Diskstation gehackt

Thonav · 28. Okt 2020

Ulfhednir schrieb:
Gerne nochmal: Um an den ioBroker heranzukommen, benötigst du nur eine leichtsinnige Portfreigabe auf das ACP
Hier läuft dann nichts mit Passwörtern. Der Docker-Container auf dem der Broker läuft, wird mit erweiterten Systemrechten ausgeführt.
Ich kann dann wiederum im Browser, ohne Eingabe von Kennwörtern, jeglichen Blödsinn im Fremden Netzwerk treiben.

Danke für den Hinweis!
Dann sieht es so aus, dass insbesondere über den nach außen offenen Port 8081 die Angriffe erfolgen.

Anzeige · 27. Okt 2020

Hallo youthman,

Bücher und Hardware zum Thema gibt es bei Amazon: Diskstation gehackt

youthman · 28. Okt 2020

Was noch offen war ist der Port 4430.
um auf meine Firmen Datenbank von aussen zuzugreifen.

ebusynsyn · 28. Okt 2020

Ich nutze meine DS von Aussen seit einiger Zeit nur per VPN. Im Router ist kein Port offen.

In der Firewall vom NAS ist der Port 8081 nicht aufgeführt und somit auch nicht offen. Macht es Sinn, diesen Port explizit zu schliessen oder ist das dann wieder übertrieben?

bfpears · 28. Okt 2020

Hi youthman,
kannst du vielleicht noch ein paar Screenshoots posten:

von der eMail (anonymisiert)
von einem gemounteten Ordner: zb. Listen Ansicht (mit Zeitstempel) von einem Ordner mit Dateien und Unterordnern

Wir sollten ja die Chance (youthman's Unglück) nutzen und möglichst viel Infos zu sammeln.
Hattest du eine Externe USB-HDD als Backup dauerhaft angeschlossen?

youthman · 28. Okt 2020

Ja die HDD war dauerhaft angeschlossen.

Thonav · 28. Okt 2020

Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...

Ulfhednir · 28. Okt 2020

@youthman hattest du den Synology-Adapter im ioBroker installiert?

t0BI · 28. Okt 2020

Thonav schrieb:
Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...

Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation

youthman · 28. Okt 2020

Ja ich nutze Quickconnect.
Den Synology Adapter habe ich nicht installiert

ebusynsyn · 28. Okt 2020

t0BI schrieb:
Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation

Ich habe meine Firewall nach dieser Anleitung eingerichtet: https://mariushosting.com/how-to-set-up-synology-firewall-geoip-blocking/

SAMU · 28. Okt 2020

Schwarte schrieb:
Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.

Habe ich seit letzter Woche auch vermehrt. Und immer schön mit Zeitabstand dazwischen, dass die automatische Sperre nicht gegriffen hat. Bekommt man schön mit wenn man die Benachrichtigungen an Telegramm weiterleiten lässt.

Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.

Zwischenzeitlich wurden in 1h auch mal > 700 Port-Anklopfer vom Router verworfen. Alle auf den vier bis fünfstellingen Portbereich.

ebusynsyn · 28. Okt 2020

SAMU schrieb:
Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.

Guter Hinweis. Beim mir 3 Versuche in 15 Minuten. Kannst Du diese 600 Minuten begründen? Wirkt diese IP-Sperre auch auf IPs die via NAS-Firewall freigegeben sind? Denn in meiner Firewall ist nur mein eigener IP-Range freigegeben.

Wenn ich Dödel mein kompliziertes Passwort also selber 3 Mal falsch eingebe, bin ich dann ebenfalls weg und muss 600 Minuten warten? Wobei ich es bei mir so eingerichtet habe, dass keine automatische Aufhebung der Sperre erfolgt.

Speicherriese · 28. Okt 2020

Können die Profis hier im Forum schon eine Analyse ( keine Vermutungen) der beiden gehackten Vorfälle abgeben, wo der Hacker eine Schwachstelle im System gefunden hat um ins NAS zu gelangen. Was bringt einem FW, Zertifikate, 2Stufen Verifizierung usw. wenn doch irgendwo wieder ein Schlüssel im Garten rumliegt, den man aber selber nicht sieht um die Tür aufzusperren. Der IoBroker scheint ja schon mal ein Einfallstor zu sein. ( Vermutung von mir)
Das ist alles, was mich interessiert.

Ulfhednir · 28. Okt 2020

Zum Dritten: Ich habe ein potentiellen Angriffsvektor mit über 700 Systemen aufgespürt. Ich hüte mich jetzt noch mehr Input hier im Forum zu beschreiben, um nicht noch mehr Kaputte darauf aufmerksam zu machen. Das Grundproblem ist nach wie vor der offene ioBroker.

Flessi · 28. Okt 2020

Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.

Flessi · 28. Okt 2020

Gestern habe ich mir folgende Frage gestellt: Kann man unter DSM verschlüsselte "gemeinsame Ordner" (nochmal) verschlüsseln?
Die Überprüfung ergab die Antwort: anscheinend nicht - es lässt sich wohl kein Passwort eintragen!
Das müsste doch bedeuten, dass wenn man regulär immer mit bereits verschlüsselten (eingehängten) "gemeinsamen Ordnern" arbeiten würde, könnte ein Hacker Ordner nicht verschlüsseln, da er sie vorher entschlüsseln müsste (ist ein längerer Vorgang) und auch die dazu benötigten Passwörter kenne müsste.
Diese könnten sich aber auf einem abgezogenen USB-Stick befinden.
Kann das so bestätigt werden oder habe ich etwas übersehen?

SAMU · 28. Okt 2020

@Flessi oder ich gehe halt dann hin und verschlüssele direkt die Daten.

Was dann aber voraussetzt, dass ich eine Software im Zielnetz laufen habe die das macht. (oder sehr schnelles Internet und alles runter/hochladen

)

SAMU · 28. Okt 2020

Flessi schrieb:
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.

Bei mir werden IPs dauerhaft geblockt. Das heißt, sollte ich mich mal aussperren, muss ich mich mit was anderem einloggen (zur Not vom internen Netz) und die IP löschen.

Benares · 28. Okt 2020

Ich finde, ihr redet am Grundproblem vorbei.
Das Grundproblem ist jede Art von Portweiterleitung. Erst die Haustür offen stehen lassen und dann versuchen, über verschlossene Zimmertüren oder verschlossene Schubladen doch noch was zu schützen ist m.E. der falsche Ansatz.

Flessi · 28. Okt 2020

@SAMU Es geht doch hier um die 2 Fälle, wo der NAS gehacked wurde und die "gmeinsamen Ordner" (wenn ich das richtig verstanden habe) verschlüsselt wurden. So habe ich mir Gedanken gemacht, genau dies zu unterbinden.

Diskstation gehackt

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Benutzer

Kaffeautomat