Hallo Zusammen,
kurz zu meinem Setup:
DS 415+ (mit 8 GB Speicher) / schon auf DSM 7
Über FritzBox sind 5 Ports offen: Web-Station (darüber läuft Webtrees), Bitwarden, Traccar (hier 3 Ports offen - Web-Interface sowie 2 Ports für verschiedene Tracker)
Da ich aktuell Probleme mit meinem Tracker habe (sendet nicht mehr), habe ich mir ein Logfile von Traccar angeschaut und gesehen, dass es diese Nacht Aktivitäten gab. Sehr ungewöhnlich, da wie gesagt der Tracker keine Daten mehr sendet.
Parallel habe ich bemerkt, dass die Synology sehr langsam war. Nach Anmeldung war die RAM-Auslastung konstant bei 93%. Zuerst dachte ich, dass es die Surveillance Station war - war es aber nicht. Im Ressourcen-Monitor war keine Anwendung zu sehen, die viel RAM gezogen hat. Auch die Docker-Container sahen normal aus.
Ich habe das System neu gestartet und jetzt ist die RAM-Auslastung auf wieder bei normalen 30%. Das System fühlt sich normal an.
Alle Daten sind im Zugriff und lesbar.
Die Daten im Log waren in einem Zeitraum von 4:43 und 4:46 Uhr diese Nacht.
Man kann die Kommandos, die gesendet werden über eine Webseite von Traccer dekodieren und siehe da, es kamen keine GPS-Daten an, sondern diverse "Befehle".
Folgendes war zum Beispiel dabei:
GET / HTTP/1.0
oder
@PJL INFO ID
oder
HELP
oder
M-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
ST: urn:schemas-upnp-org:device:InternetGatewayDevice:1
MAN: "ssdp:discover"
MX: 2
oder
OPTIONS / HTTP/1.0
und es geht munter weiter.
Nach 3 Minuten war und ist wieder Ruhe.
Wie geschrieben läuft Traccar in einem Docker-Container.
Hier habe ich nachgeschaut und sehe aktuell keine offenen kritischen Lücken: https://www.cvedetails.com/vulnerability-list/vendor_id-19554/Traccar.html
Keine Ahnung ob das Speicher-Problem überhaupt zeitlich oder inhaltlich im Zusammenhang mit diesem Angriff zusammen hängt - oder ob es doch an DSM7 liegt.
Und keine Ahnung ob es nicht schon häufiger in de Logs solche Einträge gab. Ich schaue nicht wirklich regelmäßig die Logs von Traccar an.
Nun meine Fragen:
- Wie kritisch in der Angriff auf einen Docker-Container? Kann man am Ende auf das ganze System kommen? Welche Einstellungen für den Container sind wichtig (Netzwerk steht zum Beispiel auf "Bridge".
- Was sollte ich bzw. kann ich prüfen um "sicher" zu sein, dass nichts angerichtet wurde?
- Kann mein Speicher-Problem (volllaufen) mit DSM7 zusammen hängen?
Freue mich über Rückmeldungen, da ich schon ein wenig beunruhigt bin.
Viele Grüße,
Albert
kurz zu meinem Setup:
DS 415+ (mit 8 GB Speicher) / schon auf DSM 7
Über FritzBox sind 5 Ports offen: Web-Station (darüber läuft Webtrees), Bitwarden, Traccar (hier 3 Ports offen - Web-Interface sowie 2 Ports für verschiedene Tracker)
Da ich aktuell Probleme mit meinem Tracker habe (sendet nicht mehr), habe ich mir ein Logfile von Traccar angeschaut und gesehen, dass es diese Nacht Aktivitäten gab. Sehr ungewöhnlich, da wie gesagt der Tracker keine Daten mehr sendet.
Parallel habe ich bemerkt, dass die Synology sehr langsam war. Nach Anmeldung war die RAM-Auslastung konstant bei 93%. Zuerst dachte ich, dass es die Surveillance Station war - war es aber nicht. Im Ressourcen-Monitor war keine Anwendung zu sehen, die viel RAM gezogen hat. Auch die Docker-Container sahen normal aus.
Ich habe das System neu gestartet und jetzt ist die RAM-Auslastung auf wieder bei normalen 30%. Das System fühlt sich normal an.
Alle Daten sind im Zugriff und lesbar.
Die Daten im Log waren in einem Zeitraum von 4:43 und 4:46 Uhr diese Nacht.
Man kann die Kommandos, die gesendet werden über eine Webseite von Traccer dekodieren und siehe da, es kamen keine GPS-Daten an, sondern diverse "Befehle".
Folgendes war zum Beispiel dabei:
GET / HTTP/1.0
oder
@PJL INFO ID
oder
HELP
oder
M-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
ST: urn:schemas-upnp-org:device:InternetGatewayDevice:1
MAN: "ssdp:discover"
MX: 2
oder
OPTIONS / HTTP/1.0
und es geht munter weiter.
Nach 3 Minuten war und ist wieder Ruhe.
Wie geschrieben läuft Traccar in einem Docker-Container.
Hier habe ich nachgeschaut und sehe aktuell keine offenen kritischen Lücken: https://www.cvedetails.com/vulnerability-list/vendor_id-19554/Traccar.html
Keine Ahnung ob das Speicher-Problem überhaupt zeitlich oder inhaltlich im Zusammenhang mit diesem Angriff zusammen hängt - oder ob es doch an DSM7 liegt.
Und keine Ahnung ob es nicht schon häufiger in de Logs solche Einträge gab. Ich schaue nicht wirklich regelmäßig die Logs von Traccar an.
Nun meine Fragen:
- Wie kritisch in der Angriff auf einen Docker-Container? Kann man am Ende auf das ganze System kommen? Welche Einstellungen für den Container sind wichtig (Netzwerk steht zum Beispiel auf "Bridge".
- Was sollte ich bzw. kann ich prüfen um "sicher" zu sein, dass nichts angerichtet wurde?
- Kann mein Speicher-Problem (volllaufen) mit DSM7 zusammen hängen?
Freue mich über Rückmeldungen, da ich schon ein wenig beunruhigt bin.
Viele Grüße,
Albert
