Diskstation gehackt

youthman

Benutzer
Mitglied seit
19. Jul 2018
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Hallo Leute!

Ich habe ein Riesen Problem..
am Samstag wurde wohl meine Diskstation gehackt.
ich bekam eine Email das sich jemand eingeloggt hat..
Habe darauf gleich die Diskstation ausgeschalten.. leider zu spät.
Am nächsten Tag wieder gestartet und Passwort geändert.

Heute ist mir erst aufgefallen das meine ganzen wichtigen Ordner verschlüsselt worden sind.. Unsere ganzen Kinder Fotos weg.. Firmen Rechnungs Datenbank.. weg...
Ich habe schon dem Support eine Mail geschrieben und warte jetzt auf eine Antwort.
Die werden mir da aber wohl nicht weiterhelfen können oder?
Kann ich auch nicht auf die Daten zugreifen wenn ich die Festplatten ausbaue und in ein externen Case einbaue? Verdammt...
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Uiii - das tut mir leid.

Kannst Du hier mehr über Deine Konfiguration und nach außen offene Ports beri?
Viel Glück!
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.804
Punkte für Reaktionen
3.761
Punkte
468
Lies mal hier. Du hattest vermutlich irgendwelche Portweiterleitungen aktiv oder hast auf einen Link in einer Mail geklickt :rolleyes:
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83

isch83

Benutzer
Mitglied seit
19. Jul 2012
Beiträge
330
Punkte für Reaktionen
1
Punkte
18
Hi,

das klingt ja ziemlich dramatisch!
Kannst Du vielleicht auch in bisschen technischer werden und erklären wie sich die Verschlüsselung auswirkt bzw. Wie es zu erkennen ist?
Kannst Du dich noch anmelden?
Siehst Du eine Meldung womit deine DS/Ordner verschlüsselt sind?

Mein erster Vorschlag wäre Backup nutzen bzw. einspielen.
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Nachdem wir einen gleichlautenden Fall ja gerade erst hatten ... waeren so viele Details wie moeglich, eine wichtige Sache.

Im letzhin aktuellen Fall waren nciht die Daten verschluesselt, wie bei einem Kryptotrojaner, sondern die "gemeinsamen Ordner"
waren alle encrypted. Also mit Bordmitteln verschluesselt.
Das Opfer in dem Fall, hat nach Zahlung von ~x00.- EUR in Bitcoin den Key zum decrypten erhalten.

Nicht um auf den eventuellen Fehlern rumzuhacken, sondern um ein Muster zu erkennen, welches anderen eventuell hilft
Praeventivmassnahmen zu ergreifen.

Diskstation:
DSM Version:
installierte Pakete:
Docker:
Ports offen nach aussen:
2FA:
schwaches Passwort:
Adminzugang immer genutzt:
Admin=Admin:
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83
Hi, auf der Schulverwaltungsseite des Landes NRW ist ein Link zu einer Seite, die die verschiedenen Arten Trojaner erklärt und, sofern vorhanden, einen Decryptor nennt. Da es die Empfehlung eines Ministeriums ist, sollte die Seite seriös sein:

https://www.bleib-virenfrei.de/it-sicherheit/ransomware-liste/

vg
Mahoessen
 
  • Like
Reaktionen: Flessi

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Privater Service, auf Empfehlung eines Ministeriums? Steht das auf der Seite des Ministeriums?
 

Mahoessen

Benutzer
Mitglied seit
20. Jul 2016
Beiträge
1.070
Punkte für Reaktionen
216
Punkte
83

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Danke!
Da gibts auch andere Anbieter, wenn Du nur einen hier postest, bleibt bei mir ein Beigeschmack.
Verweis auf die behördliche Seite hätte gereicht...
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.104
Punkte für Reaktionen
2.071
Punkte
259
@youthman Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC.

Wir wissen nicht, was du sonst noch alles in deinem Netzwerk hast. Als Sortierung:

Hohes Risiko: Jeder Windows-PC, Windows-Server
Mittleres Risiko: Andere Rechner, z.B. Linux (auch die DS ist ein Linux-Rechner), Mac (eher selten betroffen, aber nicht auszuschließen). Falls gerootet, Android-Smartphones
Geringes Risiko: Router, Drucker, iOS-Geräte, nicht gerootete Androiden

Da sich die Infektion fortpflanzen kann, würde ich alle PCs und alle Geräte in der mittleren Kategorie aktuell abschalten. Das heißt ganz aus, Strom weg, kein Ruhezustand oder so.

Mit uns reden geht über Mobilgeräte oder über einen anderen Rechner, der nie mit deinem Netzwerk verbunden war.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.104
Punkte für Reaktionen
2.071
Punkte
259
Nächste Frage: Verfügst du über ein weiteres Backup, also eines, dass in der letzten Zeit (2-3 Wochen zurück) nicht mit deinem Netzwerk verbunden war ?

Nur um es zu wissen, auf keinen Fall aus dem Schrank holen und ausprobieren, ob es noch geht !
 

Wollfuchs

Benutzer
Sehr erfahren
Mitglied seit
06. Sep 2020
Beiträge
1.143
Punkte für Reaktionen
261
Punkte
159
Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC

genau hier habe ich aktuell noch Zweifel ...
der Fall klingt so aehnlich zu dem Thread Verschluesselungstrojaner.

Hinweise:
  • es wurden nur Ordner verschluesselt
  • es wurde sich auf der Diskstation angemeldet
  • er hat eine Mail erhalten
alles passt zu dem Fall vorher .. und zwar um Laengen besser als zu einer Encryption aller Files wie es die
"klassischen Trojaner" machen. gerade so als suche jemand gezielt nach NAS mit offenen Ports und nutzt
Hintertueren oder nach aussen offene Apps wie vorig iobroker, um von da aus nach innen zu kommen.
Wenn nun noch DSM per Web erreichbar war .. herzlichen Dank auch ..
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
War nicht auch in dem letzten Hacker Beitrag die Rede, das der Hacker noch mehrere Leute an der Angel hat? Denke mal, das wir hier demnächst noch mehr solcher Beiträge lesen werden.
Ich habe nur immer noch nicht eindeutig überrissen, woher der Hacker das PW hatte und wie er die 2 Stufen Verifizierung aushebeln konnte. ( Falls der User dies eingerichtet hatte). Wenn das nicht eindeutig geklärt ist, dann befürchte ich, wird demnächst hier eine Lawine von Meldungen gleicher Art eintrudeln. Da niemand weiß, wie er sich vorher zu 100% vor solchem Mist schützen kann. Erstmal alles Windows Gedöns aus der Wohnung werfen ist zwar schon mal der erste Schritt, aber das reicht ja Heutzutage bei weitem nicht.
 
  • Like
Reaktionen: Valkyrianer

the other

Benutzer
Sehr erfahren
Mitglied seit
17. Okt 2015
Beiträge
2.104
Punkte für Reaktionen
545
Punkte
154
Moinsen,
Naja... Indirekt auf jeden Fall schon, denn nach wie vor gibt es für dieses OS die meisten und umtriebigsten malware Programme, denn das ist eben die grosse Masse der Nutzer. Da lohnt sich der Aufwand für die pösen purchen eben eher.
Zwar fangen auch für Apple OS und Linux mehr und mehr schlechtere Zeiten an, aber nicht vergleichbar.
Dafür kann Windows ja auch nix, dass 95 Prozent (gefühlte wert!) der PC Nutzer Windows nutzen... Und da sind dann eben auch viele unbedarfte Zeitgenossen dabei. Apple und Linux ziehen ja oft auch Menschen an, die sich mit ein zwei Ebenen unter der bunten Oberfläche befassen wollen.
Es kann zumindest nicht schaden, sich mit seinem OS mal etwas auseinander zu setzen und ein paar wichtige basics zur Kenntnis zu nehmen, egal welches OS. Die heutigen Zeiten machen das imho nötig, denn die schlecht gesicherten Geräte und die User aus dem Tal der ahnungslosen von heute sind die mich angreifenden Teile des botnetzes von morgen...
Windows bietet da durchaus jede Menge mehr Sicherheit heute, aber eben für den 0815 User nicht offen. Da muss man dann auch wollen und machen. Meist ist der Keim des Übels aber nicht das OS allein, sondern der honk der es sorglos und Gedanken frei benutzt.
Jm2c
 
  • Like
Reaktionen: Valkyrianer

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
225
Punkte für Reaktionen
56
Punkte
28
Wie Synchrotron dies schon schön in Sicherheitskategorien unterteilte, was ich genauso sehe. Hier steht Windows an erster Stelle der Unsicherheit. Das ist Heute genauso, wie es schon vor 25 Jahren war. In größeren Firmen gibt es ganze gut bezahlte IT Abteilungen, die dies zumindest im Griff haben sollten, die Privatanwender sage ich mal salopp, haben hier in der großen Masse von wirklicher sehr tiefgreifender Sicherheit keinen blassen Dunst. ( Da zähle ich mich auch dazu). Um diese Schwachstelle eben zu eliminieren, habe ich alles Windows aus diesen Gründen seit zig Jahren aus meiner Wohnung verbannt. Ein Problem weniger. ( Nur eines aber das reicht mir schon mal). Was nicht heißen soll, das ich niemals von Hackern angegriffen werden könnte, aber eben ein Schloss mehr am Haus.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.104
Punkte für Reaktionen
2.071
Punkte
259
So, dann wären wir damit erst mal durch.

Jedenfalls bis sich derjenige wieder meldet, der diesen Thread eröffnet hat, und nur genau diesen einen Post ganz am Anfang hier abgesetzt hat. Seitdem nichts mehr - warum auch immer.
 
  • Like
Reaktionen: peterhoffmann

Schwarte

Benutzer
Contributor
Mitglied seit
02. Mrz 2018
Beiträge
117
Punkte für Reaktionen
18
Punkte
24
Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.

Port, PW und soweiter sind geändert und keine Adminrechte genutzt.

Möglicherweise kommts eben nicht über Windows rein, feste-ip.net lief Jahre bei mir mit den Einstellungen ohne Einträge in der Firewall oder automatischer Blockierung. Bis letzten letzte Woche Mo 17:00. Dauert keine 10 Minuten für 3 (fehlgeschlagene) Anmeldeversuche seitdem.

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Mon Oct 19 17:34:03 2020 blockiert.

Von NAS

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Tue Oct 20 08:12:52 2020 blockiert.

Von NAS

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 15 Minuten 3 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Wed Oct 21 07:53:03 2020 blockiert.

Von NAS

Habs dann auf 3 Versuche pro 15 Min gelassen und blockiert.
 
Zuletzt bearbeitet:

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.234
Punkte für Reaktionen
324
Punkte
109
Da frgat man sich warum du SSH für extern aufgemacht hast.
 
  • Like
Reaktionen: SAMU und Synchrotron


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat