Diskstation gehackt?

[blackargon]

Hallo zusammen,

ich bin momentan auf Heimaturlaub und kam auf die tolle Idee ein bisschen an meiner DS215j herumzuspielen. Konkret wollte ich auf Spurensuche bezüglich des immer wieder unterbrochenen Ruhezustands der Festplatten gehen.

Also per Fernzugriff am Router Port 22 freigeschalten und über SSH auf die DS zugegriffen um per "syno_hibernate_debug_tool --enable 10" das log für den Ruhezustand zu aktivieren. Binnen kürzester Zeit wurden diverse externe Anmeldeversuche blockiert. Panisch deaktivierte ich die Portweiterleitung wieder. Soweit, so gut.

Nach einer Stunde melde ich mich wieder im DSM an. Verbundene Benutzer wurden nicht angezeigt und auch auf den Paketmanager, sowie diverse andere Einstellungen konnte nicht zugegriffen werden. Ein Neustart wurde nicht durchgeführt, herunterfahren nicht möglich. Als letzte Möglichkeit blieb mir nur noch über SSH "shutdown -h now". Die Diskstation ist jetzt aus und alle Ports dicht gemacht. Da ich aber momentan nicht physisch an das Teil ran komme, treibt mich eine gewisse Unruhe. Kann sich jemand dieses Verhalten erklären, bzw. mich einigermaßen beruhigen, dass keine Malware eingeschleußt wurde?

Viele Grüße und noch schöne Feiertage!

 

[heavy]

1. Wenn du port 22 öffnest hast du innert sekunden besuch, das ist bekannt und sind reine Skripts die einfach alle Ips anpingen und dann versuchen mit standard usern (admin/user/root) sich einzuloggen.
2. Ich denke du hast hast ein bisschen überreagiert.

 

[Hafer]

Sofern du keine banalen Passwörter verwendet hast, teile ich heavys Einschätzung. Heimaturlaub genießen und sich nach Rückkehr drum kümmern.

Hinsichtlich der Häufigkeit von Besuchen: Da ich mich überwiegend in DEU aufhalte, habe ich in der Firewall die Zugriffe außerhalb DEU blockiert (s. Bild). Das reduziert die Anzahl der Besuche drastisch. Verzeichne auf zwei DS vielleicht zwei, drei Besuche pro Woche.

 

[blurrrr]

Port 22 nach aussen öffnen.... Vielleicht sollte ich Dir mal so ein "typisches" Logfile von Servern zeigen, welche direkt im Internet hängen inkl. offenem SSH... da sind ein paar hundert Login-Versuche "garnichts"... Typische Kombis sind dann übrigens admin/admin, admin/password, admin/1234, root/root, root/password, root/1234, usw.... Das, was Du sonst nicht mitbekommst, wird dann auch schlichtweg "Grundrauschen" genannt... Prinzipiell kann man auch unterscheiden zwischen 2 großen Szenarien: a) Es gibt ein festes Ziel (z.B. ein bestimmtes Haus), also prüfen wir da "alle" Fenster, b) Es gibt kein festes Ziel, aber es soll "einfach" sein (da wir z.B. eine aktive Lücke haben, welche wir ausnutzen wollen), ergo werden alle Häuser einer Strasse (IP-Range) geprüft, ob nicht vielleicht im Erdgeschoss ein Fenster offen ist. Letzteres ist mit Sicherheit bei Dir der Fall gewesen, denn diese Login-Versuche finden nicht nur bei Dir statt, sondern bei tausenden anderen ebenfalls. Ist aber "gar kein Problem", da dann der fail2ban-Mechanismus greift (Syno-Slang: "automatische Blockierung"). Wenn möglich könntest Du aber auch hingehen (müsste man mal testen) und eine dyndns-Adresse für den Zugriff erlauben. Allerdings solltest Du dann auf dem Handy eine entsprechende Update-App für den DDNS-Dienst haben, damit Dein Handy quasi immer von der gleichen DDNS-Adresse kommt, für welche dann der Zugriff gewährt wird.

Was das hier angeht "Also per Fernzugriff am Router Port 22 freigeschalten und über SSH auf die DS zugegriffen"... warum nicht einfach ein VPN einrichten? Dann brauchst Du auch nix weiterleiten o.ä. und kannst via SSH (oder Web/SMB/etc.) durch den Tunnel direkt auf das NAS zugreifen. Wäre sowieso empfehlenswert, weil Du dann auch direkt den Router-Fernzugriff ABSCHALTEN könntest

 

[TheGardner]

Mann, dass ihr immer den 22er nach Außen freigeben müsst! Kapier das nicht! Ich würde zumindest ne Portumleitung (Port 922) machen, so dass nicht jeder gleich auf die 22 schauen kann und sinnlos drauf rumklopft.
Die beste Möglichkeit ist aber, was blurrrr schrieb! Ich habe über Fritzboxen ein VPN aufgespannt, so dass ich den Port 22 gar nicht am Router nach aussen hin sichtbar habe und verbinde mich von überall her (über das VPN) direkt mit der DS und ihrem Port 22. Da können die Russen und Chinesen vorm Router stehen und sehen gar keinen Port 22...

 

[blackargon]

Tja, das hab ich dann davon Aber vielen Dank für den regen Zuspruch und die Tipps bezüglich VPN. Dann kann ich nur hoffen, dass sich die Probleme bzgl. des streikenden Ressourcenmonitors nach einem Neustart in Wohlgefallen auflösen.

 

[rednag]

Ich kann hier @TheGardner nur beipflichten.

Cool, SSH von unterwegs? Warum auch nicht? Sicherheit? Hab ja ein 4stelliges Passwort. Meine DynDNS weiß keiner, da kommt keiner hin. Die Argumentationen kennen hier wenig Grenzen. Ich denke es gibt im privaten Umfeld sehr wenige Szenarien wo man unbedingt per App oder was auch immer auf die Konsole der DS muß.

 

[PsychoHH]

Naja wenn man es ein wenig absichert geht da schon einiges.

Nutze auch sehr oft am Handy ssh zur Konsole - privat.
VPN und dann noch zusätzlich über 30 Stellen PW/key.

Aber wer den Port offen lässt sollte sich nicht über mächtig pings wundern.

Lustig war es einmal als die vu+ ein update gemacht hat und das webinterface kein PW hatte und irgendein chinese aufeinmal mein TV Programm umstellt..

 

[Hafer]

Die Argumentationen kennen hier wenig Grenzen.

Na ja, vor allem fallen mir Grenzen für die Verwendung von VPN ein - ist nichts für jeden use case und nicht jeder hat die Voraussetzungen. Reflexhaft VPN zu lobpreisen fühlt sich dann zwar gut an, hilft aber nicht immer

 

[rednag]

Das ist natürlich auch richtig, aber ich denke 95% der User hier brauchen schlichtweg kein SSH.
Sie wollen es aber, weil es geht!

 

[blackargon]

So, bin mittlerweile wieder in heimischen Gefilden angekommen und hab das Problem gelöst. Übeltäter war lustigerweise "syno_hibernate_debug_tool --enable 10". Sobald ich den Befehl in der Konsole über sudo aktiviere, spielt die Diskstation komplett verrückt und verweigert das herunterfahren komplett. Die blaue LED blinkt zwar, aber das Gerät an sich bleibt an. Hab alles wieder deaktiviert und es läuft problemlos. Vielen Dank für die Hilfe!