Sporadische Admin Web Interface Anmeldungen im Log ohne Benutzerinteraktion

Es gibt 7 Antworten in diesem Thema, welches 1.214 mal aufgerufen wurde. Der letzte Beitrag () ist von Agoraphobie.

    Hallo Netzwerkler,


    Controller Version: 7.3.83.0

    27 Controller im Einsatz mit ungefähr 50-400 Endgeräten auf einer Schulserverlösung mittels Linux umgesetzt (Logodidact)


    folgendes ist uns aufgefallen, im System Log der Controller sind folgende Meldungen "admin opened UniFi Network via the Web".

    Das uriose ist die Zeit n dem das passiert, teilweise mitten in der Nacht und von den 4 Personen, die regelmäßig auf den Controller zugreifen dürfen, ist es keiner gewesen :).


    Daher die Frage: Ist das normal? Werden hier eventuell Background Tasks im Adminkontext ausgeführt, wobei die Meldung dann immernoch seltsam wäre. Wir möchtgen diese angeblichen Login-Versuche gerne nachvollziehen und einen Unbekannten Faktor/Person ausschließen. Gibt es eine Möglichkeit den Login weiter abzusichern ohne ein Onlinekonto?


    Die Logmeldungen haben kein erkennbares System, es ist manchmal am Tag Mehrmals zu allesn Möglichen Tagesszeiten oder auch nur mal alle 6 Wochen. Das ist von Standort zu Standort verschieden. Die Größe des Standortes scheint keine Rolle zu spielen. Fakt ist das sich der Benutzer "admin" eigentlich nicht ohne unser Wissen bzw während der Arbeitszeit "Über das Web" anmelden sollte oder?


    Über ein Feedback oder gar eine Erklärung über dieses Phänomen würden wir uns sehr freuen.


    Mit freundlichen Grüßen

    wenns hilft:


    die MongoDB enthält in der Datenbank „ACE“ eine Tabelle mit admin_activity_log.



    Da ist die IP mit bei die zugreifen hat damit sollte sich rausfinden lassen wer zugreift

    oder zu mindestens von WO weiter zu forschen. Von alleine habe da noch nie was drinnen gesehen...


    Der Filter ist " {time: { $gt : 1702885094810 , $lt : 1702885094820} } „

    sucht damit zwischen den beiden Values (unix Timestamp) damit

    könnt ihr die Zeit besser eingrenzen. (mag diese Seite zum konvertieren)


    MongoDBCompass ist kostenlos, die DB läuft nur auf einen leicht anderen Port

    mongodb://localhost:27117 ggf schauen auf welchen Port die bei euch läuft.


    Wenn die Maschine mit den Controller keien GUI hat dann per SSH tunnel

    einfach den PORT Lokal mappen (so mach ich das)..

    Hallo gierig,

    vielen Dank für die schnelle Antwort.


    Kann ich also davon ausgehen, das dieses Verhalten nicht normal ist also auch nicht bei Ihnen auftritt? Wir würden sonst einfach mal das Passwort ändern und das eine Weile beobachten. Mein Kollege springt im Kreis und ist der Meinung jemand fremdes sputk auf dem System rum...klingt erstmal lächerlich über diesen langen Zeitraum, dennoch sollte man diesen Aspekt nicht einfach beiseite schieben und wir möchten hie reinfach die Sicherheit gewährleisten können.

    Zitat von Agoraphobie

    Kann ich also davon ausgehen, das dieses Verhalten nicht normal ist also auch nicht bei Ihnen auftritt?

    Korrekt, habe jedenfalls nie nicht von mit ausgelöste eintrage gesehen.

    Zitat von Agoraphobie

    Wir würden sonst einfach mal das Passwort ändern und das eine Weile beobachten.

    Hatte der Standalone Controller keine User verwaltung ? Scheint keine gute Idee zu sein einen ADMIN user zu haben

    dessen Passwort geteilt wird...

    Gibt es denn auf dem/den Controller/n eigentlich einen admin?

    Sind davon mehrere Controller betroffen? Und befinden die sich an unterschiedlichen Orten?


    Welche Zugriffsmöglichkeiten habt ihr eingerichtet? Remotezugriff über unifi Portal? Zugriff nur lokal im Netzwerk über die IP des Controllers? Portweiterleitungen auf den Internetanschlüssen auf den Controller (also Zugriff direkt aus Internet möglich)?


    Wenn ich das richtig sehe, dann logt der selfhost Controller sogar nur erfolgreiche Logins ... ganz schlecht irgendwie.


    gierig hat er natürlich. Aber man kann nur einen Administrator (früher Super Admin) auf einem Controller anlegen. Zusätzlich dann scheinbar nur noch Site Admins, die nur einen Standort verwalten können.

    Wir haben an jedem Standort einen Management PC (WIndows 10 Nuc) im Serverraum, dieser ist abgeschlossen, klimatisiert etc also Zutritts/Zugangskontrolle.


    Den Management PC erreichen wir via VPN oder Teamviewer Business - von dort greifen wir auf die ESX Oberfläche zu/idrac/ILO und den Unifi controller, welcher auf einer Linux VM als Container läuft.


    Zitat von DoPe

    Zugriff nur lokal im Netzwerk über die IP des Controllers?

    Ja


    bis auf wenige Ausnahmen sind alle Controller mit "admin opened UniFi Network via the Web" gesegnet zu teilweise unchristlichen Zeiten, wo definitiv keinKollege mehr mehr dran arbeitet.

    Ein Zugriff aus dem Internet oder Remotelogin ist nicht möglich, es ist auch kein Cloudkonto oder derartiges eingerichtet, es handelt sich um standalone Controller für den jeweilen Standort, welcher theoretisch auuch nur aus diesem Netzwerk (Jeder Standort standalone, nicht untereinander vernetzt, eigene Domände usw).


    Was mir heute aufgefallen ist, wennn ich mich in die Webconsole einlogge und die Seite neu lade (Firefox Browser btw), dann wird ein neuer EIntrag "admin opened UniFi Network..." angelegt. Wir lassen die Session auf dem Management PC oft offen. Den Raum betritt ohne uns niemand und der Management PC ist gesperrt oder hat keinen Monitor. Demnach lassen wir die einfach Tabs offen mit zb der Webconsole.


    Wenn ich also die Seite nach einer oder gar 10 Minuten neulade dann lädt er die Seite neu, ich bleibe weiterhin eingeloggt, werde also nicht aufgefordert mein Daten neu einzugeben aber der Eintrag im Log wird aktualisiert mit der Zeit.


    Könnte es sein das nachts der TAB neu lädt? und dann ein Eintrag generiert wird. Was halt seltsam ist, das würde bedeuten dieser Site-Refresh wäre überall ohne Sstem oder total sporadisch.

    okay. Also wenn man auf den controller nur aus der Festung zugreifft, dann bleibt ja kaum noch was ausser der geöffnete Browser. Habt ihr Kennwort gespeichert im Browser?


    Müsste ich mal nachstellen bzw. Versuchen. Könnte mir das aber gut vorstellen, dass es am refresh liegt. Die Seite aktualisiert ja den Inhalt mehr oder weniger zügig und ein echtes timeout für das login gibt es glaube ich nicht in der Form das man ausgeloggt wird wenn man x Minuten inaktiv ist.

    Ich würde er gerne mal abschließen, auflösen. Also es war/ist wirklich so, das wenn die Unifi COnsole offen gelassen wird in einem Browser auf einem Client der Tagelang an bleibt...für Teamviewer Zugriffe usw. Dann refresht Firefox wohl sporadisch mal die Seite...vermutlich durch Tasks, Hintergrundupdates oder was weiß ich.


    Fakt ist...wir haben über die Schließung Neujahr überall alle offnene Consolen geschlossen daraufhin gab es keinerlei seltsame Adminbenachrichtigungen mehr.


    Ich denke das wird der Fehler gewesen sein. Bzw kein Fehler sondern die Ursache.