@Matthieu Danke dann werde ich es mal machen, auch wenn ich bisher nicht wirklich Anzeichen für ein Hack habe, Sicher ist Sicher 
Gruß Madberlin
Gruß Madberlin
Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
- Ersteller Tscherno
- Erstellt am
- Status
Hallo Tscherno,
Bücher und Hardware zum Thema gibt es bei Amazon: Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
Bücher und Hardware zum Thema gibt es bei Amazon: Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
Hallo zusammen,
noch ein "Fundstück" aus der /etc/rc.local; glücklicherweise hatte ich /var/run/httpd-log.pid
schon recht früh gelöscht.
OSRA_DS411> more /etc/rc.local
/var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3344
Also nichts mehr mit "nach-hause-telefonieren".
Weiss rein zufällig jemand, wie man in Apache solche Sachen blocken kann?
Besten Dank im Voraus.
Grüsse aus dem Rheinland
OSRA.Ackermann
PS: Mangels besserem Wissen, wie ich die Busybox-Links (s.o.) wieder herstellen kann,
habe ich die entsprechenden Shell-Scripte bereinigt.
noch ein "Fundstück" aus der /etc/rc.local; glücklicherweise hatte ich /var/run/httpd-log.pid
schon recht früh gelöscht.
OSRA_DS411> more /etc/rc.local
/var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3344
Also nichts mehr mit "nach-hause-telefonieren".
Weiss rein zufällig jemand, wie man in Apache solche Sachen blocken kann?
Besten Dank im Voraus.
Grüsse aus dem Rheinland
OSRA.Ackermann
PS: Mangels besserem Wissen, wie ich die Busybox-Links (s.o.) wieder herstellen kann,
habe ich die entsprechenden Shell-Scripte bereinigt.
Tja, Synology bastelt mit jeder neuen Beta an Icons und bunten Bildchen rum
aber die Sicherheit bleibt auf der Strecke. Demnächst haben wir noch Dropbox
und Soziale Netzwerke eingebunden. Mal sehen wie viele Sicherheitslücken sich
in Zukunft noch offenbaren werden.
Schade das es in diesem Forum immer noch keine eigene Kategorie für "SICHERHEIT" gibt
aber die Sicherheit bleibt auf der Strecke. Demnächst haben wir noch Dropbox
und Soziale Netzwerke eingebunden. Mal sehen wie viele Sicherheitslücken sich
in Zukunft noch offenbaren werden.
Schade das es in diesem Forum immer noch keine eigene Kategorie für "SICHERHEIT" gibt
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
@OSRA_Ackermann: Was genau möchtest du blocken? Ich glaube nicht dass httpd-log etwas mit dem Apache zu tun hat - die Schadsoftware tarnt sich nur unter diesem Namen.
@Falkenfelser: Du bist dir schon darüber im klaren dass wir hier seit einem Vierteljahr immer über die gleichen Lücken reden? Jeder der jetzt betroffen ist hat in diesem Zeitraum nicht gehandelt sondern das System ungepatcht gelassen.
MfG Matthieu
@Falkenfelser: Du bist dir schon darüber im klaren dass wir hier seit einem Vierteljahr immer über die gleichen Lücken reden? Jeder der jetzt betroffen ist hat in diesem Zeitraum nicht gehandelt sondern das System ungepatcht gelassen.
MfG Matthieu
@Matthieu: was hat denn das eine mit dem anderen zu tun?
Ist denn jetzt wirklich klar welches Update welche Lücke behoben hat?
Oh, ich sehe gerade das Synology in den Release Notes ein paar CVE Nummern nach gepflegt hat.
http://www.heise.de/security/meldung/Synology-NAS-Geraete-als-Bitcoin-Miner-missbraucht-2113423.html
Wenn ich den Heise Artikel richtig gelesen habe mussten beide Sicherheitslücken offen sein.
Aber im englischen Forum haben mehrere behauptet mit Version: 4.3-3810 Update 3 betroffen zu sein!
Ich bin seit ich von der http://www.andreafabrizi.it/?exploits:dsm Lücke weiß, deutlich sensibeler geworden.
Ich habe mich mit meiner 109+ (max DSM 4.2) beim Synology Newsletter angemeldet:
Am 24.1 bekam ich Nachricht über ein wichtiges Update 4.3-3810 Update 4 vom 09.01.2014 (also nur 15 Tage nach dem Release) das aber nur eine Lücke im SMB flickt. (Hätte ich wenn ich gekonnt hatte gar nicht installiert, bin alleine in meinem Netz)
Am 17.2 kam dann die Update News über die hier diskutiert wurde (nur 3 Tage nach der offiziellen (englischen) Presse Meldung)
Nachricht das ein Update für DSM 4.2 da ist habe nicht bekommen (ist ja angeblich auch kein Sicherheitsfix) und die automatische Update Prüfung hat sich ja auch nicht gemeldet weil vom Bug betroffen.
Welche Ports/Freigaben waren denn jetzt eigentlich betroffen nur 5000/5001 oder auch separate Freigaben für Filestation oder Audiostation. Oder auch die PhotoStation obwohl sie eigentlich auf dem anderen Webserver läuft?
Das jetzt immer noch (wiederholt) über den Befall diskutiert wird finde ich auch nicht so nötig, aber jeder der auch verzögert für das Thema Sicherheit sensibilisiert wird ist wichtig.
@Matthieu: ich glaube du gehörst zu den Leuten die anderen immer davon abraten den Port 5000/5001 nach außen freizugeben, aber leider hören immer weniger auf dich. Sicherheit ist in den Köpfen der Leute noch nicht angekommen.
Ist denn jetzt wirklich klar welches Update welche Lücke behoben hat?
Oh, ich sehe gerade das Synology in den Release Notes ein paar CVE Nummern nach gepflegt hat.
http://www.heise.de/security/meldung/Synology-NAS-Geraete-als-Bitcoin-Miner-missbraucht-2113423.html
Wenn ich den Heise Artikel richtig gelesen habe mussten beide Sicherheitslücken offen sein.
Aber im englischen Forum haben mehrere behauptet mit Version: 4.3-3810 Update 3 betroffen zu sein!
Ich bin seit ich von der http://www.andreafabrizi.it/?exploits:dsm Lücke weiß, deutlich sensibeler geworden.
Ich habe mich mit meiner 109+ (max DSM 4.2) beim Synology Newsletter angemeldet:
Am 24.1 bekam ich Nachricht über ein wichtiges Update 4.3-3810 Update 4 vom 09.01.2014 (also nur 15 Tage nach dem Release) das aber nur eine Lücke im SMB flickt. (Hätte ich wenn ich gekonnt hatte gar nicht installiert, bin alleine in meinem Netz)
Am 17.2 kam dann die Update News über die hier diskutiert wurde (nur 3 Tage nach der offiziellen (englischen) Presse Meldung)
Nachricht das ein Update für DSM 4.2 da ist habe nicht bekommen (ist ja angeblich auch kein Sicherheitsfix) und die automatische Update Prüfung hat sich ja auch nicht gemeldet weil vom Bug betroffen.
Welche Ports/Freigaben waren denn jetzt eigentlich betroffen nur 5000/5001 oder auch separate Freigaben für Filestation oder Audiostation. Oder auch die PhotoStation obwohl sie eigentlich auf dem anderen Webserver läuft?
Das jetzt immer noch (wiederholt) über den Befall diskutiert wird finde ich auch nicht so nötig, aber jeder der auch verzögert für das Thema Sicherheit sensibilisiert wird ist wichtig.
@Matthieu: ich glaube du gehörst zu den Leuten die anderen immer davon abraten den Port 5000/5001 nach außen freizugeben, aber leider hören immer weniger auf dich. Sicherheit ist in den Köpfen der Leute noch nicht angekommen.
Was wäre denn besser? Außer den Port erst gar nicht zu öffnen...
Über 443 und intern auf 5001 umleiten oder gleich einen ganz anderen Port wählen?
Damit ist das Problem aber immer noch nicht gelöst.
Zudem wundert mich das solche Probleme immer bei Login Sachen auftreten bzw.
sehr spät gefixt werden. Ist fast wie bei dem Desaster mit den AVM Routern.
Eigentlich kann man da nur noch von Vorsatz ausgehen.
Über 443 und intern auf 5001 umleiten oder gleich einen ganz anderen Port wählen?
Damit ist das Problem aber immer noch nicht gelöst.
Zudem wundert mich das solche Probleme immer bei Login Sachen auftreten bzw.
sehr spät gefixt werden. Ist fast wie bei dem Desaster mit den AVM Routern.
Eigentlich kann man da nur noch von Vorsatz ausgehen.
Zuletzt bearbeitet:
Hi,
ich habe mir vermutlich auch den Miner drauf. Bei mir ist die CPU Last bei aktiver I-Net Verbindung 100%. Habe ich den I-Net Traffic geblockt, so ist die Last immernoch bei 50%. Problem ist, dass ich SSH ausgeschalten habe. Per Assistent und Webadmin komme ich nicht drauf. Bekomme höchstens den Anmeldebildschirm angezeigt (Trage Benutzer und Pass ein, aber nichts passiert). Auch ein RESET mit 4Sek. + 4Sek. bringt nichts. Ich bekomme keinen quittierungston nach 4 Sek. sondern nach ca. 10 Minuten. Kann mir jemand sagen, wie ich an die Daten komme.
Ach übrigens ich hatte die Syno nur als SMTP Relay offen. D.h. nur Port 110 und 25 wurden weitergeleitet an die Syno. Sonst war diese nicht zu erreichen von aussen!! Daher würde ich laut dem Hersteller nicht nur auf die bekannten Port 5000 5001 vertrauen!!!!
Gruß
ich habe mir vermutlich auch den Miner drauf. Bei mir ist die CPU Last bei aktiver I-Net Verbindung 100%. Habe ich den I-Net Traffic geblockt, so ist die Last immernoch bei 50%. Problem ist, dass ich SSH ausgeschalten habe. Per Assistent und Webadmin komme ich nicht drauf. Bekomme höchstens den Anmeldebildschirm angezeigt (Trage Benutzer und Pass ein, aber nichts passiert). Auch ein RESET mit 4Sek. + 4Sek. bringt nichts. Ich bekomme keinen quittierungston nach 4 Sek. sondern nach ca. 10 Minuten. Kann mir jemand sagen, wie ich an die Daten komme.
Ach übrigens ich hatte die Syno nur als SMTP Relay offen. D.h. nur Port 110 und 25 wurden weitergeleitet an die Syno. Sonst war diese nicht zu erreichen von aussen!! Daher würde ich laut dem Hersteller nicht nur auf die bekannten Port 5000 5001 vertrauen!!!!
Gruß
kein Vorsatz!
Ich gehe mal davon aus das in letzter Zeit die Tools um Lücken zu finden viel besser geworden sind und dadurch auch mehrere entdeckt wurden.
Wenn du etwas programmiert hast weißt du ja auch wie es funktionieren soll und benutzt es auch so, auf die Idee Optionen ganz anders zu verwendet kommt man ja erst mal nicht.
Freigaben:
erst mal überlegen was man wirklich braucht? Und wer es braucht!
Über VPN nachdenken! (wobei ich auch nichts davon halte einer dubiosen Smartphone - App meine VPN Daten anzuvertrauen, dazu kommt die Möglichkeit auf Verlust des Geräts)
Ich habe nur FTP, Photostation und Webstation offen.
Und weit weg von den Standard Ports (sowas wie 25001). Das beseitigt zwar nicht die Sicherheitslücke, aber es dauert deutlich länger den offenen Port zu finden. Wenn es jemand auf dich abgesehen hat hilft das aber nicht.
Ich gehe mal davon aus das in letzter Zeit die Tools um Lücken zu finden viel besser geworden sind und dadurch auch mehrere entdeckt wurden.
Wenn du etwas programmiert hast weißt du ja auch wie es funktionieren soll und benutzt es auch so, auf die Idee Optionen ganz anders zu verwendet kommt man ja erst mal nicht.
Freigaben:
erst mal überlegen was man wirklich braucht? Und wer es braucht!
Über VPN nachdenken! (wobei ich auch nichts davon halte einer dubiosen Smartphone - App meine VPN Daten anzuvertrauen, dazu kommt die Möglichkeit auf Verlust des Geräts)
Ich habe nur FTP, Photostation und Webstation offen.
Und weit weg von den Standard Ports (sowas wie 25001). Das beseitigt zwar nicht die Sicherheitslücke, aber es dauert deutlich länger den offenen Port zu finden. Wenn es jemand auf dich abgesehen hat hilft das aber nicht.
Dann schau dir das Video an http://www.heise.de/video/artikel/AVM-Router-laesst-sich-auch-ohne-Fernzugang-kapern-2116590.html und sag mir nochmal das es sich dabei nicht um Vorsatz handelt. Es ist immer schlimmer als man denkt. Wenn Zugangsdaten im Klartext auf fremden Servern abgeliefert werden können... Ist ja wirklich ein ganz komischer Fehler. Da braucht es wirklich nicht viel Fanatsie um zu erkennen, das mit diesem angeblich unbeabsichtigten Fehler noch andere Interessen einhergehen. Mit solchen Lücken kann man auch super Geld machen oder Industriespionage betreiben. Und solange es keiner meldet schaut AVM einfach weg oder kassiert noch Geld dafür...
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Das ist durchaus richtig, ich habe ja nicht aus Spaß auch eine Security-Checkliste geschrieben und im Forum veröffentlicht.
Man muss das allerdings auch in Relation betrachten: Ich hänge beispielsweise am T-Mobile Mobilfunknetz und kann darüber keine VPN-Verbindung aufbauen (nicht mal SSH funktioniert ...). Der Zugriff auf Port 5001 ist für mich trotzdem notwendig. Anregungen zur Absicherung hast du ja schon gegeben, aber nicht immer lässt sich eben alles umsetzen. Deswegen sollte man stets auf der Hut sein.
Das Argument mit dem Newsletter ist für mich ein sehr schwaches. Aus dem gleichen Grund, aus dem ich seit Jahren auch alle Windows-Systeme an denen auch andere User arbeiten auf automatische Updates stelle. Es ist immer wieder erschreckend wie stiefmütterlich das Thema behandelt wird. Auch die DSen können selbst nach Updates suchen.
@Falkenfelser: Vorsatz würde bedeuten, dass Synology beschließt, an bestimmten Stellen Lücken zu lassen. Warum trifft es immer den Login? Ganz einfach, weil er das lukrativste ist und weil er an vorderster Front steht. Wenn man einen Dienst öffentlich anbietet, hat man häufig nicht viel mehr als den Login einem Angreifer entgegen zu setzen. Dementsprechend "anziehend" sind solche Logins bzw. deren Umgehung für gewisse Personengruppen. Hat man das geknackt ist man drin. Dementsprechend ist es auch nicht verwunderlich dass es möglich ist bestimmte Daten auszulesen - man ist ja im System. Der Upload auf einen externen Server sind dann nicht mehr als ein paar Codezeilen.
Große Konzerne unterhalten sogar eigene Hackertruppen um die eigenen Produkte zu überprüfen. Ein weiteres, beliebtes Mittel sind externe Audits durch "bezahlte Whitehats". Und trotzdem zahlen einige Unternehmen große Summen für entdeckte und vernünftig gemeldete Lücken. Das machen sie wohl kaum als Ansporn für ihre eigenen Teams ...
MfG Matthieu
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Von dem einen Befehl lässt sich das nicht sagen. Es gibt verschiedene Formen der Malware, deswegen sind nur noch einige der Befehle wirkliche Indikatoren.
MfG Matthieu
Werden da Daten gelöscht? Ich habe ein DS1010+ mit einem RAID1 auf zwei Platten, die anderen sind "normal".
Lg
Olivier
Hallo,
ich frage mich gerade ob man das SSL Zertifikat erneuern muss, oder ob man nach dem Update von DSM nichts mehr tun muss.
Lg Florian
ich frage mich gerade ob man das SSL Zertifikat erneuern muss, oder ob man nach dem Update von DSM nichts mehr tun muss.
Lg Florian
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
Nicht im Kontext des Mining-Bugs, um den es hier im Thread ging - allerdings gibt gerade Ärger wegen des Heartbleed-Bugs (den Du hier im Forum auch findest), und in dessen Folge sollte man nach dem Fix/Update dann durchaus darüber nachdenken, die Zertifikate zu wechseln.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
