Angriffe über Multicast DNS und keine Ahnung!

[Synchrotron]

Nach meiner Einschätzung geht es hier nicht um einen Befall der DS selbst. Kann natürlich auch sein, ist aber unwahrscheinlich.

Nein, hier überlagern sich 2 Themen:

1) Das Heimnetz ist komprimiert, irgendwo sitzt ein Schädling, und bombardiert das Internet. Das hat (hochwahrscheinlich) nichts mit der DS zu tun.

2) Jetzt soll das Netz aber offen gehalten werden, „damit die DS erreichbar ist“.

Also wasch mich, aber mach mich nicht nass. Für mich sind die Prioritäten völlig daneben - wenn Schadsoftware in einem Netzwerk sitzt, kommt leicht etwas dazu.

Das Tor zum command & control Server ist weiter offen, von dort kann alles kommen, von der nächsten Angriffswelle bis zu einer fetten Ransomware. Offene Zugänge werden auch an die nächste Bande weiter verkauft, das ist Handelsware.

Die ganzen anderen guten Ratschläge, wie man sichere Erreichbarkeit herstellen kann, haben in der aktuellen Situation keinen Taug. Schadsoftware, die schon im Netz sitzt, kann von innen immer über Port 443 verschlüsselte Verbindungen aufbauen, da kann man VPN-Server installieren, wie man will.

Dem kommt man nur bei, indem man das Netzwerk isoliert, und dann die Schadsoftware eliminiert. Oder das Netzwerk bleibt infiziert, und Vodafone erledigt das mit dem Isolieren durch Quarantäne von außen.

 

[NSFH]

Nach meiner Einschätzung geht es hier nicht um einen Befall der DS selbst. Kann natürlich auch sein, ist aber unwahrscheinlich.

............

Woher nimmst du diese Sicherheit? Der TE hat im Router alle unverschlüsselten Ports seiner Dienste weitergeleitet plus Bonjour und eine "unbekannte" Freigabe ohne Portangabe. Wenn letzteres eine Wildcard war ist alles offen gewesen! Eine bessere Einladung gibt es nicht, denn ich unterstelle mal, das auf der DS auch keine Firewall aktiv war.
Die Warnung vom Internetprovider hat nur mDNS betroffen, was da schon beiläufig passiert ist weiss der Provider nicht.
Für mich ist das gesamte System des TE eine Büchse der Pandora.

 

[Don Castelli]

Hatte mir vor Jahren die DS durch Youtube-Tutorials konfiguriert, z.B. von iDomiX und Synology DE. Lief ja auch alles gut, dann immer wieder Fehler und nun dieser Quark!

 

[EDvonSchleck]

Mach doch erst einmal alles zu.

 

[Don Castelli]

Schwärze vielleicht mal Deine IP Adresse und ändere den Screenpost in #8 so lange es noch mit Bearbeiten geht.

IPV4 und IPV6

Geht leider nicht mehr! :-(

 

[Don Castelli]

Mach doch erst einmal alles zu.

Wie mache ich denn "alles zu"? Was muss ich tun und bekomme ich dann wieder alles auf?

 

[Don Castelli]

https://www.bsi.bund.de/DE/Themen/U...ne-mDNS-Dienste/Offene-mDNS-Dienste_node.html

Was ist bzw. wo finde ich denn das Programm "dig"?

$ dig +short -p 5353 -t ptr _services._dns-sd._udp.local @192.168.45.67

 

[EDvonSchleck]

Alle Portfreigaben in der FB löschen oder Weingesten deaktivieren. Die Freigabe ohne Port kann aber auf jeden Fall gelöscht werden!

 

[ottosykora]

Das sind alles Sachen die auf einen dezidierten Server gehören den dann auch ein Netzwerkadministrator mit Ahnung konfiguriert und pflegt.

damit bin ich nicht einverstanden
an so einem consumer Gerät kann man eben solche Sachen ausprobieren, sich dabei langsam ausbilden und dabei noch Spass haben. Es muss nich alles gleich teuer und professionell sein.

 

[Synchrotron]

Auf bekommst du es wieder, indem du erneut Portfreigaben einträgst. Aber das ist dein allerkleinstes Problem, wenn wir alle hier uns nicht irren (und Vodafone auch, die deinen Netzwerkverkehr als fischig bewerten).

Jetzt erst mal alle Portfreigaben löschen.

Einfache Alternative (nein, kein Witz): Das Kabel abziehen, dass den Router nach außen verbindet. Kein Draht, kein Signal.

 

[Don Castelli]

Die Freigabe für Bonjour, die Unbekannte Freigabe, sowie die für Port 5000, 5005 und 8008 löschen. Auch die Freigabe von Port 80 ist möglicherweise überflüssig.

Besser alles löschen und per VPN (auf der Fritte einrichten) auf das NAS zugreifen.

VPN gäbe es wohl auch über DMS, aber habe keine Ahnung, wie ich das einrichte!? :-(

 

[EDvonSchleck]

Aber auf der anderen Seite muss man sich schon fragen, was hat ein Mailserver, DNS Server, Radius Server, auf einem Netzwerk Angebundenen Speicher zu suchen.

Als ob der typische Synology Nutzer diese Pakete installiert hat. Ich kann deine Behauptung nicht nachvollziehen. Eher würde ich bemängeln, nicht alle Dienste etc. ab Werk auf „enable“ zu schalten. Da die DS eh eingerichtet werden muss, sollte der User gezwungen werden die Dienste einzuschalten, welche er benötigt und nicht alles auf „An“ stellen, damit der User es so leicht hat.

VPN gäbe es wohl auch über DMS, aber habe keine Ahnung, wie ich das einrichte!? :-(

Das ist bei AVM sehr gut dokumentiert und sehr leicht umzusetzen.

Ich würde aber erst einmal auf der Suche nach dem Schädling machen und nicht einfach mit einer anderen Verbindung weiter!

 

[heavy]

@ottosykora (ich will den Thread nicht weiter verreisen deshalb wird das der letzte Post dazu sein) Ne sorry bei den Dingen die ich aufgezählt habe gibt es für mich für den consumer nichts zum ausprobieren. Wenn du einen Radiusserver brauchst, dann brauchst du auch eine Domäne und Zertifikate und und und, und damit auch ein Security Level was über das wissen eines normalen Consumers hinausgeht. Wenn du mit dem Mailserver rumspielst ohne Ahnung zu haben dann bist du schneller auf Black Listen oder eine Spamschleuder als dir lieb ist (ein Grund warum man hier im Forum auch die Unterstützung von Anfängern ohne Basis Wissen eingestellt hat). Und von einem eventuell sogar offenen DNS Server will ich erst gar nicht anfangen. (wobei der noch am wenigsten Schaden anrichten kann denn um ins Weltweite DNS Server Netz aufgenommen zu werden braucht es ja dann doch schon wieder etwas mehr als nur offene Ports.) Ja ich nutze den Mailserver (mit Relay bei einem Anbieter) und auch den Webserver, auch habe ich mal eine Zeitlang für interne Projekte den DNS Server benutzt und bin deshalb froh dass es dabei ist/war, nur habe ich mich auch Wochenlang eingelesen (für den Mailserver hab ich extra noch ein Buch gekauft) und versucht mit der Materie vertraut zu machen und bin jetzt auch nicht der "einfache" Consumer. Als ich den Mailserver das erste mal benutzt habe musste man den Relay Server noch per ssh von Hand eintragen im System. Aber komplett umstellen ohne Relay ist selbst mir dann doch zu aufwendig (in der Einrichtung und vor allem in der Pflege).

 

[Don Castelli]

Alle Portfreigaben in der FB löschen oder Weingesten deaktivieren. Die Freigabe ohne Port kann aber auf jeden Fall gelöscht werden!

Nun ist nach einigen Freigabe-Löschungen der Rest vorerst deaktiviert ... und DS Note und DS Audio funktionieren vom iPhone immer noch, aber wohl nur, weil ich im häuslichen Netzwerk bin!

So schaut die Freigabe in der FritzBox nun aus, aber wie untersuche ich mein NAS auf Fremdnutzer?

 

[NSFH]

Ich kann dir nur agen was im Pro-Bereich in diesem Fall gemacht wird: Alles vom LAN trennen, platt machen und komplett neu installieren, vor allem auch die Clients, denn die DS hat den Einstieg in das lokale LAN ermöglicht und was dort für Schäden angerichtet wurden kann man nicht abschätzen.
Vielleicht ist auch gar nichts passiert, dann hast du Glück gehabt.
Dann solltest du dich als erstes mal mit der Firewall der DS beschäftigen und diese sowohl gegen WAN als auch LAN absicherm
Alle Client-PCs entweder mit einem Notfall USB-Stick booten und scannen aber zumindest mit einem Online Scanner überprüfen, auch wenn du damit meist einen bereits eingeschleusten Toröffner nicht mehr finden wirst (deswegen alles neu installieren)
Als letztes nur die notwendigen Ports im Router öffnen und auf keinen Fall unverschlüsselte Ports verwenden!
Als Admin als letztes mittels Wireshark den ausgehenden Verkehr beobachten und analysieren, ob es da Auffälligkeiten gibt.
Dazu hoffe ich hast du auch verstanden warum man sich externe Backups anlegt, die du vermutlich auch nicht hast.............

In der Situation beginnt man als Betroffener zu verstehen, warum gute Admins nicht billig sind.

 

[EDvonSchleck]

Für Windows würde ich Kaspersky und Malwarebytes empfehlen. Kaspersky (Antivirus reicht) gibt es 30 Tage umsonst und das andere ist kostenlos.
Ansonsten kann ich nur die Aussage von @NSFH. Beachte das auch Handy, gerade wenn die Sicherheitsupdates fehlen oder komische Apps befallen sind, die Ursache sein können!

Ich würde aber erst einmal alles abscannen und VPN nutzen – keine Portfreigaben mehr!

 

[Don Castelli]

Habe gerade über die WebSite meine IP eingetragen
https://www.digwebinterface.com/
und da kam folgendes Ergebnis:
85107 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2022112301 1800 900 604800 86400

Was fange ich damit nun an?

 

[EDvonSchleck]

Kein Plan, was du damit willst. Schau auf die Clients und teste diese, ob es da Malware gibt. Wenn das ausgeschlossen ist, kannst du erst weiter machen.

 

[Don Castelli]

Wie untersuche ich Clients mit Malware? Welche Clients meinst du - etwa auf dem Rechner bestimmte zugreifende Programme?

 

[EDvonSchleck]

Alle Clients