Message: [QuLog Center] Failed to log in. User: admin. Source IP: 127.0.0.1

    Hallo Zusammen,


    ich bin neu hier und habe direkt eine Frage zu einem aktuellen Thema.


    Vor einer Woche (ca.) habe ich zum ersten mal die folgende Nachrichten (ca. 140 Anmeldeversuche) erhalten:


    Code
    Message: [QuLog Center] Failed to log in. User: admin. Source IP: 127.0.0.1. 
Message: [QuLog Center] Failed to log in. User: user. Source IP: 127.0.0.1.


    Bis heute war Ruhe und dann kamem die gleichen Nachrichten (23 Anmeldeversuche) wieder, allerdings nur auf den admin:


    Code
    Message: [QuLog Center] Failed to log in. User: admin. Source IP: 127.0.0.1.

    (Screenshot ist im Anhang)

    Das NAS (TS473a) steht im Büro, läuft 24/7 und es ist niemand anwesend.


    Hat jemand eine Idee?


    Vielen Dank für eure Hilfe und falls ich nichts mehr von euch höre, wünsche ich allen einen guten Rutsch ins neue Jahr!

    Die IP 127.0.0.1 verweist auf das NAS selbst.


    Wird wohl eher nicht von Aussen auf das NAS zugegriffen.


    Welche Apps laufen denn auf dem NAS?

    Wenn da versucht wird ein Exploit auszuführen, dann kann sich das so darstellen, denn viele Dienste laufen über localhost mit admin.

    Diese Meldungen mit dem Login habe ich auch neuerdings, allerdings vereinzelt und auch erst seitdem letzten FW Update. Das System scheint aber virentechnisch sauber zu sein, auch die Dienste sind nicht anders als sonst.


    Ich kann noch nicht sagen wer diese auslöst bzw versucht einen Dienst zu starten. Gesten war es z.B. der QVR auf den nicht mehr zugegriffen werden konnte. Nach einem Neustart des Dienstes (nicht NAS) ging´s aber wieder.

    Das ist die localhost Adresse. Es wird irgendein Dienst sein.


    Gruss

    Hatte ich vor dem Update noch nie.


    Das müsste ein Systemdienst sein der sehr früh startet, noch vor der 2-ten Audiowarnung.


    Wie könnte ich den Verursacher finden ?

    Mal alle Dienste und Apps deaktivieren und Neustarten und sehen, ob der Schuldige dann mit bei ist.


    Alternativ in den Logs nachsehen, welcher Dienst beim der Meldung gerade am Hochfahren / Werken war. Das wirst Du allerdings auf der Konsole machen müssen.

    Dazu könnte auch das Dumplog Aufschluss geben... oder halt die Meldung selbst...

    Zitat von 30122022

    [QuLog Center]

    Sagt ja aus, dass die Meldung vom QuLog Center selbst kommt.

    Wie immer: In jedem Fall Ticket :)

    Habs gefunden. Der Verursacher ist QVR Pro.


    Nachtrag:

    Und zum erstenmal auch die Surveillance Station. Diese ist beim TS364 nicht installiert (gibt es für neue NAS nicht mehr) ?????


    Fehler_2023-01-27_6.JPG


    Das letzte Update von QVR Pro war aberschon 2022. Allerdings habe ich am 06.01.2023 mehrere Apps aktualisiert (Container Station 2.6.3.592, ...)


    Diese Anmeldung von QVR Pro gibt es erst seit dem Update auf die QTS 5.0.1.2277 am 22.01.2023. Leider habe ich das Ereignisprotokoll am 23.01 gelöscht.


    Ablauf:

    10:52:00 TS364 eingeschaltet erster Signalton

    10:56:26 Meldung System startet

    10:57:15 zweiter Signalton

    10:59:20 QVR Pro Anmeldung schlägt fehl


    11:23:41 Surveillance Station (ist nicht installiert/gibt es nicht mehr) schlägt fehl

    Einmal editiert, zuletzt von Becker2020 ()

    Habe genau die gleichen Fehlermeldungen zum aller ersten Mal und bekomme gerade knapp 50 Emails pro NAS reingedrückt. Super nervig.

    Habe keine Portweiterleitungen auf die NAS, habe keine Apps groß installiert, nutze die nur als NFS Anbieter für Kubernetes oder auch als Backup Ziel für diverse Geräte. Aber nur im Heimnetz.


    Was genau ist denn "QVR Pro"? Gibt es schon eine Lösung wie man das los wird? Nervt beim Arbeiten wenn das Handy die ganze Zeit Email bekommt...

    QVR Pro ist der Nachfolger der Surveillance Station und ist für die Videoüberwachung.


    QVR Pro muss man sich aus dem APP-Center herunterladen und installieren.

    Ich verstehe es nicht, heute (28.01) kommt die Meldung nicht mehr.



    Fehler_2023-01-28_1.JPG

    Einmal editiert, zuletzt von Becker2020 () aus folgendem Grund: Ein Beitrag von Becker2020 mit diesem Beitrag zusammengefügt.

    Hallo und danke,


    ja ich verstehe. Mh das habe ich gar nicht installiert. Doch nach einem Neustart und Update war alles wieder normal. Für mich sah es so aus, als wenn es der Log Service selbst war. Aber das alles ist leider nicht so leicht zu durchschauen wie ein Unix Rechner und diese Menüs mit den Log Einträgen finde ich alle überladen und furchtbar. Wenigsten lies es sich bei mir durch Neustart und Update beheben. Da bin ich dann erleichtert.

    Hallo,


    ich bin durch zu Fall auf ähnliche Logs gestoßen.


    Das NAS (TS-453BU) ist nicht von außen erreichbar.


    Firmware ist seit gestern QTS 5.0.1.2277.

    Historie der FW-Aktualisierungen:

    • 5.0.1.2248 am 26.12.2022 (20:34 Uhr)
    • 5.0.0.2131 am 11.10.2022 (ASM-FW war ok)

    Aus Sicherheitsgründen habe ich das admin-Konto wie empfohlen deaktiviert. Bei mir erfolgt seit dem 26.12.2022 (20:51 Uhr) einige Sekunden nach dem erfolgreichen Login mit die dem neuen Admin-Konto ein weiterer Login mit 127.0.0.1 mit dem admin Konto.


    Gleiches auch mit [appuser] -unter 127.0.0.1, allerdings letztmalig am 26.12.2022 (20:31 Uhr).


    Snapshots sind nicht aktiviert.


    HBS3 Sync erfolgt nur in Richtung dieses NAS.


    Ich nutze den internen, als auch einen internen zusätzlichen 10GbE-Netzwerkadapter.


    Zudem gab es bis 13.10.2022 auch erfolgreiche Zugriffe von IP6-Adressen per SMB, obwohl ich nur IP4-Adressen zugelassen habe. Am 28.12.2022 wurden diese allesamt abglehnt. Da ich an der IP6-Konfiguration des NAS nichts geändert habe, müsste sie auf IPv6 Auto-Konfiguration (Stateless) eingestellt gewesen sein. Da meine PCs auf IP6 Autokonfiguration eingestellt sind, kann ich deren seinerzeit vergebenen IP-Adressen nicht mehr nachvollziehen.


    In einem Fall gabe es auch eine erfolgreiche Anmeldung als guest als SMB-Verbindung, obwohl der Guest-Zugriff in allen Shares auf Zugriff verweigern steht.


    Ich wollte dem nachgehen um sicherzustellen, dass ich es nicht mit einer Konfigurationslücke oder evtl. sogar Schadsoftware zu tun habe.


    Gehört dies aus Eurer Sicht alles zusammen oder ist es ein eigenes Thema?


    Danke für Eure Hilfe

    TBWS

    3 Mal editiert, zuletzt von TBWS ()

    Mein Problem (siehe Post 8 ) war nach 4 Neustarts behoben.



    pasted-from-clipboard.png


    Für deine weitere Probleme (externe Anmeldeversuche) würde ich ein neues Thema erstellen. Hier geht es nur um die internen Anmeldungen 127.0.0.1.

    Hallo, habe das gleiche Problem, dazu noch werde ich mit Hunderten von Mails bombardiert mit dem folgenden Inhalt:

    Code
    [Warning][QuLog Center] Benachrichtigung von Ihrem Gerät: NAS6A54A3
NAS-Name: NAS6A54A3
Schweregrad: Warning
Datum/Zeit: 2023/03/21 22:26:33
App-Name: QuLog Center
Kategorie: Verbindungsstatus
Nachricht: [QuLog Center] Anmeldung fehlgeschlagen. Benutzer: ---. Quell-IP: 127.0.0.1. Verbindungstyp: HTTP. Überprüfen Sie die Berechtigungen und die Verbindung.


    Habe keine Ahnung was ich machen kann? Habt Ihr eine Idee?

    Zitat von robert6719

    Habe keine Ahnung was ich machen kann? Habt Ihr eine Idee?


    Das NAS einfach mehrfach neu starten. Bei mir war der Fehler nach 4 Neustart weg und ist bis heute nicht mehr aufgetreten.