synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяОбсуждение Прошивки › Непонятные запросы в Журнале Подключений

Непонятные запросы в Журнале Подключений

211440 · 31.03.2013

После обновления на DS 4.2 в системном журнале "Подключение" начало с периодичностью в 4-8 сек выскакивать следующее событие:

 

user [ ] from [5.39.43.46] failed to log in via [Mail Server] due to authorization failure

 

Само сообщение как бы от пользователя [sYSTEM] (так написано в столбце "Пользователь").

Такой пользователь в с системе не прописан, т.е. это явно какой-то системный процесс...

Пересмотрел и пользователей, и подключения и Mail Server...

Нигде ничего не нашел, что могло бы так рьяно лезть регистрироваться...

 

По данному IP сервис WhoIS выдает

Сеть 5.39.43.40/29

Диапазон адресов 5.39.43.40 - 5.39.43.47

Имя сети OVH_38297130

Описание OVH

Страна Чехия (CZ)

Организация ORG-LH15-RIPE

Административный контакт OTC8-RIPE

Технический контакт OTC8-RIPE

Статус ASSIGNED PA

Поддерживается OVH-MNT

Источник данных RIPE

CIDR 5.39.43.40/29

Net-Handle 5.39.43.40/29

Зарегистрировано 20130125

 

Что это может быть????

fatspirit · 31.03.2013
Что это может быть????

Спам-боты, сессно.

211440 · 01.04.2013
Спам-боты, сессно.

Так и откуда ж они взялось то?

Запросы пошли сразу после обновления с DSM 4.1 на 4.2.

Обновления делалось с оф.сайта самим сервером, левых приложений не устанавливалось ни до, ни после...

fatspirit · 01.04.2013
Так и откуда ж они взялось то?

Запросы пошли сразу после обновления с DSM 4.1 на 4.2.

Обновления делалось с оф.сайта самим сервером, левых приложений не устанавливалось ни до, ни после...

Интернет безграничен (: Настройте автобан на свой вкус и всё быстро прекратится.

211440 · 01.04.2013
Интернет безграничен (: Настройте автобан на свой вкус и всё быстро прекратится.

В принципе так и сделал.. Включил блокировку IP в случае неверного входа..

Указанный IP был сразу заблокирован и сейчас запрос из журнала пропал..

Но это не меняет сути вопроса: "Что это может быть?"

Ведь нового ничего не ставилось, только обновление DS с 4.1 на 4.2...

 

Установил антивирус из пакетов.. сейчас идет полная проверка.. Может конечно и найдет чего..

fatspirit · 01.04.2013
Но это не меняет сути вопроса: "Что это может быть?"

Ведь нового ничего не ставилось, только обновление DS с 4.1 на 4.2...

 

Установил антивирус из пакетов.. сейчас идет полная проверка.. Может конечно и найдет чего..

А я сразу и сказал. Наверняка злые дяди сканят (ну, не сами дяди, а написанные ими роботы) диапазоны ip, если есть какой-то отзыв, то пытаются либо ломануть систему, если есть дыры, либо подобрать пароль, если первое не прокатывает.

211440 · 01.04.2013
А я сразу и сказал. Наверняка злые дяди сканят (ну, не сами дяди, а написанные ими роботы) диапазоны ip, если есть какой-то отзыв, то пытаются либо ломануть систему, если есть дыры, либо подобрать пароль, если первое не прокатывает.

 

Так то оно так.

Покрайней мере это первое что приходит на ум.

Смущает только то, что это появилось сразу после перехода на 4.2.

Т.е. или на сервере Синоложи дистрибудив ДСМ с какой-то хренью,

или Синолоджи чего подправили в системных отчетах и там появилась информация, которой ранее не было.

 

Есть еще третий вариант. Все же я именно его и подозреваю прежде всего.

Возможно какой-то пакет куда-то полез. Но какой, а аглавное зачем? Вот именно это я и не понял..

Жду, когда Antivirus Essential завершит проверку системы... Но похоже ждать долго ))))

fatspirit · 01.04.2013
Так то оно так.

Покрайней мере это первое что приходит на ум.

Смущает только то, что это появилось сразу после перехода на 4.2.

Не стоит смущаться. Совпало (:

vikkte · 01.04.2013

меня сканят уже 2 года без перерыва и пытаются подобрать пароли от почтовика..

так что ничего страшного в инете это нормально

 

а сеню и в инет непускаю маленький он еще :)

211440 · 02.04.2013

Вполне возможно так и есть.

Вчера новый IP появлся... Правда сразу ушел в black list.

Я вот теперь думаю, что уже давно могли сканить...

Наверно что-то синоложики подправили в логах, и после установки ДСМ 4.2 выявился лиходей...

Да, антивирус ничего не нашел.. Значит из Инета срисовали ИПишник...

211440 · 05.04.2013

Antivirus Eseential... вещь еще та...

Сначала запустил проверку системы - проверил за ночь.

Потом запустил полную проверку... на третьи сутки 15%...

ЖЕСТЬ...

 

fatspirit · 05.04.2013
Antivirus Eseential... вещь еще та...

Сначала запустил проверку системы - проверил за ночь.

Потом запустил полную проверку... на третьи сутки 15%...

ЖЕСТЬ...

А чего вы хотели от коробчонки такой мощности? :lol: Проще будет проверить снаружи.

211440 · 05.04.2013
А чего вы хотели от коробчонки такой мощности? :lol: Проще будет проверить снаружи.

:D :D :D

Честно говоря, думал будет быстрее :rolleyes:

SergeS · 17.10.2013
:D :D :D

Честно говоря, думал будет быстрее :rolleyes:

 

Да. А еще с запуском по планировщику минимум раз в неделю, вообще веселуха. У меня в среду запускается, как раз к выходным успевает все прверить. Парочку дней отдохнуть , и снова в бой в соеду ;-). Жалко, что по планировщику нельзя сделать раз в две недели, или раз в месяц.

dsv_nv · 18.10.2013

Стал замечать в логах роутера что кто подключается ежедневно, порты эти на роутере не прокинуты, торренты не запущены, то есть сам synology устанавливает это соединение, как найти кто это соединение устанавливает.

[LAN access from remote] from 50.18.245.203:25782 to 192.168.2.6:27543, Friday, October 18,2013 08:05:24

[LAN access from remote] from 50.18.245.203:25777 to 192.168.2.6:27543, Friday, October 18,2013 08:05:23

[LAN access from remote] from 50.18.245.203:25776 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

[LAN access from remote] from 50.18.245.203:25774 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

fatspirit · 18.10.2013
Стал замечать в логах роутера что кто подключается ежедневно, порты эти на роутере не прокинуты, торренты не запущены, то есть сам synology устанавливает это соединение, как найти кто это соединение устанавливает.

[LAN access from remote] from 50.18.245.203:25782 to 192.168.2.6:27543, Friday, October 18,2013 08:05:24

[LAN access from remote] from 50.18.245.203:25777 to 192.168.2.6:27543, Friday, October 18,2013 08:05:23

[LAN access from remote] from 50.18.245.203:25776 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

[LAN access from remote] from 50.18.245.203:25774 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

Пакет какой-нибудь?

SergeS · 19.10.2013
Не стоит смущаться. Совпало (:

 

Если бы дистрибутив был с хренью, то синолоджи и лог могла бы спрятать :-)

dsv_nv · 30.10.2013
Стал замечать в логах роутера что кто подключается ежедневно, порты эти на роутере не прокинуты, торренты не запущены, то есть сам synology устанавливает это соединение, как найти кто это соединение устанавливает.

[LAN access from remote] from 50.18.245.203:25782 to 192.168.2.6:27543, Friday, October 18,2013 08:05:24

[LAN access from remote] from 50.18.245.203:25777 to 192.168.2.6:27543, Friday, October 18,2013 08:05:23

[LAN access from remote] from 50.18.245.203:25776 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

[LAN access from remote] from 50.18.245.203:25774 to 192.168.2.6:27543, Friday, October 18,2013 08:05:22

Нашел пакет который устанавливает эти соединения, surveillance station 6.1-2909

Kovrov · 20.03.2014
После обновления на DS 4.2 в системном журнале "Подключение" начало с периодичностью в 4-8 сек выскакивать следующее событие:

 

user [ ] from [5.39.43.46] failed to log in via [Mail Server] due to authorization failure

 

 

может поможет

у меня тоже самое было

что характерно было только с подключенными яндексовскими службами (оповещение о приходе почты итд)

 

пытался посмотреть свой ИП внешний выдавал из области 5,х,х,х