das aus, ohne das ich irgendwas außer mich anmelde (und zwar einmal richtig) mache .. das müllt das Log ganz schön zu, das sehe ich als Problem ..


    Danke nochmal
    Und noch eins .. habe nichts gemacht .. zwischendurch ist im Systemlog nur irgendein Prozess ftppd abgeschmiert, habe keine Ahnung, hab nichts gemacht.

    Fest steht irgendetwas sucht ständig die "Nähe" deines NAS. Das gestaltet sich jetzt schwierig, denn wir wissen nicht welche Software das verursacht. Auch wenn der Tipp kein echter Tipp ist, geh Schritt für Schritt deine Prozesse auf dem NAS durch, irgendetwas muss dabei sein, was dieses verhalten hervorruft.



    Christian

    Hi, nur als allgemeine Rückmeldung:
    ich habe auch solche Zugriffe auf mein NAS, allerdings läuft in meinem Netz ein Netzwerkdrucker von HP, der nur so um sich herum feuert - werde das mal checken und posten, was ich so rausfinde, wird aber nichts vor Freitag.

    Hi,


    das Problem liegt mit Sicherheit nicht auf dem NAS.
    Schalte doch mal alles außer dem NAS (hier am besten die IP fest vergeben und nicht per DHCP zuweisen lassen!) und Deinem Compi aus.
    Dann solltest Du das Log erneut beobachten und nacheinander alle anderen Geräte wieder einschalten.
    Eine mögliche Ursache könnte auch aktiviertes PnP auf dem Router sein, oder u.U. auch der Drucker...
    Da gibt es einiges was in Frage kommt.


    grüße
    Jody


    PS.: Installiere doch bitte mal die letzte Firmware der 2.x und prüfe ob es dort auch vorkommt!

    Hallo Klotz,


    deine Geschichte erinnert mich an das, was bei mir los war.
    Keine Ahnung ob es in deinem Fall hilft, aber versuch doch mal den Windows Mediaplayer über die Systemsteuerung zu "deinstallieren".
    (Wer's glaubt, dass der dann echt, wirklich, richtig weg is...)
    Ich bin mir zwar nicht zu 100% sicher, da ich in dem gleichen Aufwasch auch MSN Explorer und Windows Messenger deinstalliert hab,
    aber seitdem herrscht Ruhe auf meinem NAS.


    Die Automatische Suche nach Netzwerkordnern hast du ja in den Ordneroptionen ausgeschaltet.
    Wie du das UPnP Broadcasting über die Registry ausschalten kannst, findest du hier im Forum...
    Bei mir war danach jedoch nicht Schluss, sondern erst, als ich die drei oben genannten Programme deinstalliert hatte.


    Kurz, ich mache den Mediaplayer verantwortlich, der dürfte trotz geändertem Registryeintrag weiter seine Broadcasts geschickt haben.


    mfg,
    Phil

    Hi,


    als schnelleren Test könnte man also versuchen, die drei genannten "Tools" von Microsoft von einer geeigneten Firewall auf dem betreffenden Rechner sperren zu lassen, das erspart erst mal das unter Umständen mühselige deinstallieren.

    Hi diddsen,


    hab deinen Thread mal kurz überflogen.
    Kann bestätigen, dass das beobachtete Verhalten unter Vista nicht auftritt.


    Vielleicht gibt es ja einen besseren Weg, wäre über Aufklärung dankbar, aber wenn man die entsprechenden PCs über den IP-Filter des NAS blockiert,
    bekommt man angezeigt auf welchen Ports versucht wird zu zugreiffen.
    Bei mir waren das UDP Port 1900 und 9000 der XP PCs.
    Daraufhin hab ich halt auf Broadcasting von Windows Messenger und Mediaplayer geschlossen.


    Nachdem die Änderung in der Registry wie geschrieben nicht gegriffen hat und die Programme eh nicht verwendet wurden...


    mfg,
    Phil


    Nur so am Rande:
    Zwischenzeitlich hab ich auch versucht das ganze über Subnetting zu lösen, siehe: http://forum.qnapclub.de/viewt…5&hilit=subnetting#p14875
    War aber in der Sache nicht erfolgreich, das sollte ich in dem Thread vielleicht noch ändern.
    Broadcasts lassen sich so doch nicht ganz in den Griff bekommen, wie ich in einem anderen Thread hier im Forum gelesen hab,
    da sie über die allgemeine Subnetmask geschickt werden.
    Außer dass ich ein bißchen was zum spielen hatte und erste Erfahrungen auf dem Gebiet gesammelt hab, hatte ich also nichts davon.

    Wow, erstmal vielen vielen Dank an alle, die sich da eingebracht haben, Ich dachte schon ich wäre ein DAU, und bin daher froh, dass andere auch verwirrt sind von diesen Einträgen bzw. damit zu kämpfen haben. Ich werde am WE noch mal testen und dann berichten. Ich hab jetzt erstmal an den Accounts rumgeschraubt. Nach dem Update auf die 3er-Version standen da ein paar wirre Sachen drin, da gab es unsinnige Einträge für User. Es gab Verzeichnisfreigaben, die ich so bewusst für den User nie mit ro oder rw-Access in der 2er-Version versehen habe (meine, da gebe es jetzt in der 3er auch mehr Möglichkeiten, kann mich aber auch vertun). Die unsinnigen Einträge habe ich einfach sinnig angepasst. Dannach hatte ich erstmal Ruhe im Log, will aber nix heißen .. hab nur kurz reingeschaut und nicht weiter beobachtet ... werde weiter berichten.
    Achso, ja Mediaplayer-XP: Darüber lasse ich tatsächlich auf manchen Shares automatisch suchen (hab die Verzeichnisse dort eingetragen), da ist auch klar, dass das nur geht, wenn ich mich dort auch ordnungsgemäß am Share angemeldet hab.


    Grüße
    VIELEN DANK!