Antworten

SRX5308 nicht nachvollziehbare Protokolleinträge

Idss
Aspirant

SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo,

ich hatte am 16.2. Einträge im täglichen Protokoll für die ich nicht nachvollziehen kann:

 

[SRX5308]Sat Mar 16 19:23:52 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] SSL_ERROR: Invalid Password for user myxxxx';INSERT INTO USERDBUsers(UserName,FirstName,LastName,GroupName,UserType,UserTimeOut,groupid,DenyLogin,DenyLoginFromWan,LoginFromIP,LoginFr

mBrowser,Password,DefaultUser,LockoutEnable,MaxLockou

[SRX5308]Sat Mar 16 19:23:52 2019((GMT+0100)) [SRX5308][System][LOGIN] SSL_ERROR: Invalid Password for user myxxxx';INSERT INTO USERDBUsers(UserName,FirstName,LastName,GroupName,UserType,UserTimeOut,groupid,DenyLogin,DenyLoginFromWan,LoginFromIP,LoginFro

Browser,Password,DefaultUser,LockoutEnable,MaxLockout

[SRX5308]Sat Mar 16 19:23:53 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] Administrator app is successfully added. Group: geardomain User TimeOut: 5

 

[SRX5308]Sat Mar 16 19:23:55 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN]  SSL_INFO : Login Successful for geardomain user app(Admin) from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:23:55 2019((GMT+0100)) [SRX5308][System][LOGIN]  SSL_INFO : Login Successful for geardomain user app(Admin) from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] SSL_INFO :user app is Logged-Out successfully from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][System][LOGIN] SSL_INFO :user app is Logged-Out successfully from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] SSL_ERROR: Invalid Password for user myxxxx';delete from USERDBUsers where UserName='app';'

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][System][LOGIN] SSL_ERROR: Invalid Password for user myxxxx';delete from USERDBUsers where UserName='app';'

 

[SRX5308]Sat Mar 16 19:24:12 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] Deleted User app

 

Bin dankbar für jede Info,

mfG

Schildberg Dieter

 

Model: SRX5308|PROSAFE Gigabit Quad WAN SSL & IPSEC VPN Firewall
Nachricht 1 von 11

Akzeptierte Lösungen
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @Idss,

 

dann wären wir hier in der Community leider am Limit dessen angekommen was wir tun können.

 

Ich würde dich bitten, unseren Telefon Support hier zu kontaktieren. Die Kollegen haben evtl. die Möglichkeit sich auf zu schalten um zu sehen wo das Problem liegt.

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

Lösung in ursprünglichem Beitrag anzeigen

Nachricht 10 von 11

Alle Antworten
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @ldss,

 

willkommen in der NETGEAR Community.

 

Die Einträge sagen nur aus das sich jemand versucht hat ein zu loggen aber das PW falsch war. Weiter unten war der Login dann von der IP 161.129.70.221 erfolgreich.

 

Noch weiter unten dann wieder nicht.

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

Nachricht 2 von 11
Idss
Aspirant

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo FrankE,

 

das Problem ist nur, dass ich keinen User ‚app‘ angelegt habe???

 

[SRX5308]Sat Mar 16 19:23:55 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN]  SSL_INFO : Login Successful for geardomain user app(Admin) from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:23:55 2019((GMT+0100)) [SRX5308][System][LOGIN]  SSL_INFO : Login Successful for geardomain user app(Admin) from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][SSLVPN][SSLVPN] SSL_INFO :user app is Logged-Out successfully from host 161.129.70.221

 

[SRX5308]Sat Mar 16 19:24:11 2019((GMT+0100)) [SRX5308][System][LOGIN] SSL_INFO :user app is Logged-Out successfully from host 161.129.70.221

 

MfG

Schildberg

Model: SRX5308|PROSAFE Gigabit Quad WAN SSL & IPSEC VPN Firewall
Nachricht 3 von 11
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @ldss,

 

leider kann ich dir nicht sagen was in deinem Netzwerk los ist.

 

Sagt dir die IP Adresse etwas? Welche Geräte sitzen hinter der Firewall?

 

NAS etc. ?

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

Nachricht 4 von 11
Idss
Aspirant

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo FrankHe,

 

ich hab ein Subnet mit 192.168.200.xxx hinter der Firewall: 6 Rechner, 1 Server, 4 Cams, 1 Drucker, WLAN's, VOIP-Telefone...

Die IP 161.129.70.221 ist also eine externe, lt. IN  'quadranet.com'.

Ich log mich lokal über 'admin' mit geändertem Passwort ein und 'admin' hat keinen Zugang über ein WAN, 'guest' überhaupt keinen.

Dann gibts noch 'idss' einen PPTP-User.

Remote-Management habe ich inzwischen deaktiviert.

Das ist doch etwas misteriös.

 

mfG

Schildberg

 

Nachricht 5 von 11
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @ldss,

 

leider können wir da wenig helfen, wer Zugang zu deinem System hat.

 

Wie bereits gesagt, die Log's zeigen nur das jemand von der IP 161.xxxxxxx Zugang hatte.

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

Nachricht 6 von 11
Idss
Aspirant

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo FrankHe,

wenn sich jemand an meinem Router mit einem User anmelden kann, den ich nicht angelegt habe, dann läßt das nur einen Schluss zu, nähmlich, dass es in dem Router einen unsichtbaren User/Zugang gibt, was wohl das Gegenteil eines Sicherheitskriteriums darstellt. Mit anderen Worten: eine Sicherheitslücke. Und wer bitte sollte da helfen?

 

mfG

Schildberg

Nachricht 7 von 11
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @ldss,

 

wie es aussieht kommt der login über ein SSL VPN.

 

Gibt es einen SSL User "App" und besteht eine aktive SSL VPN policy die ein login erlaubt?

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

.

Nachricht 8 von 11
Idss
Aspirant

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo FrankHe,

eben nicht.

mfG

Schildberg

Nachricht 9 von 11
FrankHe
NETGEAR Employee Retired

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

Hallo @Idss,

 

dann wären wir hier in der Community leider am Limit dessen angekommen was wir tun können.

 

Ich würde dich bitten, unseren Telefon Support hier zu kontaktieren. Die Kollegen haben evtl. die Möglichkeit sich auf zu schalten um zu sehen wo das Problem liegt.

 

Mit freundlichen Grüßen

FrankHe
Team NETGEAR

Nachricht 10 von 11
KngDa
Aspirant

Re: SRX5308 nicht nachvollziehbare Protokolleinträge

I had exactly the same log entry on March 17th. There is no one authorized to be logging in. It looks like the app was successfully installed. There was also a successful login on March 18th. I can't see anything in the configuration of the router. As I can't take the security risk, I am replacing the router with a more current model.

Nachricht 11 von 11
Diskussionsstatistiken
  • 10 Antworten
  • 4809 Aufrufe
  • 0 Kudos
  • 3 in Unterhaltung