Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

[Tscherno]

Eine Warnung an alle: Unbedingt Update 4 installieren und Weboberfläche NICHT ins Internet freigeben.

Mir ist zufällig ein Aufruf unter den init-Scripten in Richtung /PWND aufgefallen, nicht sehr unauffällig. Ordner nicht sichtbar, kurzes Googeln führte dazu:
http://forum.synology.com/enu/viewt...sid=a9b61143dcd1d60c183a03ab4a2072f6&start=15
http://stadt-bremerhaven.de/synology-netzwerkspeicher-zum-mining-von-kryptowaehrung-gehackt/

Es ist tatsächlich so, dass ein Rootkit installiert wurde /root/.profile injection einer .so die den Ordner versteckt, Web-Taskmanager wird gepatcht, Load geringer angezeigt, Prozesse ausgeblendet. Volles Programm.

Nutzen: Bitcoin-Mining per CPU. Total bescheuert, ist aber so. Was sonst noch so an Daten rausging, kann man nicht mehr nachvollziehen.

PWND. Fuck.

Kurzer Check ob man betroffen ist:

find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*

Sollte da etwas Auffälliges rauskommen, Tasks beendet, Wechsel in Verzeichnis möglich => Shit happened!

Meldungen wie:
ERROR: ld.so: object '/PWNED/jynx2.so' from LD_PRELOAD cannot be preloaded: ignored.
Auch schlecht.

PS: Mal schauen wie lange es dauert bis es auf Heise und Golem steht. Schön wäre WIRKLICH ein Hinweis auf die extrem kritische Lücke im Changelog gewesen. Weis wer ob die Beta von DSM 5.0 betroffen ist?

 

[borg2k]

Tja vielleicht lernen die Leute dann endlich mal dass das DSM nix im Internet zu suchen hat. Wer sowas fürs Internet freigibt ist selber schuld in meinen Augen, aber trotzdem danke für die Warnung.

 

[Tscherno]

Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.

 

[chats]

Ich sehe das auch auch so. Wenn ich mir ein Auto kaufe will ich auch überall fahren und nicht nur in einer 30 Zone weil da das Risiko am geringsten ist das was passiert. Mit hinzu lernen hat das meiner Meinung nach nicht viel zu tun.
Synology bietet dienste an und die möchte man auch nutzen.

 

[nachon]

Es heißt aber NAS und nicht IAS

(NAS = Network attached Storage ; IAS = Internet attached Storage)

Ich verstehe auch nicht wieso man von außerhalb Einstellungen vornehmen muss und das DSM im Netz freigeben will.

 

[Matthieu]

Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.

Also ich habe am 24.1. eine Mail vom Synology-Newsletter bekommen dass ich unbedingt updaten soll ...
MfG Matthieu

 

[Nasi]

Kurzer Check ob man betroffen ist:
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*

Klasse ,das versteht jetzt auch jeder wie man das macht bzw was zu tun ist.
Ich check mal eben die Interthermik. Cool.

 

[Matthieu]

Die folgenden Punkte sind klare Anzeichen für eine Infektion:

• Der Ordner "/PWND" existiert
• Es laufen Prozesse mit "PWN" im Namen (WICHTIG: Über den Ressourcen-Monitor sind diese Prozesse nicht sichtbar!)
• Der Ressourcen-Monitor zeigt seltsame Werte an (Die Schadsoftware erzeugt Zufallswerte für den Ressourcen-Monitor, daher die Werte)
• Die Dateien "rsrcmonitor2.cgi", "top.cgi", "upgrade.cgi" sind Shell-Skripte, deren Inhalt sichtbar sind (im Ordner /usr/syno/synoman/webman/modules/ResourceMonitor bzw. /usr/syno/synoman/webman/modules/ControlPanel)

MfG Matthieu

 

[zwantE]

Kurzer Check ob man betroffen ist:

find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*

ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?

 

[borg2k]

Im ersten Post ist doch ein Link zum Forum von Synology, da wird alles haarklein aufgedrösselt, sogar für weniger versierte User verständlich, sofern man natürlich rudimentäre Schulenglischkenntnisse noch hat.

 

[Wetter]

Hab den Check ausgeführt und es ist alles gut. Ich hatte bisher nur die 3810 ohne "Updates" drauf und HTTPS über ein anderen Port als 443 ansprechen lassen. Hatte wohl damit Glück. Lasse nun Update4 installieren.

 

[prophet]

ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?

Du musst bei deinem NAS unter Systemsteuerung > Terminal > SSH aktivieren
und dann via Putty bzw. mit einen SSH Client dich als root anmelden (pw ist das normale pw vom admin user)
und dort die befehle eingeben. Wenn bei find / -xdev -user 502 nichts rauskommt und du den Ordner PWND nicht hast solltest du nicht davon betroffen sein.

lg

 

[RubberDuck]

Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!

 

[prophet]

Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!

Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user

 

[zwantE]

danke prophet...

DS214> find / -xdev -user 502
DS214>

fein fein... so weit so gut.

 

[prophet]

Ihr müsst euch als Root User anmelden nicht als admin
also bei benutzer: root
pw: pw von admin user

 

[RubberDuck]

Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user

Das dachte ich

Habe aber admin mit root vertauscht

Jetzt kam nix raus. Also befehl ist durchgelaufen, aber nix zu sehen. Das schon mal ein gutes Zeichen, oder ?!

Welche Ports sollten denn geschlossen sein?!

Ich habe nur den 5001 bei mir offen.

 

[zwantE]

bei mir kam auch nix raus... gut gut.

ist es denn nur kritisch wenn man DSM@5001 freigibt, oder generell wenn die DS im Inet erreichbar ist?
z.B. webstation & FTP?

 

[prophet]

Was ich verstanden habe, die DSM Oberfläche also Port 5000/5001

 

[RubberDuck]

Dann werde ich mal auf die neue Version udpaten

aber 5.0 lasse ich noch aus