SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker
- Ersteller jony
- Erstellt am
- Status
So, gerade nochmal ein Backup gemacht, weitergeleitete Ports geprüft (nun nur noch 5001, 443 und 80) und die DS wieder ans Internet gehängt. DSM 4.3-3827 Update5 war schon installiert 
Syn_Master
Benutzer
- Registriert
- 25. Mai 2011
- Beiträge
- 636
- Reaktionspunkte
- 5
- Punkte
- 44
da ist Sie wieder, die Angst, das "Jemand" auf die Own-Cloud zugreifen könnte.
Bis jetzt hab ich Glück gehabt, und schon einen Neuen Admin angelegt, aber welche Ports soll ich freigeben? Ich weiß, so wenig wie möglich...
Aber ein Tipp von Euch würde mir helfen. 5000, 5001, 21 und 23 werde ich jetzt mal sperren.
Bis jetzt hab ich Glück gehabt, und schon einen Neuen Admin angelegt, aber welche Ports soll ich freigeben? Ich weiß, so wenig wie möglich...
Aber ein Tipp von Euch würde mir helfen. 5000, 5001, 21 und 23 werde ich jetzt mal sperren.
Unitymedia-Kunde nehme ich an? Bei dem Schrottgerät lässt sich die Firewall nur komplett ein- oder ausschalten. Ein bedeutet: Keine Ports offen. Aus bedeutet: ALLE Ports offen. Im inoffiziellen Unitymediaforum gibt es sehr viele Infos zu dem Gerät.
Frogman
Benutzer
- Registriert
- 01. Sep. 2012
- Beiträge
- 17.485
- Reaktionspunkte
- 8
- Punkte
- 414
Welche Ports? Hey, das steht ja nun dutzendfach auf den Seiten zuvor... nur diejenigen, die unbedingt benötigt werden, von Dir selbst oder als Angebot für andere. Es gibt hier kein Standardrezept! Welche Ports für welche Dienste notwendig sind, findet sich im Wiki in der Syno-Portliste.
- Registriert
- 06. Apr. 2013
- Beiträge
- 14.190
- Reaktionspunkte
- 936
- Punkte
- 424
@pumpupthejam - es stimmt zwar, dass sich UM hier nicht gerade ne Sahneschnitte geleistet hat mit dem TC7200U, aber so pauschal wie du es ausdrückst erweckt es vielleicht doch ein falsches Bild. Es stimmt zwar, dass die eingebaute Firewall nur ganz oder gar nicht geht, aber das ist nicht gleichbedeutend mit ALLE Ports offen. Es heißt nur, dass diese nicht mehr durch einen Filter gehen, wenn Verkehr auf den Ports anfällt. Wenn ein Gerät dahinter erreichbar sein soll muß trotzdem noch eine Portweiterleitung eingerichtet sein. Ansonsten ist das Gerät auch erstmal zu, also Dienste im internen Netz nicht direkt erreichbar.
Einzige Situation die ich mir vorstellen könnte in der aller Verkehr direkt an die DS geht, wenn diese in einer DMZ als exposed Host laufen würde. Ob das mit der TC7200U überhaupt möglich wäre bzw. auch was Erwe für eine Setup hat habe ich jetzt gerade auch nicht parat.
Einzige Situation die ich mir vorstellen könnte in der aller Verkehr direkt an die DS geht, wenn diese in einer DMZ als exposed Host laufen würde. Ob das mit der TC7200U überhaupt möglich wäre bzw. auch was Erwe für eine Setup hat habe ich jetzt gerade auch nicht parat.
Was soll dass denn ? Bleibt doch bitte beim Thema.
Und nun zu folgender Aussage:
Nun fordert Synology erneut alle Anwender auf, das Upgrade durchzuführen. Ist es nun so unwahrscheinlich, dass genau diese Lücke erneut ausgenutzt wurde, wenn Anwender ihre Firmware danach nicht aktualisiert haben ?
Die Anwender, die hier beklagen Synology würde sich nicht um die Probleme kümmern sollten mal überlegen, wie verantwortungsvoll sie selber mit den Information umgegangen sind, die Synology veröffentlicht hat.
Und nun zu folgender Aussage:
Dir ist aber schon bekannt, dass es im VPN Umfeld der Synology eine schwerwiegende Passwort Schwachstelle in den Versionen DSM 4.3-3810 und älter gegeben hat, die Synology mit den Updates im Februar geschlossen hat nachdem diese Lücke aktiv zum Bitcoin-Mining ausgenutzt worden ist ?
Nun fordert Synology erneut alle Anwender auf, das Upgrade durchzuführen. Ist es nun so unwahrscheinlich, dass genau diese Lücke erneut ausgenutzt wurde, wenn Anwender ihre Firmware danach nicht aktualisiert haben ?
Die Anwender, die hier beklagen Synology würde sich nicht um die Probleme kümmern sollten mal überlegen, wie verantwortungsvoll sie selber mit den Information umgegangen sind, die Synology veröffentlicht hat.
Zuletzt bearbeitet:
Nach dem letzten Statement von Synology auf heise.de waren anscheinend doch nur Diskstations betroffen, die seit längerem nicht upgedated worden sind.
http://www.heise.de/newsticker/meld...eraete-anfaellig-fuer-Ransomware-2287427.html
Wer nach dem Bitcoining Einbruch nicht sein System up-to-date gebracht hat ist wahrlich selber schuld.
Daher denke ich, dass sich 90% der Leute hier wieder beruhigen können ;-)
Aufgrund dessen, habe ich meine Diskstation auch wieder ins Netz gehängt. Aktuellstes DSM 4.3 Update 5 ist ja eh schon drauf und
zusätzlich habe ich noch die 2-Stufen-Authentifierzung aktiviert.
Ich denke, das müsste genügen.
http://www.heise.de/newsticker/meld...eraete-anfaellig-fuer-Ransomware-2287427.html
Wer nach dem Bitcoining Einbruch nicht sein System up-to-date gebracht hat ist wahrlich selber schuld.
Daher denke ich, dass sich 90% der Leute hier wieder beruhigen können ;-)
Aufgrund dessen, habe ich meine Diskstation auch wieder ins Netz gehängt. Aktuellstes DSM 4.3 Update 5 ist ja eh schon drauf und
zusätzlich habe ich noch die 2-Stufen-Authentifierzung aktiviert.
Ich denke, das müsste genügen.
b1tchnow
Benutzer
- Registriert
- 18. Juni 2014
- Beiträge
- 169
- Reaktionspunkte
- 0
- Punkte
- 0
Nochmal: Gegen diese hier verwendete Lücke im System nutzen alle Sicherheitsmaßnahmen nix. Die Angreifer haben sich über die VPN-Anmeldung als root Zugriff verschafft. Auf der Ebene wird kein 2-Wege-Auth verwendet.
Gegen diesen Angriff hat nur eines geholfen: ein aktuelles System!
Eben auf Heise gelesen:
http://www.heise.de/newsticker/meld...oLocker-Opfer-aus-der-Geiselhaft-2287100.html
soweit ich weiß soll SynoLocker ja auf dem gleichen Algorythmus beruhen wie CryptoLocker.
Mit etwas Glück klappt dieses Verfahren ja auch für Betroffenen von SynoLocker-> Zumindest eine Chance ist es ja für die Betroffenen die nicht bereit sind zu zahlen.
Gruß
Patrick
http://www.heise.de/newsticker/meld...oLocker-Opfer-aus-der-Geiselhaft-2287100.html
soweit ich weiß soll SynoLocker ja auf dem gleichen Algorythmus beruhen wie CryptoLocker.
Mit etwas Glück klappt dieses Verfahren ja auch für Betroffenen von SynoLocker-> Zumindest eine Chance ist es ja für die Betroffenen die nicht bereit sind zu zahlen.
Gruß
Patrick
DKeppi
Benutzer
- Registriert
- 01. Apr. 2011
- Beiträge
- 3.230
- Reaktionspunkte
- 94
- Punkte
- 114
Das haben auch schon ein paar andere
Siehe ein paar Posts zuvor:
http://www.synology-forum.de/showth...n-durch-Hacker&p=446335&viewfull=1#post446335
http://www.synology-forum.de/showth...n-durch-Hacker&p=446428&viewfull=1#post446428
Das funktioniert scheinbar nicht:
http://www.synology-forum.de/showth...n-durch-Hacker&p=446337&viewfull=1#post446337
http://www.synology-forum.de/showth...n-durch-Hacker&p=446339&viewfull=1#post446339
http://www.synology-forum.de/showth...n-durch-Hacker&p=446431&viewfull=1#post446431
Schande über mein Haupt,
sorry ich hatte die letzten Seiten nur überflogen und hab das nicht gesehen. Dachte könnte ja jemandem helfen wenn es klappt. Naja, dann scheinbar leider nicht.
Hab nix gesagt
sorry ich hatte die letzten Seiten nur überflogen und hab das nicht gesehen. Dachte könnte ja jemandem helfen wenn es klappt. Naja, dann scheinbar leider nicht.
Hab nix gesagt
Nicht jeder hat Zeit ständig Newsticker zu lesen, und ja....... ich hab davon gar nichts mitbekommen.
Andererseits sind auch Firmware-Updates nicht immer ganz unproblematisch.
Das von dem Du denkst, es müsste genügen, könnte beim nächsten Mal genau das sein, worüber die Bösewichte an Deine Daten kommen.
Wie empfohlen, werde ich jetzt das Update machen, nur hab ich z.Z. nirgends genügend Volumen um ein vollständiges Backup meiner Daten, die auf der DS sind, zu machen.
Ich betreibe die DS212j im Raid 1 Modus.
Ist es also eine gute Idee, eine Platte zu entfernen, während ich update, damit, falls was schiefgeht mit dem Update, die Daten wenigstens noch auf einer Platte sind?
Oder geht das Update nur, wenn beide Platten eingebaut sind?
Ich habe auf meiner DS 209 die aktuellste Version laufen (4.2-3250) und hatte nur den Port 443 nach außen offen (aktuell abgestellt).
Jetzt steht in der Mitteilung von Synology, dass nur "4.3-3810 oder älter soll betroffen" sind und dass man auf "Version 4.2-3243 oder neuer" updaten sollte.
Hmmm, bezieht sich das "oder älter" also auf das Veröffentlichungsdatum der Firmware und ich bin mit 4.2-3250 sicher? Anders herum ("oder älter" bezieht sich auf die Versionsnummer) wäre ein Update kleinerer Versionsnummer sicher vernünftig, aber würde in diesem Fall nicht helfen.
Gibt es definitive Hinweise darauf, welcher Dienst angegriffen wurde? Von OpenVPN ist hier öfters die Rede. Ist das sicher oder weiter Vermutung?
Jetzt steht in der Mitteilung von Synology, dass nur "4.3-3810 oder älter soll betroffen" sind und dass man auf "Version 4.2-3243 oder neuer" updaten sollte.
Hmmm, bezieht sich das "oder älter" also auf das Veröffentlichungsdatum der Firmware und ich bin mit 4.2-3250 sicher? Anders herum ("oder älter" bezieht sich auf die Versionsnummer) wäre ein Update kleinerer Versionsnummer sicher vernünftig, aber würde in diesem Fall nicht helfen.
Gibt es definitive Hinweise darauf, welcher Dienst angegriffen wurde? Von OpenVPN ist hier öfters die Rede. Ist das sicher oder weiter Vermutung?
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
