DSM 6.x und darunter Hacker Angriffe auf synology und qnap

[DKeppi]

In meinem Fall versucht aber die Syno auf eine .to TLD zu gehen via DNS und das wird blockiert weil verdächtig!
Bin ich schon infiziert?

Habe 2Faktor Authentifizierung also kommt da niemand so leicht rein - DSM Port nur per VPN erreichbar!

 

[Synchrotron]

Ob eine Infektion vorliegt ? - kein Ahnung. Wenn da auf einmal etwas da ist, was vorher nicht da war, ist das zumindest seltsam.

Lässt sich identifizieren, welcher Prozess da „nach Hause telefonieren“ will ? Wenn ja, den mal googeln.

Es ist ein bekanntes Verhalten bei Erstinfektionen durch Trojaner, einen Kanal nach außen zu öffnen, um die eigentliche Schadsoftware nach zu laden. Firewalls funktionieren nun mal gut nach außen, lassen aber von innen angeforderten Verkehr durch. Da nützt dann auch 2FA und VPN nur bedingt.

Wenn etwas „da“ ist, vermute ich eher, dass es über andere Wege dorthin gelangt ist, als den derzeit beschriebenen Brute-Force auf den admin-Account. Ändert aber im Zweifel nichts, und kann mehr als lästig sein.

 

[DKeppi]

Prozess konnte ich bisher keinen ausmachen, der das verursacht.
Schön langsam glaube ich das ist eine neue IPS Regel von unifi/Ubiquiti die heute um Mitternacht aktiviert wurde und nichts schlimmes passiert ist

Fahre ich die Backupsyno hoch (auf der nichts läuft außer die Standarddinge vom DSM plus Hyperbackup) kommt auch der DNS Block wegen .to TLD,
Sessions laufen keine ungewöhnlichen - hab mit einer identischen Syno vom Kollegen verglichen!

Meine LIFX Lampe hat in der Nacht auch mal so einen block ausgelöst hab ich gesehen das spricht eigentlich auch für die neue Regel!


EDIT:
War wirklich falscher Alarm, gehe ich auf boerse.to kommt dasselbe
Viel Wirbel um nichts...sorry!

 

[Synchrotron]

Schick.

Kannst zur Sicherheit ja noch mal den Support von Ubiquiti diesbezüglich fragen.

 

[Matthieu]

Hallo,
ich habe im gleichen Zeitraum keine Meldung vom Unifi IDS. Allerdings habe ich nur IDS im Einsatz, nicht IPS. Dennoch heißt die Meldung ja übersetzt, dass ein Prozess eine Domain .to via DNS auflösen möchte. Das ist schon ungewöhnlich weil .to selten für "normale" Dienste eingesetzt wird. Kommen die Meldungen noch? Eventuell ist in einem DNS Cache was zu sehen, aber das macht nur Sinn wenn vor wenigen Stunden auch ein Event ausgelöst wurde.

MfG Matthieu

 

[DKeppi]

Ein Bekannter von mir hat die Meldungen mit IPS ebenfalls, aber nicht so häufig....evtl. hängt das mit meinem DDNS den die Syno bei mir macht zusammen - verwende spdns.
Nachdem ich mir sicher bin das es eine neue Regel sein muss, es kommt ja auch beim Zugriff des Laptops auf zB. boerse.to plötzlich diese Meldung aber auch bei .cc Seiten, habe ich die Cloudflare DNS-Server 1.0.0.1 und 1.1.1.1 auf die Whitelist gesetzt, damit Ruhe ist!

 

[Matthieu]

Eventuell ein Plugin der Download Station? spdyn verwendet .de Domains. Glaube nicht dass die Ursache hier liegt.

MfG Matthieu

 

[DKeppi]

Download Station verwende ich nicht, hab nur jDownloader!

 

[Matthieu]

Dann würde ich erst recht da anfangen nachzusehen ...
Bei mir nach wie vor keine Meldung im USG, obwohl ich ja einige DSen hier habe.

MfG Matthieu

 

[DKeppi]

Irgendeine Idee wie und wo ich da anfangen kann zu suchen?
Ich habe jetzt mal die Whitelist der DNS Server wieder entfernt, mal abwarten ob die Meldungen immer noch kommen...

EDIT:
Wenn ich am Laptop auf eine .to Seite gehe, kommt die Meldung jedenfalls schon mal nicht mehr.
Echt seltsam!