Neue Anmeldung erkannt - wie genau analysieren, was genau passier hier

suther · June 2, 2023, 8:22am

Anbieter: Hetzner
Hardware: Cloud
OS: Linux
NextCloud: 26.0.2
PHP: 8.2
DB: Mysql 10.5

Ich erhalte öfter mal die Info von NextCloud, das von irgend einer neuen IP ein Anmeldeversuch stattgefunden hat.

Heute z.B. von hier: Geotool (was definitiv nicht von mir war)

Das Passwort ist save (16 Zeichen, alpha-numerisch, groß,Klein, sonderzeichen… nirgendwo anders verwendet), daher gehe ich davon aus, dass dies nicht gehackt wurde.

Nun Frage ich mich, was genau diese Message aussagt:

irgend jemand hat meine Login-Seite gefunden und einfach versucht sich (erfolglos) anzumelden
jemand hat sich “erfolgreich angemeldet”

Wenn Punkt 1 zutrifft könnte ich mir die Meldung noch erklären, ansonsten würde ich glatt von einem Bug in NextCloud (z.B. beim triggern dieser Nachrichten, oder sicherheitsleck, das einloggen auf anderen Weg ermöglicht) ausgehen.

BTW:
Auch würde mich interessieren, ob und wo man ggf. Benutzer-Übergreifend sehen kann, wann sich wer von welcher IP versucht hat anzumelden… und dabei idealerweise auch gleich sehen kann, ob er ins System gekommen ist, oder mit falschen Credentials abgewiesen wurde.

bb77 · June 2, 2023, 8:59am

So viel ich weiss werden erfolgreiche Anmeldungen standardmässig nicht geloggt. Und auch der Term “Anmeldeversuch” kommt nicht vor in den normalen Logs. Ein erfolgloser Loginversuch, sieht folgendermassen aus im Nextcloud Log:

Logfile:

{"reqId":"H5mur69DauAXn9R08BsN","level":2,"time":"2023-06-02T10:36:46+02:00","remoteAddr":"<IP-ADRESSE>","user":"--","app":"no app in context","method":"POST","url":"/login","message":"Login failed: username (Remote IP: <IP-ADRESSE>)","userAgent":"Mozilla/5.0 (X11; Linux x86_64;│

WebUI:

Login failed: username (Remote IP: <IP-ADRESSE>)`

Hast du die App Suspicious Logins aktiviert? Eventuell kommt die Meldung von da. So oder so, der Begriff “Anmeldeversuch” deutet darauf hin, dass die Anmeldung nicht erfolgreich war, also kein Grund sich Sorgen zu machen.

Jup, siehe oben. Aber eventuell kannst du ja die genaue Meldung hier posten.

Denke ich nicht, siehe oben.

Wie bereits gesagt, im Standard Log werden so viel ich weiss nur erfolglose Loginversuche geloggt. Du kannst aber das Admin Audit Log aktivieren, welches viel mehr Events loggt, darunter auch erfolgreiche Logins…

Beispiel:

{"reqId":"sdrzm2fmzuSVIfVSDEvP","level":1,"time":"2023-06-02T10:36:05+02:00","remoteAddr":"<IP-ADRESSE>","user":"username","app":"admin_audi│
t","method":"PROPFIND","url":"/remote.php/dav/addressbooks/users/username/contacts/","message":"Login successful: \"username\"","userAgent":"DAVx│
5/4.3.2-gplay (2023/05/02; dav4jvm; okhttp/4.10.0) Android/13","version":"26.0.2.1","data":{"app":"admin_audit"}}

Um das Audit-Log aber sinnvoll nutzen zu können, brauchst du imho irgend ein externes Log Management Tool, welches die relevanten Meldungen rausfiltert und dich alarmiert bei bestimmten Events.

EDIT:
Bei mir erscheinen erfolgreiche Logins in der Activity App. Ich bin aber nicht sicher, ob die standardmässiig dort erscheinen oder nur wenn das Admin Audit Log aktiv ist. Im normalen Nextcloud Log erscheinen sie jedenfalls nicht bei mir.

suther · June 5, 2023, 7:54pm

@bb77
Hey klasse, danke erstmal für die vielen Infos.

Suspicious Login

Hast recht, Suspicious Login ist installiert… und in deren Sourcecode findet sich auch die Meldung

Ja eigentlich dachte ich auch erst, das es ein fehlgeschlagener Anmeldeversuch war, aber diese Meldung die ausgeworfen wird empfiehlt halt das Passwort zu ändern.

Ich habe bei dem Plugin jetzt erstmal ein Ticket eröffnet, ob es vielleicht ein Bug bei der Erkennung einer Anfrage sein könnte: A new login into your account was detected - really a login, or just a try? · Issue #803 · nextcloud/suspicious_login · GitHub

Audit Loging

… hatte ich bisher nicht, hab ich jetzt mal installiert

Activitiy App

hatte ich schon aktiviert und mal reingeschaut. Logins zeigt er aber in der Liste “Aktivitäten” bei mir gar nicht an.

bb77 · June 6, 2023, 8:43am

Ja stimmt, normale Loginmeldungen erscheinen nicht im Activity Log. Ich habe da nur folgende Meldungen, die von der 2FA Webauthn App kommen:

Du hast dich erfolgreich mittels Zwei-Faktor-Authentifizierung angemeldet (Sicherheitsschlüssel)

Gemäss ipinfo.io gehört die IP dem Provider DNSNET.

https://ipinfo.io/217.70.138.84

Kann es sein, dass das dein Internet Provider ist, und dass diese IP die öffentliche IP deines Internetanschlusses ist?

Ich weiss nicht genau wie dei App Suspicious Login arbeitet, aber wenn wir mal davon ausgehen, dass meine Vermutung korrekt ist, und sich irgend ein Client aus deinem Heimnetz mehrmals mit einem falschen Passwort versucht hat an der Nextcloud bei Hetzner anzumelden, könnte es sein, dass die IP deines Internetanschlusses deshalb in der Liste der versächtigen IP Adressen der Suspicious Login App gelandet ist.

suther · June 6, 2023, 10:40am

Nein, mein Internetprovider ist es nicht.
Da ich nextcloud bei hetzner in der Cloud hoste kann ich mir höchstens vorstellen, dass deren Support (die die Updates einspielen) ggf. irgend ein Script laufen haben, das nach dem Update checkt, ob alles noch geht.

Muss mal im Auge behalten, ob es irgendwie mit Updates von nextcloud zusammen fällt.