Daten und Konfiguration nach Update auf DSM 4.0 verloren

[mibdd]

Mir ist folgendes passiert:

• Ich kam aus dem Urlaub zurück und wollte auf meine (als Netzlaufwerk in Windows 7 eingebundenen) Daten auf meiner DS 211j zugreifen - das Netzlaufwerk war nicht verfügbar. (Die Plattem in der DS starteten auch nicht wie üblich bei meiner Windows-Anmeldung.)
• Ich habe versucht, mich über den WebBrowser auf die DS einzuloggen:
  
  
  

  • die Oberfläche meldet sich in ungewohntem grau (!) und mit DSM 4.0 - zuletzt war eine DSM 3.2 drauf
  • als keiner der eingerichteten Benutzer konnte ich mich anmelden.
  • auch als "admin" ohne Passwort (also die default-Einstellung) konnte ich mich nicht anmelden.
• Mit RESET 4 Sek. drücken habe ich das admin Passwort zurückgesetzt -> jetzt konnte ich mich als admin anmelden, aber:
  
  
  

  • ich habe im Ereignis-Log gesehen, dass die DS am 25.8.12 neu gestartet wurde (ich war im Urlaub und habe nicht auf mein NAS zugegriffen, es gibt keine anderen Personen, die Admin-Rechte haben, und nur sehr wenige, die einen beschränkten Daten-Zugang hatten und es ist sehr unwahrscheinlich, dass sie zu dieser Zeit zugegriffen haben.)
  • ich glaube auch gesehen zu haben, dass das System an diesem Tag geupgradet wurde
  • sämtliche eingerichteten Benutzer waren weg
  • sämtliche Dateien, freigegebene Verzeichnisse etc. waren weg
  • im Speicher-Manager wird das "Volume 1" als "0,1% benutzt" angezeigt. Ich hatte definitiv ein paar mehr Files drauf.

Für mich stellt sich das Geschehene so dar: Meine DS hat automatisch und ohne eine Bestätigung von mir (!!!) von DSM 3.2 auf DSM 4.0 geupdatet und dabei sämtliche Daten verloren. Meines Wissens sollte eine DS höchstens eine neue Firmware herunterladen, aber sie erst nach einer expliziten Bestätigung installieren. Ich weiß nicht sicher, ob das Herunterladen bei mir aktiviert war. Vermutlich ja, denn ich habe im Ereignis-Log IMHO etwas gesehen, dass diese Version bereits im Mai 2012 heruntergeladen wurde.

Was danach passierte:

• Nach Handbuch "Neuinstallation der DS, ohne dass Daten verloren gehen" habe ich über 2x RESET für 4 Sek. drücken die (frisch aus dem Internet heruntergeladene) DSM 4.0 neu installiert (ein downgrade auf eine 3.2 wurde abgelehnt)
• Danach war das Erscheinungsbild beim Web-Login auf der DS ganz anders (hellblau und andere Fenster), aber am Problem der verlorenen Daten und Einstellungen hat sich leider nichts geändert.
• Ich habe daraufhin erst einmal eine der beiden Platten aus dem RAID 1 ausgebaut, um die weitere Zerstörung von Daten zu verhindern und mir eine minimale Restchance auf Wiederherstellung der Files zu wahren.
• Der Synology-Support behauptet, noch nie etwas von einem Auto-Update ohne Bestätigung durch den User gehört zu haben und sagt nach einem Einloggen auf meiner DS, dass alles i.O. wäre. Außerdem hat er mich noch auf ein encryptetes Verzeichnis "downloads" aufmerksam gemacht, welches ich mounten sollte, dann wären meine Daten wieder da. Aber: Ich hatte IMHO nie ein Top-Level-Verzeichnis "downloads", ich habe IMHO nie ein Verzeichnis encryptet, Datei- und Ordnerstruktur und Dateigrößen in deisem Verzeichnis haben nichts mit meinen Daten zu tun und die Files haben Modifikationszeiten vom 25. und 26.8.12, d.h. von dem Tag und dem nachfolgenden, an dem offensichtlich das Update passierte. Natürlich kenne ich nicht das passende Passwort und kann den Dateninhalt nicht ansehen. Ich habe beim Support mit einer ähnlichen Erwiderung noch einmal nachgehakt, befürchte aber, dass ich nur nochmaliges Achselzucken ernten werde.
• Ereignisprotokoll-Einträge von vor meinem letzten Update scheinen jetzt ebenfalls weg zu sein.

Meine Fragen:

1. Kennt jemand ähnliche Probleme und vielleicht sogar eine Lösung?
2. Kann mir jemand einen Tipp geben, wie ich nach dem Geschehenen an meine verlorenen alten Daten rankomme - entweder direkt in der DS oder über Einhängen der ausgebauten Platte in einen anderen Rechner? Ich habe hier im Forum schon Diskussionen dazu gelesen (Stichwort TestDisk), allerdings war's auch nur eine Empfehlung mit einer vagen Aussage, ob's hilft.

Ich brauche wohl nicht zu erwähnen, dass ich wegen "Ich habe ja ein RAID-1 System" das Thema Backup sträflich vernachlässigt habe und mich deshalb sehr über die Wiederherstellung der im letzten halben Jahr gespeicherten Daten freuen würde... (Ich weiß, selbst Schuld...)

Ich bin für jeden hilfreichen Tipp dankbar.

 

[Ap0phis]

Zum Thema Datenrettung können und werden wohl andere hier besser helfen als ich.
Mich würde nur interessieren, ob du Zugriffe von aussen freigeschaltet hast, und welche.
Das hört sich für mich eher nach Hacking an, als irgendwelche automatichen Updates, vonn denen ich hier auch noch nie was gelesen habe.

Möglicherweise hatte ja auch jemand physikalischen Zugriff!?
Denn ein Firmwareupdate ohne Konfigurations-Wiederherstellung hört sich wie eine Neuinstallation nach doppeltem Reset an.

 

[Puppetmaster]

Hallo!

Für mich klingt deine Schilderung (die ich nicht in Abrede stellen möchte!) sehr kurios.
Ich kann aber Ap0phis zustimmen: das klingt wirklich sehr danach, als hätte ein Dritter an deiner DS herumgefuchtelt. Entweder von intern - oder falls es bei dir möglich ist - von extern.
Datenrettung. Ja das müßte man schauen. Zunächst sieht es ja so aus, als wäre deine Datenpartition schön frisch formatiert. Das wäre natürlich nicht so doll, denn das wäre auch nicht der Fall, wenn regulär das Update auf DSM 4.0 gelaufen wäre, dann sollten die Daten noch da sein. Davon, daß ein Update automatisch läuft, höre ich hier auch erst das zweite(!) Mal. Wobei ich mir beim erstenbeschriebenen Fall auch ziemlich sicher bin, daß das kein automatisches Update war.
Auch ein Firmwareupdate nach doppeltem Reset sollte die Daten eigentlich auf der Platte lassen...
Was also tun?
Bei Windows Systemen kann man Daten von (schnell)formatierten Platten wiederherstellen. Dazu gibt es spezielle Tools. Ich habe leider keine Erfahrung damit, wie das unter Linux aussieht. Möglich ist das sicher, aber auch nur, wenn die Datenpartition nicht vollständig formatiert, also einmal überschrieben wurde. Aber da sollen sich besser die zu äußern, die das schonmal durchgezogen haben.
An deiner Stelle würde ich aber auch verstärkt Ursachenforschung betreiben! Da hat mit Sicherheit einer dran gedreht!!

 

[mega]

Gabs da nicht wie die Version rauskam schon bei einigen Probleme?

 

[amarthius]

Eine DS informiert nur über ein neues DSM-Update. Dies erfolgt entweder per E-Mail oder im DSM selbst. Sie führt KEIN eigenständiges Update durch. Daher denke ich auch wie die anderen, dass entweder eine bekannte Person mit Zugang zum System dir einen bösen Streich gespielt hat oder ein dritter Zugang zum System bekommen hat.

Die Datenwiederherstellung dürfte leider auch schwierig werden, wenn die Daten gelöscht wurden und neue auf das System geschrieben wurden.

Mich machen zwei Dinge stutzig. Du hast geschrieben, dass alle Logs vor besagtem Datum gelöscht sind. Kannst allerdings sehen das im Mai eine Firmware runtergeladen wurde?
Du schreibst, dass es ein verschlüsseltes Verzeichnis gibt bei dem du das Passwort nicht kennst, aber du schreibst das die Datei- und Ordnerstruktur dir nicht bekannt ist. Das macht keinen Sinn.

Generell würde ich mal alle Passwörter und ähnliches ändern. Dazu noch das Bankkonto im Auge behalten, falls entsprechende Daten auf der DS hinterlegt waren. Betroffene bekannte mit Zugang zum System mal befragen. Kein Strafe androhen, sondern die Gewissheit bekommen, dass es kein Dritter war. Ggf. mal das WLAN-Kennwort ändern. PC nach Viren absuchen..

 

[mibdd]

Mich würde nur interessieren, ob du Zugriffe von aussen freigeschaltet hast, und welche.
Das hört sich für mich eher nach Hacking an, als irgendwelche automatichen Updates, vonn denen ich hier auch noch nie was gelesen habe.

Ich hatte meine DS mit wenig Aufwand als File-Server eingerichtet und mich wenig mit Einstellmöglichkeiten beschäftigt. Von daher dürfte im Wesentlichen die Standard-Einstellungen aktiv gewesen sein. Genauer kann ich es leider nicht sagen, und nachschauen, wie's damals war, kann ich jetzt leider auch nicht mehr.

Mein Router (Telekom Speeport W701V) hat per NAT alles von außen auf die DS gemappt. Bei dem habe ich mich ebenfalls gewundert, dass die DynDNS-Einstellungen weg waren (das hat früher funktioniert) und auch "always online" nicht (mehr) gesetzt war - das sollte eigentlich auch so gewesen sein.

Ich habe mit Kollegen auch schon die Hacker-Theorie diskutiert. Auch wenn es für mich recht unwahrscheinlich klingt, ist es für mich (leider) eine der wenigen halbwegs plausiblen Erklärungsmöglichkeiten.

Möglicherweise hatte ja auch jemand physikalischen Zugriff!?
Denn ein Firmwareupdate ohne Konfigurations-Wiederherstellung hört sich wie eine Neuinstallation nach doppeltem Reset an.

Ich war zum fraglichen Zeitpunkt wie gesagt im Urlaub und nur meine Mama hätte physikalischen Zugriff haben können. Das was hier passiert sein muss, könnte sie (ohne ihr zu nahe treten zu wollen) definitiv nicht einmal aus Versehen hingekriegt haben.

Mein WLAN ist per WEP (128 bit) gesichert.


--
mibdd

 

[mibdd]

Bei Windows Systemen kann man Daten von (schnell)formatierten Platten wiederherstellen. Dazu gibt es spezielle Tools.

Ich vermute, Du meinst damit Festplatten mit einem Windows-Dateisystem. Aber das würde ja in diesem Falle nicht zutreffen...

--
mibdd

 

[Puppetmaster]

Mein WLAN ist per WEP (128 bit) gesichert.

Da hätten wir schonmal einen Angriffspunkt. WEP ist definitiv NICHT sicher.

 

[mibdd]

Mich machen zwei Dinge stutzig. Du hast geschrieben, dass alle Logs vor besagtem Datum gelöscht sind. Kannst allerdings sehen das im Mai eine Firmware runtergeladen wurde?

Das Logging "Firmware herunterladen" glaube ich gesehen zu haben, als ich mich nach dem Reset des Admin-Passwortes (1x RESET drücken) erstmalig nach dem Auftreten des Problems wieder einloggen konnte. Nach dem von mir selbst durchgeführten nochmaligen Update auf die 4.0 (mit 2x RESET drücken, in der vagen Hoffnung, dass dann meine Daten wieder erkannt würden) sind sämtliche Loggings vor dieser nochmaligen Neuinstallation weg. Darum kann ich jetzt leider nicht mehr nachsehen.

Du schreibst, dass es ein verschlüsseltes Verzeichnis gibt bei dem du das Passwort nicht kennst, aber du schreibst das die Datei- und Ordnerstruktur dir nicht bekannt ist. Das macht keinen Sinn.

Ich habe wie gesagt beim mounten irgend ein Passwort angegeben, was ganz offensichtlich nicht korrekt ist. Daraufhin werden in dem gemounteten Verzeichnis auf der DS Dateien und Verzeichnisse mit Datum und Größe angezeigt, aber mit kryptischen Namen und ich kann die Dateien nicht öffnen. Meine Aussagen bzgl. Struktur, Datum und Größe beziehen sich auf diese Daten mit kryptischen Namen, deren Inhalt ich nicht kenne.


Danke für die allgemeinen Sicherheitstipps, ich werde es beherzigen.

 

[Frogman]

Da hätten wir schonmal einen Angriffspunkt. WEP ist definitiv NICHT sicher.

... und das ist noch eine Untertreibung - keine 5 Minuten und jemand ist drinnen. Und wenn ich dann noch "Mein Router (Telekom Speeport W701V) hat per NAT alles von außen auf die DS gemappt" lese... - nu ja, offen wie 'n Scheunentor würd ich da sagen.

 

[mibdd]

Da hätten wir schonmal einen Angriffspunkt. WEP ist definitiv NICHT sicher.

Ja, ich weiß... :-( Ich hatte das IMHO seinerzeit so eingerichtet, weil ich noch ein altes Client-Gerät hatte, was nichts besseres konnte. Werde es mal ändern, aber:

Ein WLAN-Angriff klingt für mich unwahrscheinlich - im Logging meines Routers sehe ich während meines Urlaubs nur die täglichen Neuverbindung des Routers zur Service-Provider. Nur vor und nach dem Urlaub sehe ich WLAN-An- und Abmeldungen mit den mir bekannten MAC-Adressen meines Smartphones und meines Tablets.

--
mibdd

 

[Ap0phis]

Lies mal Beitrag #10.
Wenn es so ist, muß man sich in der Tat nicht wundern. Das ist Angriffsfläche genug!

Kannst du irgendwie nachsehen, wieviel Traffic du in deiner Urlaubszeit über deinen DSL-Anschluß hattest?

Das mit dem versteckten/verschlüsselten "Download"-Ordner gibt mir etwas zu denken!

Ich hoffe, du hast jetzt neue Passwörter angelegt, und die "automatische Blockierung" aktiviert!?

 

[mibdd]

Lies mal Beitrag #10.

Wie ich in #11 geschrieben habe: Laut Protokoll meines Routers hat sich niemand fremdes per WLAN verbunden. Ich gehe mal davon aus, dass ich im Fall eines Angriffs dort wenigstens die WLAN-Verbindungsversuche sehen sollte, oder? Ich bin mir bewusst, dass das eine Schwachstelle ist, aber ich glaube, sie ist in diesem Falle nicht ausgenutzt worden...

Kannst du irgendwie nachsehen, wieviel Traffic du in deiner Urlaubszeit über deinen DSL-Anschluß hattest?

Leider nein, das gibt mein Router nicht her. Und auf der DS ist wie gesagt das Protokoll weg. Leider hatte ich es mir vorher nicht so genau angesehen, da ich ja noch an andere Ursachen gedacht hatte und nicht darüber nachgedacht habe, ob es bei der Firmware-Neuinstallation gelöscht würde.

Ich hoffe, du hast jetzt neue Passwörter angelegt, und die "automatische Blockierung" aktiviert!?

Die DS ist ja sozusagen "jungfräulich" - keine Benutzer, keine Daten (außer dem ominösen "downloads"-Ordner).

Danke für den Hinweis auf die "automatische Blockierung" - ich habe es jetzt aktiviert.

--
mibdd

 

[Ap0phis]

Wie ich in #11 geschrieben habe: Laut Protokoll meines Routers hat sich niemand fremdes per WLAN verbunden. Ich gehe mal davon aus, dass ich im Fall eines Angriffs dort wenigstens die WLAN-Verbindungsversuche sehen sollte, oder? Ich bin mir bewusst, dass das eine Schwachstelle ist, aber ich glaube, sie ist in diesem Falle nicht ausgenutzt worden...

In #10 geht es nicht nur um WLAN, sondern auch um die weitergeleiteten Ports!
Das öffnet Tür und Tor für jedermann über das Internet! " ... offen wie ein Scheunentor"

 

[mibdd]

In #10 geht es nicht nur um WLAN, sondern auch um die weitergeleiteten Ports!
Das öffnet Tür und Tor für jedermann über das Internet! " ... offen wie ein Scheunentor"

Ja, ja, ich habe auch diese Lektion bzgl. der offenen Ports gelernt und inzwischen alles zu gemacht, was nicht offen sein muss.


Hm, die Ursachenforschung weiter zu betreiben wäre interessant, allerdings habe ich ohne Protokolle der DS und des Routers wahrscheinlich schlechte Karten.

Anyway, da es jetzt anscheinend keine "ungewöhnlichen" Aktivitäten in meiner Technik gibt würde ich gern meine DS wieder flott machen - am liebsten natürlich mit meinen alten Daten.

Deshalb noch einmal der Hilferuf in die Runde: Ich wäre für ein paar Tipps, wie man mit größtmöglichen Erfolgschancen versuchen könnte, die Daten noch zu retten, ausgesprochen dankbar...


--
mibdd