Diskstation gehackt

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Gerne nochmal: Um an den ioBroker heranzukommen, benötigst du nur eine leichtsinnige Portfreigabe auf das ACP
Hier läuft dann nichts mit Passwörtern. Der Docker-Container auf dem der Broker läuft, wird mit erweiterten Systemrechten ausgeführt.
Ich kann dann wiederum im Browser, ohne Eingabe von Kennwörtern, jeglichen Blödsinn im Fremden Netzwerk treiben.
Danke für den Hinweis!
Dann sieht es so aus, dass insbesondere über den nach außen offenen Port 8081 die Angriffe erfolgen.
 

youthman

Benutzer
Mitglied seit
19. Jul 2018
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Was noch offen war ist der Port 4430.
um auf meine Firmen Datenbank von aussen zuzugreifen.
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
470
Punkte für Reaktionen
275
Punkte
119
Ich nutze meine DS von Aussen seit einiger Zeit nur per VPN. Im Router ist kein Port offen.

In der Firewall vom NAS ist der Port 8081 nicht aufgeführt und somit auch nicht offen. Macht es Sinn, diesen Port explizit zu schliessen oder ist das dann wieder übertrieben?
 

bfpears

Benutzer
Mitglied seit
09. Feb 2009
Beiträge
449
Punkte für Reaktionen
29
Punkte
28
Hi youthman,
kannst du vielleicht noch ein paar Screenshoots posten:
  • von der eMail (anonymisiert)
  • von einem gemounteten Ordner: zb. Listen Ansicht (mit Zeitstempel) von einem Ordner mit Dateien und Unterordnern
Wir sollten ja die Chance (youthman's Unglück) nutzen und möglichst viel Infos zu sammeln.
Hattest du eine Externe USB-HDD als Backup dauerhaft angeschlossen?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.896
Punkte für Reaktionen
1.517
Punkte
274
Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...
 

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
@youthman hattest du den Synology-Adapter im ioBroker installiert?
 

t0BI

Benutzer
Mitglied seit
28. Okt 2020
Beiträge
6
Punkte für Reaktionen
1
Punkte
53
Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...

Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation
 
  • Like
Reaktionen: youthman

youthman

Benutzer
Mitglied seit
19. Jul 2018
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Ja ich nutze Quickconnect.
Den Synology Adapter habe ich nicht installiert
 

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
470
Punkte für Reaktionen
275
Punkte
119
Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation

Ich habe meine Firewall nach dieser Anleitung eingerichtet: https://mariushosting.com/how-to-set-up-synology-firewall-geoip-blocking/
 
  • Like
Reaktionen: micbe und t0BI

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.

Habe ich seit letzter Woche auch vermehrt. Und immer schön mit Zeitabstand dazwischen, dass die automatische Sperre nicht gegriffen hat. Bekommt man schön mit wenn man die Benachrichtigungen an Telegramm weiterleiten lässt.

Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.

Zwischenzeitlich wurden in 1h auch mal > 700 Port-Anklopfer vom Router verworfen. Alle auf den vier bis fünfstellingen Portbereich.
 
Zuletzt bearbeitet:

ebusynsyn

Benutzer
Sehr erfahren
Mitglied seit
01. Jun 2015
Beiträge
470
Punkte für Reaktionen
275
Punkte
119
Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.

Guter Hinweis. Beim mir 3 Versuche in 15 Minuten. Kannst Du diese 600 Minuten begründen? Wirkt diese IP-Sperre auch auf IPs die via NAS-Firewall freigegeben sind? Denn in meiner Firewall ist nur mein eigener IP-Range freigegeben.

Wenn ich Dödel mein kompliziertes Passwort also selber 3 Mal falsch eingebe, bin ich dann ebenfalls weg und muss 600 Minuten warten? Wobei ich es bei mir so eingerichtet habe, dass keine automatische Aufhebung der Sperre erfolgt.
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Können die Profis hier im Forum schon eine Analyse ( keine Vermutungen) der beiden gehackten Vorfälle abgeben, wo der Hacker eine Schwachstelle im System gefunden hat um ins NAS zu gelangen. Was bringt einem FW, Zertifikate, 2Stufen Verifizierung usw. wenn doch irgendwo wieder ein Schlüssel im Garten rumliegt, den man aber selber nicht sieht um die Tür aufzusperren. Der IoBroker scheint ja schon mal ein Einfallstor zu sein. ( Vermutung von mir)
Das ist alles, was mich interessiert.
 
  • Like
Reaktionen: haol0013

Ulfhednir

Benutzer
Sehr erfahren
Mitglied seit
26. Aug 2013
Beiträge
3.503
Punkte für Reaktionen
1.093
Punkte
194
Zum Dritten: Ich habe ein potentiellen Angriffsvektor mit über 700 Systemen aufgespürt. Ich hüte mich jetzt noch mehr Input hier im Forum zu beschreiben, um nicht noch mehr Kaputte darauf aufmerksam zu machen. Das Grundproblem ist nach wie vor der offene ioBroker.
 
  • Like
Reaktionen: Yippie

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.
 

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
Gestern habe ich mir folgende Frage gestellt: Kann man unter DSM verschlüsselte "gemeinsame Ordner" (nochmal) verschlüsseln?
Die Überprüfung ergab die Antwort: anscheinend nicht - es lässt sich wohl kein Passwort eintragen!
Das müsste doch bedeuten, dass wenn man regulär immer mit bereits verschlüsselten (eingehängten) "gemeinsamen Ordnern" arbeiten würde, könnte ein Hacker Ordner nicht verschlüsseln, da er sie vorher entschlüsseln müsste (ist ein längerer Vorgang) und auch die dazu benötigten Passwörter kenne müsste.
Diese könnten sich aber auf einem abgezogenen USB-Stick befinden.
Kann das so bestätigt werden oder habe ich etwas übersehen?
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
@Flessi oder ich gehe halt dann hin und verschlüssele direkt die Daten.

Was dann aber voraussetzt, dass ich eine Software im Zielnetz laufen habe die das macht. (oder sehr schnelles Internet und alles runter/hochladen :D )
 

SAMU

Benutzer
Mitglied seit
26. Sep 2018
Beiträge
261
Punkte für Reaktionen
12
Punkte
18
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.
Bei mir werden IPs dauerhaft geblockt. Das heißt, sollte ich mich mal aussperren, muss ich mich mit was anderem einloggen (zur Not vom internen Netz) und die IP löschen.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
14.058
Punkte für Reaktionen
3.872
Punkte
488
Ich finde, ihr redet am Grundproblem vorbei.
Das Grundproblem ist jede Art von Portweiterleitung. Erst die Haustür offen stehen lassen und dann versuchen, über verschlossene Zimmertüren oder verschlossene Schubladen doch noch was zu schützen ist m.E. der falsche Ansatz.
 
  • Like
Reaktionen: Tommes und Ulfhednir

Flessi

Benutzer
Mitglied seit
14. Sep 2012
Beiträge
471
Punkte für Reaktionen
64
Punkte
34
@SAMU Es geht doch hier um die 2 Fälle, wo der NAS gehacked wurde und die "gmeinsamen Ordner" (wenn ich das richtig verstanden habe) verschlüsselt wurden. So habe ich mir Gedanken gemacht, genau dies zu unterbinden.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat