Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

[gutername]

DSM 5.0 Beta habe ich auf der 414 seit der Veröffentlichung drauf und konnte noch kein Fehlverhalten oder Bugs feststellen. Nachher werde ich erstmal die DS Checken...

 

[mediamemphis]

Hallo zusammen,

wer sich generell nicht sicher ist, der sollte das NAS lieber einmal neu installieren.
Auf der Synology- Seite gibt es einen schönen link dazu, wie man dies bewerkstelligt: http://www.synology.com/de-de/support/tutorials/493#t3

Ladet die für euch aktuelle Version herunter (http://www.synology.com/de-de/support/download) und installiert diese im Anschluss. Auch ältere Versionen wurden von denen nochmal gefixt.

Ich weiß nicht, ob die Sicherung der Systemkonfiguration den müll mit übernehmen würde, vermute aber mal nein. Wenn man die Konfiguration sichert, ist diese in dem DSS File gepackt und verschlüsselt, also kann man diese nicht einsehen.

Das eine solche Lücke noch im DSM 5.0 vorhanden sein wird, glaube ich wohl kaum, schließlich werden die in der Entwicklung ja was dazu gelernt haben.
Zumindest gibt es inzwischen auch öfter mal kleine "smallfix"es.

Beste Grüße,
MM

 

[Wicki]

Hi zusammen,

zum Thema Sicherheit habe ich da mal eine Frage, da ich erst seit kurzem eine DS besitze. Ich habe in der FritzBox keine Weiterleitungen eingerichtet. In der FritzBox läuft DynDNS, allerdings ist der Zugriff auf die FB übers Internet deaktiviert. Ich habe mir einen VPN-Zugang in der FB angelegt, mit dem ich dann auf die FB und die DS zugreifen kann. Ich denke das ist sicherheitstechnisch so OK, oder sollte ich daran doch etwas ändern?

 

[Matthieu]

Ich denke das ist sicherheitstechnisch so OK, oder sollte ich daran doch etwas ändern?

In puncto Sicherheit hast du damit so ziemlich das Optimum erreicht was man als "Privatperson" bekommen kann - vorausgesetzt die Config hat keine unbeabsichtigten Fehler, aber das halte ich für recht unwahrscheinlich.

MfG Matthieu

 

[Tscherno]

Sorry, dass ich es gestern nicht mehr detailierter beschrieben habe. Ich kann den Beitrag leider auch nicht mehr ändern.

Also jetzt:
1. SSH aktivieren über Systemsteuerung
2. Per Putty (SSH Client) verbinden, User root, Passwort wie für Admin-Account vergeben (Sicherheitswarnung wegen SSH beim ersten Verbinden mit OK/Yes bestätigen)
3. Die Befehle wie hier angegeben einfach nacheinander ausführen (per rechtsklick einfügen in das Fenster). Erwartete Ausgabe schreibe ich dazu:

find / -xdev -user 502
<== Sollte nichts ausgeben, bzw. nichts finden

cd /PWND/
<== sollte sowas ausgeben: -ash: cd: can't cd to /PWND

killall PWNEDm
<== PWNEDm: no process found

killall PWNEDb
<== PWNEDb: no process found

more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
<== No such file or directory ODER sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false
<== "echo '{ "boot" : false, "success" : true }';" sonst nix

more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

grep LD_PRELOAD /root/.*
<== Keine Ausgabe

grep LD_PRELOAD /etc/*
<== Keine Ausgabe

 

[iChristoph]

Danke für die Anleitung. Bis auf zwei der Befehle ist bei mir alles negativ, also wie beschrieben. Diese beiden sind aber anders - und zwar wie folgt:

Bei Eingabe von "more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi" heißt es:

;?;?@@T@ @ @ ??DDD dt?P6L6L6L??dt?Q/lib/ld.so.1GNU
6%" (#FC:;
'8$0,@D& *!?+E7A.5<
13B
??"?B?p~B?8^B?$?B???B?qB?$sB?,FB?(wB???B?$qB??jB?0KB?%B? jB?d~C?44
?X?C,?C CC dRC(tyC08?C8?C@(?CH?-CP?*CX:?
?C`?VCh?cCp@Cx?C? JC???C?$&ET???C??--More-- (9% of 18540 bytes)

Und bei "more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi" kommt Folgendes:

4LF&?4@4( 444444
???DDD dt?P???

dt?Q/lib/ld.so.1GNU
???F*=v!?,y;?]j5 M?tpod .E?`rh??xn?sY8|zg"?_\u??Dq{O?mcf?C'iBSN}U-?H7Q?w^e6?J

1&(G)04K+I9/X2Pb%WT@A>lZV3a$~Rk#L
#? ????"
??Pd"

??|V???4?? ??2?????,
?--More-- (2% of 72512 bytes)

Ich bin nun etwas überfragt. Was bedeutet das für meine NAS? Infiziert?

Wäre für Hilfe wirklich dankbar. Chr

 

[borg2k]

Danke für die Anleitung. Bis auf zwei der Befehle ist bei mir alles negativ, also wie beschrieben. Diese beiden sind aber anders - und zwar wie folgt:

Bei Eingabe von "more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi" heißt es:

;?;?@@T@ @ @ ??DDD dt?P6L6L6L??dt?Q/lib/ld.so.1GNU
6%" (#FC:;
'8$0,@D& *!?+E7A.5<
13B
??"?B?p~B?8^B?$?B???B?qB?$sB?,FB?(wB???B?$qB??jB?0KB?%B? jB?d~C?44
?X?C,?C CC dRC(tyC08?C8?C@(?CH?-CP?*CX:?
?C`?VCh?cCp@Cx?C? JC???C?$&ET???C??--More-- (9% of 18540 bytes)

Und bei "more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi" kommt Folgendes:

4LF&?4@4( 444444
???DDD dt?P???

dt?Q/lib/ld.so.1GNU
???F*=v!?,y;?]j5 M?tpod .E?`rh??xn?sY8|zg"?_\u??Dq{O?mcf?C'iBSN}U-?H7Q?w^e6?J

1&(G)04K+I9/X2Pb%WT@A>lZV3a$~Rk#L
#? ????"
??Pd"

??|V???4?? ??2?????,
?--More-- (2% of 72512 bytes)

Ich bin nun etwas überfragt. Was bedeutet das für meine NAS? Infiziert?

Wäre für Hilfe wirklich dankbar. Chr

"more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden"

Was davon ist denn hier nicht zu verstehen, also manchmal frag ich mich echt ob die Leute die Beiträge überhaupt lesen und auch versuchen zu verstehen.

 

[iChristoph]

Aber der Hinweis steht nicht beim erstgenannten Befehl dabei, dort heißt es vielmehr "<== No such file or directory".
Und unter binären Zeichen verstehe ich eine Folge solcher Zeichen ohne Sonderzeichen. Oder irre ich mich da?

 

[Tscherno]

Aber der Hinweis steht nicht beim erstgenannten Befehl dabei, dort heißt es vielmehr "<== No such file or directory".
Und unter binären Zeichen verstehe ich eine Folge solcher Zeichen ohne Sonderzeichen. Oder irre ich mich da?

Das scheint wohl unterschiedlich je Diskstation zu sein, bei mir existiert sie nicht mehr. Habe mittlerweile auch die DSM 5 Beta drauf (in der Hoffnung, dass möglichst viele Systemdateien dadurch überschrieben werden). Es sollte nur kein normales Shellscript kommen, im Zweifelsfall posten. Binaries als Text ausgeben kann schon wieder zu allen möglichen Zeichen führen, das ist etwas verwirrend, sorry.

Was man bei dem ganzen nicht vergessen darf: Das war jetzt eine konkrete Angriffsvariante. Die Lücke könnte auch noch auf andere Arten ausgenutzt worden sein...

 

[lopo_ch]

Hi zusammen,

ich hab seit einigen Tagen festgestellt, dass mein IPCop in den Firewall-Logs diverse Angriffe auf den Port 5000 geblockt hat.

Das ist die Liste ab heute früh 6 Uhr:
121.63.75.x
110.154.115.x
81.218.169.x
89.230.0.x
188.3.100.x
188.173.252.x
120.63.210.x
218.93.177.x
187.185.178.x
91.187.96.x
190.2.218.x
78.188.68.x
77.70.100.x

Es scheint also weltweit eine grössere Welle unterwegs zu sein.

Gruss
lopo

 

[Matthieu]

Für mich persönlich sehr interessant:
Gemäß dem ältesten Bericht zu den Angriffen den ich finden konnte (http://thesbsguy.com/?p=244) stammen die IPs der C&C-Server und Angreifer aus den Niederlanden und sind gehackte DiskStations die zwecks Colo dort untergebracht sind. Das bedeutet, dass die Länder-Firewall-Sperren die im Forum gern besprochen werden, in dem Fall ziemlich sinnlos sind. Es dürfte für die Angreifer auch kein Problem sein, C&C-Server in Deutschland zu finden, wenn sie es darauf anlegen. Auch ist nicht bekannt ob es bereits weitere C&C-Server gibt...

MfG Matthieu

 

[lopo_ch]

Hi Matthieu,

was aber durchaus hilft, ist eben jener IPCop als Firewall.
Installiert auf einem stromsparenden alix2d3, 1. Lan internes Netzwerk, 2. Lan DMZ, 3. Wan.
Die "offentliche" DS/RS als Server natürlich in die DMZ. Sollte diese doch auf irgendeine Weise (fehlerhaftes PHP-Script etc) kompromitiert werden, besteht keinerlei Zugriff ins Lan.
In den Firewall-Regeln festlegen, welche IP auf welchem Port von Wan auf DMZ zugreifen darf.


Dann ist fertig mit unberechtigten Zugriffen, egal auf welchen Port.

Gruss lopo

 

[bfpears]

@ liebe Moderatoren
könnt ihr bitte darüber nachdenken ein extra Forenbereich zum Thema Sicherheit an prominenter Stelle einzurichten!
Die Sicherheitslücken und "Sonstige" zu verstecken scheint mir für unsere Gemeinschaft nicht sinnvoll (wie auch "Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities")
leider gibt Synology ja keine Warnungen oder sonstige Infos zu den Themen.

evtl. ein moderiertes Forum (mit dem Hinweis das ganze "Forum" zu abonnieren) und eins zum Diskutieren.

Auf diesen Thread bin ich (recht zeitnah) durch den Beitrag in Caschy`s Blog aufmerksam gemacht worden.
"Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities" habe ich erst viele Tage später in einem Nebensatz in einem CT Artikel gefunden.

 

[Tscherno]

Mein Plan um den Zugriff auf die Webstation übers Internet zu ermöglichen, aber dennoch möglichst sicher zu halten, sieht vor auf einem Raspberry Pi einen Reverse Proxy mit HTTP-Auth aufzusetzen. Ich denke das sollte das ganze doch um einiges sicherer gestalten. Doof ist wenn man mal schnell eine Datei über einen Link teilen will.

 

[jiraya]

Gerade gesehen:

"Ältere Versionen der DSM-Software auf Storage-Systemen des Herstellers Synology haben Sicherheitslücken, durch die es Angreifern gelungen ist, die Geräte mit Bitcoin-Mining-Schadcode zu infizieren. Angreifer infizieren momentan NAS-Systeme von Synology mit einem Schädling, der die Netzwerkspeicher zu Bitcoin-Miner umfunktioniert. Anfällig sind laut betroffenen Nutzern alle Versionen bis 4.3.-3810 Update 3 der DiskStation-Manager-Software (DSM). In neueren Ausgaben der Software soll das Problem behoben sein." http://www.heise.de/mac-and-i/meldu...te-als-Bitcoin-Miner-missbraucht-2113423.html

 

[Matthieu]

Warum läuft das unter Mac&i?

MfG Matthieu

 

[raymond]

Warum läuft das unter Mac&i?

MfG Matthieu

Läuft auch unter Security: http://www.heise.de/security/

 

[SirTommy]

Meine DS214 zeigt ein neues Update an.

Version: 4.3-3827

(2014/2/14)
Change Log

This update repairs the system and removes malware caused by past system vulnerabilities (CVE-2013-6955, CVE-2013-6987).
The compatibility of SMB 2 file service has been enhanced when transferring files to Mac OS X 10.9.
Fixed an issue where SFTP service would consume excessive memory when it was enabled.
This update is required to continue using QuickConnect & Push Service notifications.

Vielleicht sind damit wirklich die Probleme erstmal behoben.

 

[Tscherno]

Hört sich gut an.

 

[dil88]

Meine DS214 zeigt ein neues Update an.

Version: 4.3-3827

Vielen Dank für den Hinweis, Update läuft.