Neue Anmeldung erkannt - wie genau analysieren, was genau passier hier

Anbieter: Hetzner
Hardware: Cloud
OS: Linux
NextCloud: 26.0.2
PHP: 8.2
DB: Mysql 10.5


Ich erhalte öfter mal die Info von NextCloud, das von irgend einer neuen IP ein Anmeldeversuch stattgefunden hat.

Heute z.B. von hier: Geotool (was definitiv nicht von mir war)

Das Passwort ist save (16 Zeichen, alpha-numerisch, groß,Klein, sonderzeichen
 nirgendwo anders verwendet), daher gehe ich davon aus, dass dies nicht gehackt wurde.

Nun Frage ich mich, was genau diese Message aussagt:

  1. irgend jemand hat meine Login-Seite gefunden und einfach versucht sich (erfolglos) anzumelden
  2. jemand hat sich “erfolgreich angemeldet”

Wenn Punkt 1 zutrifft könnte ich mir die Meldung noch erklĂ€ren, ansonsten wĂŒrde ich glatt von einem Bug in NextCloud (z.B. beim triggern dieser Nachrichten, oder sicherheitsleck, das einloggen auf anderen Weg ermöglicht) ausgehen.

BTW:
Auch wĂŒrde mich interessieren, ob und wo man ggf. Benutzer-Übergreifend sehen kann, wann sich wer von welcher IP versucht hat anzumelden
 und dabei idealerweise auch gleich sehen kann, ob er ins System gekommen ist, oder mit falschen Credentials abgewiesen wurde.

So viel ich weiss werden erfolgreiche Anmeldungen standardmĂ€ssig nicht geloggt. Und auch der Term “Anmeldeversuch” kommt nicht vor in den normalen Logs. Ein erfolgloser Loginversuch, sieht folgendermassen aus im Nextcloud Log:

Logfile:

{"reqId":"H5mur69DauAXn9R08BsN","level":2,"time":"2023-06-02T10:36:46+02:00","remoteAddr":"<IP-ADRESSE>","user":"--","app":"no app in context","method":"POST","url":"/login","message":"Login failed: username (Remote IP: <IP-ADRESSE>)","userAgent":"Mozilla/5.0 (X11; Linux x86_64;│

WebUI:

Login failed: username (Remote IP: <IP-ADRESSE>)`

Hast du die App Suspicious Logins aktiviert? Eventuell kommt die Meldung von da. So oder so, der Begriff “Anmeldeversuch” deutet darauf hin, dass die Anmeldung nicht erfolgreich war, also kein Grund sich Sorgen zu machen.

Jup, siehe oben. Aber eventuell kannst du ja die genaue Meldung hier posten.

Denke ich nicht, siehe oben.

Wie bereits gesagt, im Standard Log werden so viel ich weiss nur erfolglose Loginversuche geloggt. Du kannst aber das Admin Audit Log aktivieren, welches viel mehr Events loggt, darunter auch erfolgreiche Logins


Beispiel:

{"reqId":"sdrzm2fmzuSVIfVSDEvP","level":1,"time":"2023-06-02T10:36:05+02:00","remoteAddr":"<IP-ADRESSE>","user":"username","app":"admin_audi│
t","method":"PROPFIND","url":"/remote.php/dav/addressbooks/users/username/contacts/","message":"Login successful: \"username\"","userAgent":"DAVx│
5/4.3.2-gplay (2023/05/02; dav4jvm; okhttp/4.10.0) Android/13","version":"26.0.2.1","data":{"app":"admin_audit"}}

Um das Audit-Log aber sinnvoll nutzen zu können, brauchst du imho irgend ein externes Log Management Tool, welches die relevanten Meldungen rausfiltert und dich alarmiert bei bestimmten Events.

EDIT:
Bei mir erscheinen erfolgreiche Logins in der Activity App. Ich bin aber nicht sicher, ob die standardmÀssiig dort erscheinen oder nur wenn das Admin Audit Log aktiv ist. Im normalen Nextcloud Log erscheinen sie jedenfalls nicht bei mir.

@bb77
Hey klasse, danke erstmal fĂŒr die vielen Infos.

Suspicious Login

Ja eigentlich dachte ich auch erst, das es ein fehlgeschlagener Anmeldeversuch war, aber diese Meldung die ausgeworfen wird empfiehlt halt das Passwort zu Àndern.

image

Ich habe bei dem Plugin jetzt erstmal ein Ticket eröffnet, ob es vielleicht ein Bug bei der Erkennung einer Anfrage sein könnte: A new login into your account was detected - really a login, or just a try? · Issue #803 · nextcloud/suspicious_login · GitHub

Audit Loging


 hatte ich bisher nicht, hab ich jetzt mal installiert

Activitiy App

hatte ich schon aktiviert und mal reingeschaut. Logins zeigt er aber in der Liste “AktivitĂ€ten” bei mir gar nicht an.

Ja stimmt, normale Loginmeldungen erscheinen nicht im Activity Log. Ich habe da nur folgende Meldungen, die von der 2FA Webauthn App kommen:

Du hast dich erfolgreich mittels Zwei-Faktor-Authentifizierung angemeldet (SicherheitsschlĂŒssel)

GemÀss ipinfo.io gehört die IP dem Provider DNSNET.

https://ipinfo.io/217.70.138.84

Kann es sein, dass das dein Internet Provider ist, und dass diese IP die öffentliche IP deines Internetanschlusses ist?

Ich weiss nicht genau wie dei App Suspicious Login arbeitet, aber wenn wir mal davon ausgehen, dass meine Vermutung korrekt ist, und sich irgend ein Client aus deinem Heimnetz mehrmals mit einem falschen Passwort versucht hat an der Nextcloud bei Hetzner anzumelden, könnte es sein, dass die IP deines Internetanschlusses deshalb in der Liste der versÀchtigen IP Adressen der Suspicious Login App gelandet ist.

Nein, mein Internetprovider ist es nicht.
Da ich nextcloud bei hetzner in der Cloud hoste kann ich mir höchstens vorstellen, dass deren Support (die die Updates einspielen) ggf. irgend ein Script laufen haben, das nach dem Update checkt, ob alles noch geht.

Muss mal im Auge behalten, ob es irgendwie mit Updates von nextcloud zusammen fÀllt.