7543 подписчика

TrueNAS — 1 API login failures in the last 24 hours

6 ноября 20256 ноя 2025

1 мин

Захожу с утра в web-интерфейс TrueNAS и вижу ошибку: 1 API login failures in the last 24 hours: (username=truenas_admin,session_id=11111111-2222-3333-4444-555555555555,address=172.16.2.2)

2025-11-04 01:00:28 (Europe/Moscow) Первая мысль: ну всё, не долго счастье длилось, злобные хакеры всё взломали и нечего доступ снаружи к сайтам давать. Начинаю анализировать и задумываться. Во-первых, алерт прилетел в час ночи. В логах в это время ничего нет. Однако, сам текст ошибки как бы подсказывает, что проблема была в течение 24 часов. Значит, в час ночи отработал какой-то скрипт и посчитал, сколько было за сутки неверных логинов. Не самый лучший способ — сообщать что к вам ломились с неверный паролем много часов назад. Понятно, что ошибка с логином должна была произойти в течение 24 часов. Ищу и нахожу её в логах аудита днём в 12:53. Здесь я каким-то образом попытался выполнить вход без имени пользователя. Возможно просто нажал на кнопку входа. Анализирую дальше. 172.16.2.2 — это адрес Nginx P

Захожу с утра в web-интерфейс TrueNAS и вижу ошибку:

1 API login failures in the last 24 hours: (username=truenas_admin,session_id=11111111-2222-3333-4444-555555555555,address=172.16.2.2)
2025-11-04 01:00:28 (Europe/Moscow)

Первая мысль: ну всё, не долго счастье длилось, злобные хакеры всё взломали и нечего доступ снаружи к сайтам давать.

Начинаю анализировать и задумываться. Во-первых, алерт прилетел в час ночи. В логах в это время ничего нет. Однако, сам текст ошибки как бы подсказывает, что проблема была в течение 24 часов. Значит, в час ночи отработал какой-то скрипт и посчитал, сколько было за сутки неверных логинов. Не самый лучший способ — сообщать что к вам ломились с неверный паролем много часов назад.

Понятно, что ошибка с логином должна была произойти в течение 24 часов. Ищу и нахожу её в логах аудита днём в 12:53. Здесь я каким-то образом попытался выполнить вход без имени пользователя. Возможно просто нажал на кнопку входа.

Анализирую дальше. 172.16.2.2 — это адрес Nginx Proxy Manager, который я, в том числе, использую и для аутентификации в TrueNAS. Значит, обращение было через этот прокси.

Nginx Proxy Manager — настраиваем SSL для всех сайтов домашней лаборатории

Ключи API я не использую, однако, знаю, что NPM использует.

Смотрим дальше, ID сессии, оказывается мой. Я в это время работал, сессия была сохранена в моём браузере. Уже хорошо, становится понятно, что ошибку сгенерировал я сам. Осталось предположить, как такое возможно.

Для начала вышел из TrueNAS и попытался зайти без имени пользователя. Ошибка зафиксировалась, однако, от имени неизвестного пользователя ".UNAUTHENTICATED".

После этого я попробовал по другому. Настроил время жизни сессии на 30 секунд (Sysem → Advanced Settings → Access) и оставил висеть отчёт на авторефреше. И браузер свернул. Через 30 секунд токен протух и юзера выкинуло из интерфейса. В логах аудита ошибки нет, всё чётко.

Ещё один способ, выхожу из TrueNAS. Открываю две вкладки с формой логина. На первой выполняю вход, на второй просто тыкаю в кнопку входа, не указав логин и пароль. И получаю ту самую ошибку.

Осталось дождаться часа ночи и посмотреть что появится в алертах...

Источник:

internet-lab.ru

TrueNAS — 1 API login failures in the last 24 hours | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Технологии в финансах

65 тыс интересуются