Gerade läuft ein Angriff auf meine Diskstation...

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.842
Punkte für Reaktionen
756
Punkte
128
Also wenn das admin Konto noch aktiv ist UND KEINE 2-Faktor-Authentifierung aktiv ist, dass ist leider sicherheitstechnisch einiges im Argen. Bitte unbedingt nachbessern!!! Sonst ist für die Zukunft der gleiche Vorfall wieder vorprogrammiert.

Sicherheit
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.842
Punkte für Reaktionen
756
Punkte
128

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Fast 1 Jahr blieb die NAS abgeschaltet, bis ich nun ein neues Betriebssystem einspielte, und die verschlüsselten Ordner gelöscht hatte.
Ich glaube da ist ein Backup nicht relevant.... Vor allem wenn die Daten ja eh verschlüsselt sind.
 

Dauwing

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
140
Punkte für Reaktionen
1
Punkte
18
Das Vorgehen von Dauwing zur erneuten Inbetriebnahme ist für mich nicht schlüssig:
Wenn ein Wurm oder Trojaner zugeschlagen hat hilft nur ein vollständiger RESET. Alte Platten raus, neue leere Platten rein und aktuelles OS mittels PAT-Datei aufspielen. Reine Upgrades helfen da nicht, weil alle "Fehleinstellungen" erhalten bleiben, z.B. auch die möglicherweise kompromittierte Quick-Connect Anbindung. Dann die Firewall im NAS und im davorliegenden ROUTER einschalten. Die Benutzer Admin und Guest deaktivieren! Neuen "Admin-Account" anlegen. Und erst danach das NAS mit einem Netzwerk verbinden über das auch Internet zur Verfügung steht.

das admin Konto bekam natürlich neue Passwörter, und der Versuch, das Anti Viren Paket zu installieren, klappte auch nicht,

wobei ich sagen muss,

das bei dem Versuch, bestimmte Pakete wieder zu installieren,
war gerade bei dem Paket Photo Station etwas unglücklich,
weil die Synology Meldungen nicht zielführend waren,
und mich zu unnötigen Portöffnungen verleiteten.

Erst zum jetzigen Zeitpunkt ist klar, das man einen Wurm oder Trojaner hat,
zum Zeitpunkt des Upgrades des Betriebssystem, war der Glaube da,
das mit dem Löschen der verschlüsselten Daten, und dem Neu-Einspielen des Uprades das Problem lösbar sei.

Bestimmte Pakete, wie die Surveilance Station liessen sich reparieren und funktionierten danach einwandfrei,
bei den Paketen, wo keine Reparatur möglich war, wurde halt rumprobiert,
doch der Verdacht, dass da ein Schadprogramm noch aktiv ist,
kam erst,
als das Protokoll Software Paket installiert wurde,
und man sehen konnte, dass der Versuch der Datenverschlüsselung weiter unternommen wurde,
doch die neu reinkopierten Daten wurden nicht verschlüsselt.

( Synology Datei Uploader ging noch nicht,
also wurde über den Windows Explorer die Synology aufgerufen,
und ein ganzer Ordner reinkopiert. )
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
1.842
Punkte für Reaktionen
756
Punkte
128
Ich glaube da ist ein Backup nicht relevant.... Vor allem wenn die Daten ja eh verschlüsselt sind.
Na ich hoffe mal, dass es mehrere Versionen auf mehreren Platten gibt. Vielleicht ist ja eine dabei, die nicht verschlüsselt ist. :rolleyes:
 

FricklerAtHome

Benutzer
Mitglied seit
01. Okt 2017
Beiträge
596
Punkte für Reaktionen
49
Punkte
54
@Dauwing

Das Betriebssystem des NAS steht auf einer versteckten Partion auf jeder Festplatte im NAS. Hat sich ein Wurm oder Trojaner dort eingenistet hilft kein Upgrade. Bei diesem werden lediglich neue Funktionen eingespielt, aber Config-Dateien und ethliches Anderes bleiben erhalten.
Ein sauberer Neuansatz fuktioniert also nur wenn auch diese versteckten Partitionen vollständig gelöscht sind (also nicht existieren). Es hilft auch nicht alle Einstellungen wie Passwörter etc zu ändern, der Shit ist einfach noch da!
Die verseuchten Platten kann man extern (also Ausgebaut) erasen. Dafür habe ich einen Raspi, der ohne Netzwerk oder sonstiges die per USB angeschlossenen Platten sauber auf NULL setzt. Steckt der Schädling jedoch im Bios / ROM der Platte oder des NAS kann ein Normal-Sterblicher nichts mehr retten, bzw. keinen Neu-Aufsatz mehr durchführen.
Nach deiner Beschreibung ist dein System weiterhin im Zugriff des Dämon, auch wenn du annimmst es wäre nicht so schlimm wie vorher.

ielbdn
F@H
 
  • Like
Reaktionen: Benie und Ronny1978

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Für mich ist der Fokus auf eine „Reinigung“ der DS auf Grundlage der bisher bekannten Fakten nicht nachvollziehbar:

Nach den Protokollen ist der Trojaner nicht auf der DS, sondern irgendwo sonst im System. Die Dateien werden gem. den Screenshots weiter oben bereits verschlüsselt auf die DS geschrieben. In den Logfiles steht, dass die Dateiendung „.encrypt“ bereits vorhanden ist, wenn die Dateien auf die DS geschrieben werden (#32, Bild 2). Wenn die erste Spalte den schreibenden Client zeigt, dann ist ein Windows-System das Nest der Würmer. Das ist nicht unwahrscheinlich, das ist ein viel wahrscheinlicherer Wirt als eine DS. Danke an @synfor , dem das zuerst aufgefallen ist.

Die DS wäre dann nur der Speicherort für die anderswo verschlüsselten Dateien.

Wenn ich Surveillance lese, dann kämen auch die Kameras in Frage. Das sind oft Geräte, die mit jeder Menge Sicherheitslücken ausgeliefert werden, und nie ein Update bekommen. Aber „nach Hause telefonieren“ wollen sie alle, und machen (UPnP heißt diese Pest) sich dafür selbst die Türen auf dem Router auf. Türen, die in zwei Richtungen funktionieren.

Keine Ahnung, was in diesem Netzwerk sonst noch herum hängt. Nach den bisherigen Informationen ist der Trojaner aber NICHT auf der DS tätig.

Also nicht spekulieren, sondern den klaren Hinweise nachgehen.

Wenn es da einen Windows-PC gibt, ist das der Hauptverdächtige. Die meisten Angriffe lassen sich stoppen, indem der PC platt gemacht und neu aufgesetzt wird. Ist er im BIOS, hilft das allerdings nicht.

Die zweite Quelle könnten die Kameras sein, sowie möglicherweise eine IoT-Basisstation (bekanntlich steht das „S“ in „IoT für „Sicherheit“). Auch die können übernommen worden sein. Da mal im Internet nach neuer Firmware schauen, und versuchen, die Kameras zu updaten. Auch hier: Oft löst es das Problem, aber nicht immer.

Vielleicht mal hier einstellen, was alles sonst in diesem Netzwerk anzutreffen ist. Unwahrscheinlich als Host sind Mobilgeräte wie Telefone und Tablets.

Das ist alles noch Schadensbegrenzung. Das Netzwerk so abzusichern, dass es sich nicht wiederholt, ist ein ganz anderer, weiterer Schritt. Der macht aber so lange wenig Sinn, wie der Angriff von innen kommt.

Synology-bashing finde ich übrigens seltsam. Wer blind Pakete installiert („ist ja toll, was es da alles umsonst gibt“) und dann auch noch alles aufreißt, was geht, der hat sich das Problem selbst ins Haus geholt. Es gibt zu jedem Paket Hilfetexte, und die beschreiben auch, wie man die nötigen Zugänge absichern muss, zum Beispiel durch die Firewall oder den Reverse Proxy. Aber dazu gehört auch, dass man sich das durchliest und einstellt, bevor man „All in“ geht mit seinen Ports.

Die kleinste Angriffsfläche bietet immer das Paket, das man DEINSTALLIERT hat. Je weniger läuft (nur das, was man tatsächlich BENÖTIGT), um so einfacher ist die Absicherung. Für diese Erkenntnis muss man kein Diplom in Raketenwissenschaft haben. Dafür reicht Küchenlatein.
 

Dauwing

Benutzer
Mitglied seit
04. Feb 2014
Beiträge
140
Punkte für Reaktionen
1
Punkte
18
Habe die Synology nun neu aufgesetzt, und damit die Probleme hoffentlich gelösst.

Weil mir die Photo Station wichtig war, bin ich bei 6.2 geblieben,
nur einen Zugangsnutzer,
sollte jetzt alles passen.

Von den Handies laufen jetzt über DS File wieder die Fotobackups,
und sämtliche Handyfotos werden auf die NAS übertragen.

Bin gespannt, ob die Files alle so bestehen bleiben - man wird sehen.

Raid1 ist zur sicheren Spiegelung der Daten in der NAS, ja ohne Alternative,
aber wenn man bei einem Hardware-Crash die Daten aus einer RAID1 Platte über eine Linux Live CD sichern möchte,
sind die Erfahrungen ernüchternt, jedenfalls hat es bei mir nicht geklappt.
Zumindestens war dann @ FricklerAtHome
das Löschen der Platten problemlos möglich.
Naja, blind Pakete hatte ich nicht installiert, ( @ Synchrotron )
aber es ist richtig, das man sich von nicht mehr benötigten Paketen auch wieder trennen sollte.

Was sind meine "low-Tec" Sicherheitsmassnahmen ?

- eine Zeitschaltuhr am Router, der alle 12 Stunden abschaltet und nach 1 Minute wieder anschaltet, wodurch der Router eine neue dynamische IP zugewiesen bekommt,
wer allerdings die Dyndns oder Quickconnect Kennung kennt,
dem macht das nix aus,
deshalb
- neue Quickconnect Kennung

Erstmal danke, für die Ratschläge ich halt sie im Hinterkopf
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
628
Punkte
484
Raid1 ist zur sicheren Spiegelung der Daten in der NAS, ja ohne Alternative,
aber wenn man bei einem Hardware-Crash die Daten aus einer RAID1 Platte über eine Linux Live CD sichern möchte,
sind die Erfahrungen ernüchternt, jedenfalls hat es bei mir nicht geklappt.
Das macht man ja in aller Regel nur, wenn tatsächlich noch ganz junge Daten nicht im Backup gelandet sind. Sinn und Zweck eines RAID1 ist ja nicht die Sicherheit der Daten, sondern die Verringerung der Gefahr eines Ausfalls, wenn eine Platte crasht.
 

Rotbart

Benutzer
Sehr erfahren
Mitglied seit
04. Jul 2021
Beiträge
1.692
Punkte für Reaktionen
617
Punkte
134
Je nachdem welche Diskstation du hast vielleicht dochmal über ein Update auf 7.* mit Btrfs nachdenken,
Da gibt es ja mittlerweile Sachen wie z.B. Unveränderbare Snapshots und so schlecht ist SynologyPhotos auch nicht.
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
- eine Zeitschaltuhr am Router, der alle 12 Stunden abschaltet und nach 1 Minute wieder anschaltet, wodurch der Router eine neue dynamische IP zugewiesen bekommt,
Ich bezweifle, dass das wirklich nötig ist. Es sind selten gezielte Angriffe, sondern eher einfach mal anklopfen und gucken ob man Erfolg hat. Stelle mir das sehr nervig vor, wenn man gerade was guckt oder was macht und dann zack Internet weg.
 
  • Haha
Reaktionen: Ronny1978

66er

Benutzer
Mitglied seit
25. Sep 2023
Beiträge
186
Punkte für Reaktionen
107
Punkte
99
Ich bezweifle, dass das wirklich nötig ist. Es sind selten gezielte Angriffe, sondern eher einfach mal anklopfen und gucken ob man Erfolg hat.
... oder mal mit der berühmt berüchtigten IOT-Suchmaschine spielen. :ROFLMAO:

Wenn man keine Scheunentore offen hat, sollte man das Vorgehen nicht brauchen. Hätte er eine feste öffentliche IP ...
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat