Admin Login Failures von ::1 durch Security Checkup?

    Gestern morgen zwischen 6:00 und 6:10 Uhr beglückte mich mein TS-233 (QTS 5.2.2.2950) im Weihnachtsurlaub mit 139 Alert Mails wegen fehlgeschlagener Admin-Login-Versuche.

    Das Gerät ist nicht aus dem Internet erreichbar und im LAN war in dem Zeitraum außer dem Router und einem WLAN-AP kein Gerät aktiv.

    Dementsprechend war ich natürlich "etwas" beunruhigt.

    Heute zurück am Gerät stelle ich fest:

    In der QTS-GUI werden 76 Alerts

    Code
    "Administration admin Login Fail (HTTPS)"

    und 63 Alerts

    Code
    "Administration --- Login Fail (HTTPS)"

    angezeigt.

    Im QuLog Center Access Log finde ich 139 Einträge mit

    Code
    Severity: Warning
Source IP ::1
Computer: ---
Connection type: HTTPS
Accessed Resources: Administration
Action: Failed to log in
User: admin (76x) oder --- (63x)

    Im QuLog Center Event Log finde ich genau zu Beginn dieses Zeitraums einen Eintrag

    Code
    "[Security Center] Started running Security Checkup."

    und zum Ende

    Code
    "[Security Center] Finished running Security Checkup."

    sonst nichts in zeitlicher Nähe zu dem Vorgang.

    Das Security Center wurde am 2024-12-15 15:19:08 von Version 3.0.2.3382 auf 3.0.3.3481 aktualisiert. (Übrigens ohne mein Zutun, obwohl meine App Center Settings auf "notification" stehen.)

    Allerdings lief am 2024-12-20 06:00 Uhr schon einmal ein Security Checkup mit der neuen Version, ohne dass eine solche Alert-Serie ausgelöst worden wäre.

    Dieser war aber nach 30 Sekunden beendet, während der gestrige mehr als 7 Minuten brauchte.


    Irgendwelche Ideen, was da abgelaufen sein könnte?

    Was verbindet sich auf dem NAS selbst über die IPv6-localhost-Adresse per HTTPS mit der Admin-Oberfläche?

    Warum zum Teil als "admin" und zum Teil ohne Benutzernamen? (Oder was bedeutet "User: ---" im Access Log?)

    Ist das Security Center der einzige Verdächtige oder gibt es noch andere Möglichkeiten?

    In welchen Logs könnte ich etwas dazu finden?

    Ja die ganzen Security Geschichten am besten deaktivieren oder deinstallieren..die machen mehr Ärger als das die nutzen.

    Ich habe (wahrscheinlich? vielleicht?) die Ursache gefunden.

    Im Security Center auf dem Reiter Security Checkup steht neben der Überschrift ein oranges Warndreieck mit dem Text "Unavailable".

    Wenn man da draufklickt, erscheint der Popup-Text:

    Code
    Security Center failed to run the scheduled scan because the current Log On As account session expired. To
resolve the issue, go to "Scan Schedule" and reapply the schedule settings.

    Würde ja passen, hinreichend schlampige Programmierung vorausgesetzt:

    Das Security Center stößt auf den Fehler "session expired" und probiert es einfach nochmal, 138-mal hintereinander, vielleicht geht das "expired" ja von alleine weg.

    Und das QuLog Center loggt "session expired" durch den eigenen Security Checkup mit genau derselben Meldung wie einen Passwortrateversuch von außen.


    Schön auch, dass auf der Übersichtsseite unter Security Checkup trotzdem alles grün ist.

    Der (grüne) Text "No risk detected" (Müsste ich das nach Forenregeln eigentlich als Zitat formatieren?) ist natürlich streng genommen nicht falsch.

    Aber trotzdem finde ich es etwas, nunja, merkwürdig, wenn das Ergebnis "Prüfung konnte nicht durchgeführt werden" an dieser Stelle zur gleichen Anzeige führt wie "geprüft, kein Risiko gefunden".


    Ich habe jetzt wie empfohlen den Scan Schedule geöffnet und einfach ohne irgendetwas zu ändern "Apply" geklickt.

    Das orange Dreieck ist jetzt weg.

    Mal sehen, was beim nächsten Durchlauf passiert.

    Ja, das war's.

    Der nächste Durchlauf des Scans lief wieder fehlerfrei durch.

    Bin gespannt, wie lange das hält.

    Eine Information, wie lange diese "Log On As account session" typischerweise halten soll, bevor sie "expired", konnte ich nirgends finden.