ok danke, dann muss ich einen Reset durchführen. Und ich brauche davor sicher nicht alle in Volume1 gespeicherten Daten vorher auf eine externe HDD zu sichern? Wird nur die Systempartition gelöscht und neu aufgesetzt?
Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
- Ersteller Tscherno
- Erstellt am
- Status
Hallo Tscherno,
Bücher und Hardware zum Thema gibt es bei Amazon: Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
Bücher und Hardware zum Thema gibt es bei Amazon: Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3
1. Jain
2. Ja
Normalerweise wird die Datenpartition nicht angetastet, aber ein Backup sollte man trotzdem immer haben, denn es kann immer etwas unvorhergesehenes passieren. Wenn du kein Backup hast sind dir deine Daten eh nichts wert. Dann versteh ich allerdings deine Frage nicht.
2. Ja
Normalerweise wird die Datenpartition nicht angetastet, aber ein Backup sollte man trotzdem immer haben, denn es kann immer etwas unvorhergesehenes passieren. Wenn du kein Backup hast sind dir deine Daten eh nichts wert. Dann versteh ich allerdings deine Frage nicht.
Hallo zusammen,
bei allen Befehlen kommt raus was soll ... lediglich hier gibt es ein "false" statt wirklich explizit "echo '{ "boot" : false, "success" : true }';".
Ich hatte nen Befall mit Prozessen "lolzm", "lolzb" und "synolog" in nem Verzeichnis "lolz" etc., die nach ner Androhung eines Updates (hatte eins für die 1813+ manuell einspeisen wollen - die Automatik sagte zwar zu dem Zeitpunkt, dass es ein Update gab, aber dem vertraute ich nicht, gab dann natürlich ne Fehlermeldung wegen Inkompatibilität zur 1812+) dann weg waren, woraufhin ich das Zerzeichnis /lolz gelöscht habe und nach nem Neustart die neue (richtige) DSM version drüber installiert (keine Neuinstallation, ich weiss ...) hab.
Danach waren keine auffälligen Prozesse mehr erkennbar, auch nicht mit htop, das ich als Alterntive eines ggf. verunreinigten oder umgebogenen top installiert hab... sieht soweit also alles sauber aus - bis auf diese kleinigkeit.
ja ich weiss, dass eine neuinstallation sicherer ist, aber habe erstmal schauen wollen und den webzugang von außen erstmal unterbunden bzw. vor dem update komplett die DS nicht ins internet gelassen. Die Frage ist, ob es in diesem Fall wirklich notwendig ist, das komplette system neu einzurichten - sinnvoll wäre es natürlich (grad wenn keine Nutzdaten gekillt werden). Danke für alle Einschätzungen
Zuletzt bearbeitet:
Backup ist da, nicht der aller neuste Stand, daher fragte ich. Sonst mache ich noch ein Fullbackup.
Applikationen wie Owncloud sind aber weg nehme ich an.
Applikationen wie Owncloud sind aber weg nehme ich an.
Hallo Leute!
Habe mir jetzt so gut es geht die englische Seite und diese Thread durchgelesen - aber für mich als nicht sehr versierten Anwender öffnet sich kein Gedankenfenster. Das mit "Putty" habe ich verstanden. Aber wie verbinde ich mich als Admin? Hier scheitert es bereits. Wer kann mir weiterhelfen? Vielen Dank!
Habe mir jetzt so gut es geht die englische Seite und diese Thread durchgelesen - aber für mich als nicht sehr versierten Anwender öffnet sich kein Gedankenfenster. Das mit "Putty" habe ich verstanden. Aber wie verbinde ich mich als Admin? Hier scheitert es bereits. Wer kann mir weiterhelfen? Vielen Dank!
Hi nochmals!
In der Zwischenzeit wurde auch ich bereits ein wenig schlauer (man glaubt es kaum ;-)) Habe mich jetzt via Putty verbunden und in der Command-line die ersten Befehle eingegeben. Bei find / -xdev -user 502 springe ich ohne Ergebnis in eine neue Zeile. Bei cd /PWND/ bekomme ich "-ash: cd: can't cd to /PWND/". Bin ich jetzt betroffen oder ist bei mir alles ok?
Danke für ein kurzes Feedback
In der Zwischenzeit wurde auch ich bereits ein wenig schlauer (man glaubt es kaum ;-)) Habe mich jetzt via Putty verbunden und in der Command-line die ersten Befehle eingegeben. Bei find / -xdev -user 502 springe ich ohne Ergebnis in eine neue Zeile. Bei cd /PWND/ bekomme ich "-ash: cd: can't cd to /PWND/". Bin ich jetzt betroffen oder ist bei mir alles ok?
Danke für ein kurzes Feedback
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
Bin ich jetzt betroffen oder ist bei mir alles ok?
Danke für ein kurzes Feedback
alles schick
Hallo!
@ laserdesign: danke! Jetzt bin ich mal beruhigt.
und jetzt werde ich gleich gesteinigt: bei mir läuft dsm 4.1-xxxx. Ich habe jedoch nicht die Option für eine Aktualisierung. Bei mir sieht es wie folgt aus...
Jemand eine Idee warum?
@ laserdesign: danke! Jetzt bin ich mal beruhigt.
und jetzt werde ich gleich gesteinigt: bei mir läuft dsm 4.1-xxxx. Ich habe jedoch nicht die Option für eine Aktualisierung. Bei mir sieht es wie folgt aus...
Jemand eine Idee warum?
laserdesign
Benutzer
- Mitglied seit
- 11. Jan 2011
- Beiträge
- 2.549
- Punkte für Reaktionen
- 47
- Punkte
- 94
warum das bei dir so ist, weiß ich auch nicht, du kannst aber hier mal schauen und dann manuel installieren.
Hallo
Ich bin jetzt nicht sicher ob ich betroffen bin von dem Hack oder nicht.
Mir ist aufgefallen das der Systemmonitor auf einmal ungewöhnlich niedrige Werte anzeigt die so eigentlich nicht sein können.
Doch die Liste von Tscherno gibt erst mal keine entsprechenden Resultate außer bei den More Befehlen.
Wie schlimm ist das jetzt ? Reicht da ein update oder doch lieber komplett neu ?
Weiß jemand ob auch die verschlüsselten Ordner eingesehen werden konnten ?
Ich bin jetzt nicht sicher ob ich betroffen bin von dem Hack oder nicht.
Mir ist aufgefallen das der Systemmonitor auf einmal ungewöhnlich niedrige Werte anzeigt die so eigentlich nicht sein können.
Doch die Liste von Tscherno gibt erst mal keine entsprechenden Resultate außer bei den More Befehlen.
Wie schlimm ist das jetzt ? Reicht da ein update oder doch lieber komplett neu ?
Weiß jemand ob auch die verschlüsselten Ordner eingesehen werden konnten ?
LOLZ hat mich erwischt ...
Hallo zusammen,
ich habe eine DS411slim mit DSM 4.1.2668 (wobei der Update-Manager behauptet das sei das Neuste)
So wie es aussieht hat mich LOLZ erwischt, zumindest habe ich das entsprechende Verzeichnis
mit ein paar Dateien (die ich inzwischen in ein anderes Unterverzeichnis verschoben habe).
Trotz reboot habe ich immer noch einen ungebeten Gast ...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.178.24:33451 93.174.95.67:3344 ESTABLISHED 5576/httpd-log.pid
Die Ports 5000-5001 habe ich über meine FritzBox dicht gemacht. Offen sind noch
Bezeichnung Protokoll Port an Computer an Port
HTTP-Server TCP 80 DiskStation 80
FTP-Server TCP 21 DiskStation 21
DiskStation_MySql TCP 3306 DiskStation 3306
An dieser Stelle die Frage:
a) was kann ich tun ohne einen Reset?
b) wenn ich ein Update einspielen muss, kann ich dann die 4.1.-2668 mit der letzten 4.3.er
Version updaten?
Jede Hilfestellung ist willkommen; im Voraus besten Dank.
MFG
OSRA.Ackermann
PS: Auf meiner NAS hoste ich eine Web-Site mit historischen Dokumenten.
Hallo zusammen,
ich habe eine DS411slim mit DSM 4.1.2668 (wobei der Update-Manager behauptet das sei das Neuste)
So wie es aussieht hat mich LOLZ erwischt, zumindest habe ich das entsprechende Verzeichnis
mit ein paar Dateien (die ich inzwischen in ein anderes Unterverzeichnis verschoben habe).
Trotz reboot habe ich immer noch einen ungebeten Gast ...
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.178.24:33451 93.174.95.67:3344 ESTABLISHED 5576/httpd-log.pid
Die Ports 5000-5001 habe ich über meine FritzBox dicht gemacht. Offen sind noch
Bezeichnung Protokoll Port an Computer an Port
HTTP-Server TCP 80 DiskStation 80
FTP-Server TCP 21 DiskStation 21
DiskStation_MySql TCP 3306 DiskStation 3306
An dieser Stelle die Frage:
a) was kann ich tun ohne einen Reset?
b) wenn ich ein Update einspielen muss, kann ich dann die 4.1.-2668 mit der letzten 4.3.er
Version updaten?
Jede Hilfestellung ist willkommen; im Voraus besten Dank.
MFG
OSRA.Ackermann
PS: Auf meiner NAS hoste ich eine Web-Site mit historischen Dokumenten.
Weiss jemand, was "SYNOTunnel" macht?
Hallo zusammen,
noch ein paar Erkenntnisse über meinen "Freund" :
Im Verzeichnis /bin werden die folgenden "busybox"-Kommandos ersetzt:
So sollte es sein:
drwxr-xr-x 2 root root 4096 Feb 22 20:24 .
drwxrwxrwx 23 root root 4096 Feb 22 16:13 ..
lrwxrwxrwx 1 root root 7 Mar 7 2013 ash -> busybox
-rwxr-xr-x 1 root root 1589952 Dec 11 2012 busybox
So ist es:
-rwxr-xr-x 1 root root 65 Feb 19 04:49 ls
-rwxr-xr-x 1 root root 110 Feb 19 04:49 mv
-rwxr-xr-x 1 root root 65 Feb 19 04:49 ps
-rwxr-xr-x 1 root root 110 Feb 19 04:49 rm
Kein Wunder also, dass man die entsprechenden Prozesse nicht "finden" kann!
Und das ist der Inhalt der ersetzten Kommandos:
OSRA_DS411> more ls
#!/bin/sh
/bin/busybox ls $@ | grep -v 'httpd-log.pid\|dhcp.pid'
OSRA_DS411> more mv
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox mv $@
OSRA_DS411> more ps
#!/bin/sh
/bin/busybox ps $@ | grep -v 'httpd-log.pid\|dhcp.pid'
OSRA_DS411> more rm
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox rm $@
Und wenn man dann "/bin/busybox ps | grep /httpd-log.pid" ausführt, findet seinen "Gast";
ich habe die entsprechenden Prozesse gekillt.
In "/var/run" findet man dann auch das entsprechende "executable" httpd-log.pid ...
OSRA_DS411> /bin/busybox ls -l htt*.*
-rwxr-xr-x 1 root root 166684 Feb 19 04:49 httpd-log.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-sys.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-user.pid
httpd-log.pid habe ich verschoben und die execute-Rechte aufgehoben.
Interessant ist noch, dass an Ende der Datei /etc/rc der folgende
Aufruf befindet:
if [ -f /.memtest -a -x /usr/sbin/syno_memtester.sh ]; then
swapoff $SwapDevice
/usr/sbin/syno_memtester.sh &
fi
fi # DISKLESS
SYNOTunnel
exit 0
Weiss jemand, was SYNOTunnel macht und/oder wo das zu finden ist?
Und noch eine Frage zum Schluss:
Wie stelle ich die SymLinks auf die "überschriebenen" busybox-Kommandos wieder her?
(ja ich weiss: mit ln -f -s /bin/busybox rc ... aber das hat irgendwie nicht geklappt; wenn also jemand
rein zufällig die korrekte Syntax für diesen Fall zur Hand hat, wäre das super.)
Besten Dank im Voraus!
MFG
OSRA.Ackermann
Hallo zusammen,
noch ein paar Erkenntnisse über meinen "Freund" :
Im Verzeichnis /bin werden die folgenden "busybox"-Kommandos ersetzt:
So sollte es sein:
drwxr-xr-x 2 root root 4096 Feb 22 20:24 .
drwxrwxrwx 23 root root 4096 Feb 22 16:13 ..
lrwxrwxrwx 1 root root 7 Mar 7 2013 ash -> busybox
-rwxr-xr-x 1 root root 1589952 Dec 11 2012 busybox
So ist es:
-rwxr-xr-x 1 root root 65 Feb 19 04:49 ls
-rwxr-xr-x 1 root root 110 Feb 19 04:49 mv
-rwxr-xr-x 1 root root 65 Feb 19 04:49 ps
-rwxr-xr-x 1 root root 110 Feb 19 04:49 rm
Kein Wunder also, dass man die entsprechenden Prozesse nicht "finden" kann!
Und das ist der Inhalt der ersetzten Kommandos:
OSRA_DS411> more ls
#!/bin/sh
/bin/busybox ls $@ | grep -v 'httpd-log.pid\|dhcp.pid'
OSRA_DS411> more mv
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox mv $@
OSRA_DS411> more ps
#!/bin/sh
/bin/busybox ps $@ | grep -v 'httpd-log.pid\|dhcp.pid'
OSRA_DS411> more rm
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox rm $@
Und wenn man dann "/bin/busybox ps | grep /httpd-log.pid" ausführt, findet seinen "Gast";
ich habe die entsprechenden Prozesse gekillt.
In "/var/run" findet man dann auch das entsprechende "executable" httpd-log.pid ...
OSRA_DS411> /bin/busybox ls -l htt*.*
-rwxr-xr-x 1 root root 166684 Feb 19 04:49 httpd-log.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-sys.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-user.pid
httpd-log.pid habe ich verschoben und die execute-Rechte aufgehoben.
Interessant ist noch, dass an Ende der Datei /etc/rc der folgende
Aufruf befindet:
if [ -f /.memtest -a -x /usr/sbin/syno_memtester.sh ]; then
swapoff $SwapDevice
/usr/sbin/syno_memtester.sh &
fi
fi # DISKLESS
SYNOTunnel
exit 0
Weiss jemand, was SYNOTunnel macht und/oder wo das zu finden ist?
Und noch eine Frage zum Schluss:
Wie stelle ich die SymLinks auf die "überschriebenen" busybox-Kommandos wieder her?
(ja ich weiss: mit ln -f -s /bin/busybox rc ... aber das hat irgendwie nicht geklappt; wenn also jemand
rein zufällig die korrekte Syntax für diesen Fall zur Hand hat, wäre das super.)
Besten Dank im Voraus!
MFG
OSRA.Ackermann
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Die 3306 nach außen zu öffnen halte ich für sehr gefährlich. Der MySQL ist nicht dazu gedacht im Netz zu spuken ...
Wie schon geschrieben hat sich die Schadsoftware seit ihrer ersten Entdeckung rasch entwickelt. Es ist also vollkommen unklar welche Namen sie momentan angenommen hat und was sie noch alles an Zielen verfolgt. Alles außer einem Reset ist in meinen Augen grob fahrlässig, weil nicht garantiert werden kann dass alle Rückstände entfernt werden/wurden.
Auch ein Reboot ist zwecklos, weil die Software wohl mit ziemlicher Sicherheit nach dem Hochfahren sofort wieder nach Hause telefoniert. Interessant finde ich ja auch das manipulierte rm-Kommando. Es dürfte also verdammt schwer werden, die Originaldateien wieder rein zu bekommen wenn sowohl ls als auch rm ersetzt worden sind und nicht mehr tun was sie sollen ...
MfG Matthieu
Wie schon geschrieben hat sich die Schadsoftware seit ihrer ersten Entdeckung rasch entwickelt. Es ist also vollkommen unklar welche Namen sie momentan angenommen hat und was sie noch alles an Zielen verfolgt. Alles außer einem Reset ist in meinen Augen grob fahrlässig, weil nicht garantiert werden kann dass alle Rückstände entfernt werden/wurden.
Auch ein Reboot ist zwecklos, weil die Software wohl mit ziemlicher Sicherheit nach dem Hochfahren sofort wieder nach Hause telefoniert. Interessant finde ich ja auch das manipulierte rm-Kommando. Es dürfte also verdammt schwer werden, die Originaldateien wieder rein zu bekommen wenn sowohl ls als auch rm ersetzt worden sind und nicht mehr tun was sie sollen ...
MfG Matthieu
Hallo Mathieu,
ich muss gestehen, ich bin noch ein ziemlicher "Frischling" im "NAS-Geschäft", von daher noch eine Frage:
Beim RESET wird DSM neu installiert - richtig?
Bleibt volume1 dann aussen vor oder muss ich dann mein Backup zur Wiederherstellung bemühen?
Wie kann ich es erreichen, daß nicht 4.1.-2668 eingerichtet wird, sondern direkt die neuste Version 4.3.-* ?
Nebenbei bemerkt setzen all diese Maßnahmen, die der/die Angreifer hier umgesetzt haben eine ziemliche kriminelle Energie voraus.
Da stellt sich mir die Frage, ob ein entsprechender Strafantrag gegen die Urheber der Attacken hier nicht angebracht wäre?
In diesem Sinne
OSRA.Ackermann
PS: Und für einen Hinweis zu den Fragen besten Dank im Voraus!
ich muss gestehen, ich bin noch ein ziemlicher "Frischling" im "NAS-Geschäft", von daher noch eine Frage:
Beim RESET wird DSM neu installiert - richtig?
Bleibt volume1 dann aussen vor oder muss ich dann mein Backup zur Wiederherstellung bemühen?
Wie kann ich es erreichen, daß nicht 4.1.-2668 eingerichtet wird, sondern direkt die neuste Version 4.3.-* ?
Nebenbei bemerkt setzen all diese Maßnahmen, die der/die Angreifer hier umgesetzt haben eine ziemliche kriminelle Energie voraus.
Da stellt sich mir die Frage, ob ein entsprechender Strafantrag gegen die Urheber der Attacken hier nicht angebracht wäre?
In diesem Sinne
OSRA.Ackermann
PS: Und für einen Hinweis zu den Fragen besten Dank im Voraus!
So ich bin nun auch etwas weiter.
Da die oben beschriebenen Möglichkeiten zum erkennen wohl nicht mehr sicher sind da sich der Hack wohl mittlerweile ziemlich verändert hat ist mir ein weiteres wichtiges Indiz für einen Befall aufgefallen.
Wem im Systemmonitor ungewöhnliche Werte auffallen startet einfach mal den Synology Assistenten und startet da den Ressourcen Monitor. Während auf der Syno Oberfläche 10-20% zu sehen sind wird im Assistenten 95-100% angezeigt.
Der dafür verantwortliche Prozess wird nirgends angezeigt.
Außerdem war die Direktory Anzeige in Putty vollkommen anders als normal (keine farblich Darstellung) und die Box ist nicht mehr in den Ruhemodus (DS413) gegangen.
Krass finde ich ja auch das es wohl auch möglich war auf den Verschlüsselten Bereich zuzugreifen. Da fragt man sich wofür dann so eine Verschlüsselung überhaupt gut ist.
Nach einen Update auf die aktuelle Version kann ich keine Spuren mehr von dem Hack finden.
Da die oben beschriebenen Möglichkeiten zum erkennen wohl nicht mehr sicher sind da sich der Hack wohl mittlerweile ziemlich verändert hat ist mir ein weiteres wichtiges Indiz für einen Befall aufgefallen.
Wem im Systemmonitor ungewöhnliche Werte auffallen startet einfach mal den Synology Assistenten und startet da den Ressourcen Monitor. Während auf der Syno Oberfläche 10-20% zu sehen sind wird im Assistenten 95-100% angezeigt.
Der dafür verantwortliche Prozess wird nirgends angezeigt.
Außerdem war die Direktory Anzeige in Putty vollkommen anders als normal (keine farblich Darstellung) und die Box ist nicht mehr in den Ruhemodus (DS413) gegangen.
Krass finde ich ja auch das es wohl auch möglich war auf den Verschlüsselten Bereich zuzugreifen. Da fragt man sich wofür dann so eine Verschlüsselung überhaupt gut ist.
Nach einen Update auf die aktuelle Version kann ich keine Spuren mehr von dem Hack finden.
Zuletzt bearbeitet:
Matthieu
Benutzer
- Mitglied seit
- 03. Nov 2008
- Beiträge
- 13.222
- Punkte für Reaktionen
- 88
- Punkte
- 344
Wie kommst du darauf? Wenn das Verzeichnis nicht eingehangen war, bestand IMHO auch keine Möglichkeit für einen Zugriff. Wenn man auf die Daten zugreift, müssen diese logischerweise entschlüsselt werden, womit immer eine Schwachstelle entsteht. Die lässt sich aber nur vermeiden wenn die Applikation selbst in der Lage ist verschlüsselte Daten zu verarbeiten (bspw. Office).Krass finde ich ja auch das es wohl auch möglich war auf den Verschlüsselten Bereich zuzugreifen. Da fragt man sich wofür dann so eine Verschlüsselung überhaupt gut ist.
@OSRA_Ackermann: Bei einem Reset wird das Betriebssystem komplett neu installiert. Danach wird eine Installation vorgenommen die der bei der Inbetriebnahme sehr ähnlich ist (auch wieder über den Assistant). Da kann man dann als pat-Datei auch eine aktuellere Version einpflegen.
Anzeige gegen unbekannt dürfte nutzlos sein, weil es sehr schwierig ist den Ursprung bzw. die Urheber zu ermitteln. Die "Kontroll-Server" sind ebenfalls gekaperte Server ...
MfG Matthieu
Wenn ich ein Reset gemacht habe und das neue DSM aufgespielt habe, kann ich dann meine Sicherung der Einstellungen/Konfigurationsdatei im DSM wieder zurückspielen oder habe ich dann den Hack evtl. teilweise wieder drauf? Möchte nicht unbedingt alle Einstellungen und User neu anlegen. Gruß Madberlin
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
