Administration Login Fail

    Hallo Liebe Forum User,


    ich hatte schon gesucht aber nichts gefunden.


    Ich habe auf meiner TS251 aktuelle Firmware und nur einen QmailAgent laufen um per VPN auf die Kiste (FritzBox) zu kommen um die Mails abrufen.


    Des öfteren habe ich die Warnung :

    Code
    Warning,2019-11-16,08:23:16,admin,127.0.0.1,---,","Administration,Login Fail


    aber immer mit einer Lokalen IP. Habe die TS251 mal vom Netz (Internet) genommen aber die Meldungen kommen trotzdem,allerdings sehr viel seltener.


    Was kann das sein ? Irgendein Gerät aus dem heimischen Netz ?


    Gruß

    Also irgendein Gerät aus dem heimischen Netz würde ich ausschließen. Die IP-Adresse 127.0.0.1 wird nur intern von dem Gerät genutzt, um im Gerät selbst die Netzwerkschnittstelle anzusprechen. Ich würde eher auf eine App, einen Container oder etwas ähnliches in dem NAS selbst schließen? Eventuell auch eine Datensicherung mit bestimmten Nutzerinformationen oder ähnliches?

    Hmmm, okay....


    Ich versuch mal zu suchen...Wenn du noch eine Idee hast von wo wäre cool.


    Komisch ist halt nur seitdem ich den von Netz (Internet) genommen habe ist das weniger geworden aber auch nicht ganz weg.

    Na was sagen denn deine Systemprotokolle? Dort sollte ja eigentlich geloggt werden, wer oder was auf dein NAS zugreift und vor allem von wo aus. Einfach unter Systemprotokolle die Systemverbindungsprotokolle untersuchen. Wenn du die nicht eingeschalten hast, solltest du das eh sofort machen. Für mich wäre das die erste Anlaufstelle.

    Genau das steht ja in den Systemprotokollen :


    Code
    Schweregrad	Datum	Uhrzeit	Benutzer	Quellen-IP	Anwendung	Kategorie	Inhalt
Fehler	2019/11/20	12:16:45	admin	127.0.0.1	Users	Login	[Users] Failed to log in via user account "admin". Source IP address: 127.0.0.1.

    Und in SystemVERBINDUNGSlog, steht da auch das Protokoll?

    Dann könnte man Rückschlüsse ziehen was da versucht zuzugreifen.

    Bei SAMBA ist es vermutlich ein Host-Login vom WIndows Server. Diesen Fehler kriege ich z.B. wenn ich den Windows Host neu starte.

    Im Windows habe ich die Einstellungen "Netzwerklaufwerke beim Start Wiederherstellen" aktiviert, aber keine Verbindungspasswörter abgespeichert.

    Deshalb kriege ich immer die o.a. Meldung mit Protokoll Samba.

    Vertippe ich mich beim Login mit Putty, steht im Protokoll SSH.

    NFS habe ich ehrlich gesagt noch nicht versucht.


    Gruss

    Bei den Verbindungsprotokollen steht das auch so.....


    Bei Verbindungstyp steht nur noch der Zusatz "HTTPS" sonst alles gleich

    HTTPS?

    Also möchte jemand/etwas auf die Weboberfläche des NAS.

    Ist das NAS von außen erreichbar? Wobei dann eigentlich nicht die localhost Adresse (127.0.0.1) auftauchen dürfte, wie oben schon angeführt.

    Bei mir steht dann dort die Client IP, die den Zugriff versucht hat.

    Das sieht tatsächlich nach einem Dienst auf dem NAS aus, das dort zugreifen will.


    Aber welcher das ist? Qmail Agent habe ich nicht, keine Ahnung, wie der zugreift, aber HTTPS würde mich wundern, da wird bei mir nur der Zugriff auf die Admin Oberfläche geloggt.

    Ich hoffte, das auch der Zugriff auf den Webserver bzw, die virtual hosts geloggt wird, aber leider nein, nur die NAS Admin GUI :(.


    Gruss

    Zitat von suschi

    Genau das steht ja in den Systemprotokollen :

    ...
    Fehler 2019/11/20 12:16:45

    Dann denk mal nach, was da um genau diese Uhrzeit am NAS los war?

    Hast du da irgendwas gemacht, dein Rechner irgendwas versucht (ein Share verbinden, etc.)

    Kannst du es nochmals nachstellen und das gleiche machen, und dabei das Log beobachten? Vielleicht findest du die "Aktion" die die Meldung auslöst.