Intrusion... directement depuis mon Syno ??

[eya]

Bonjour,

Je viens de découvrir 3 téléchargements sur DownloadStation que je n'ai pas lancés sur mon Syno, mais qui apparaissent comme ayant été lancés depuis mon compte (que j'appellerai par la suite "toto").

Je suis allé dans les journaux, et j'y ai trouvé  la connexion suivante (qui s'est reproduite 17 fois en 5mn) :

"User [toto]  from [127.0.0.1] logged in successfully via DSM"

Le jour correspond à celui où les téléchargement ont été lancés ; des connexions similaires ont eu lieu le lendemain. Aucune autre connexion depuis "127.0.0.1" n'avait eu lieu auparavant.

1) Je m'interroge : comment une connexion peut-elle avoir eu lieu depuis 127.0.0.1, c'est à dire mon propre Syno ? Et ce d'autant plus que je ne vois auparavant aucune autre connexion sur le Syno (les seules connexions sont les miennes, via [DSM] en local ou à distance, ou celle de ma copine en local via [CIFS(SMB)] - je lui ai configuré un accès à des répertoires du syno montés depuis son PC, avec son propre compte sur le Syno). Y aurait-il un cheval de Troie dans un des paquets ? Ou une autre connexion qui n’apparaît pas dans les journaux (et dans ce cas quel fichier de log aller consulter ?).

2) quelle mesure de protection/correction prendre , à part changer le mot de passe du compte [toto] ? (je crains que si j'interdise les connexions depuis 127.0.0.1 je ne me cause bcp de pbs !) - je précise que j'avais déjà mis en place des blocages automatiques suite à 5 tentatives de connexions ratées dans les 5 minutes (et pour l'instant j'ai déconnecté mon Syno du réseau)

Bref, preneur de tous vos éclairages / conseils !

 

Eya