Hyper Backup per Script starten

[spatzimatzi]

Hallo,
lt. Thema möchte ich meine Sicherung mit Hyper Backup mit Cron-Jobs starten.
Aber Sicherungen nach einem Zeitplan kann man doch direkt in HB vorgeben.
Meine Idee ist aber eine etwas andere:
Ich höre immer wieder, dass Ransomware in das System eindringt und die Informationen auf den Platten verschlüsselt.
Ich möchte durch meine Idee verhindern, dass diese, durch evtl. zusätzliche Schädlinge verunreinigten und verschlüsselten Platten auf meine Backup-Medium gelangen
Daher soll in dem Script zunächst eine Untersuchung stattfinden. Was könnte man kontrollieren:
- Veränderung in der Anzahl der Ordner
- Bestimmte Ordner treten auf, z.B. 1_readme, wie in diesen Tagen gesehen
- Wurde schon verschlüsselt
- Wurde evtl. das Script verschlüsselt
- Andere Auffälligkeiten, könnte man mit der Zeit erweitern
Liegen keine Besonderheiten vor, dann kann Hyper Backup aus dem Script heraus gestartet werden.

Ist meine Idee Schwachsinn? Evtl. Idee gut, aber technisch nicht möglich!
Über Informationen würde ich mich freuen
spatzimatzi

 

[Jim_OS]

Moin,

technisch ist so gut wie alles möglich, sprich da wir uns ja unter Linux bewegen kannst Du so ziemlich alles per Script anstellen.

Der Grundgedanke - das Backup "sauber halten" ist ja auch gar nicht so schlecht, nur sehe ich da ein kleines Problem: Wenn ein "böser Bube" Änderungen - in welcher Art auch immer - an Deinem System vornehmen kann, dann dürfte er bereits einen Admin-Zugriff haben. Dann müsstest Du als erstes rausbekommen wie lange er schon sein Unwesen auf Deiner DS treibt, um zu wissen welche bisherigen Backups ggf. bereits kompromittiert sind. Nur weil ein "böser Bube" vielleicht heute Ordner verschlüsselt hat, heißt das ja nicht das er nicht schon vor Tagen/Wochen irgendwelche anderen "bösen Dinge" auf Deiner DS angestellt hat, die sich ggf. bereits in Deinem Backup widerspiegeln. Die von Dir genannten "zusätzliche Schädlinge" kannst Du so jedenfalls nicht erkennen und somit auch nicht verhindern.

Wenn Du ausschließlich verhindern willst das fremd-verschlüsselte Daten auf einem Backup-Medium landen - so ja Dein Plan - dann könntest versuchen dies mit entsprechenden Scripten zu verhindern. Den entsprechenden Aufwand und Nutzen musst Du für Dich selber beurteilen.

Oder anders gesagt: Wenn ein "böser Bube" Dein System und Deine Daten kompromittiert hat dann ist das Kind bereits in den Brunnen gefallen und dann sind alle Daten - incl. der in irgendwelche Backups - nur noch mit Vorsicht zu genießen.

VG Jim

 

[spatzimatzi]

Hallo,
#Jim_OS
deinen Überlegungen kann ich nichts entgegensetzen.
Den 100 prozentigen Schutz kann mir niemand geben, auch ich mir nicht.
An dieser Stelle habe ich eine wichtige Frage zum Verschlüsseln der Daten. Du schreibst: "... dürfte er bereits einen Admin-Zugriff haben"
Eigentlich kann ich ausschließen, dass der böse Bude die Adminrechte erhält.
1. Wenn ich mich mit dem Admin-User und dem sehr guten Kennwort in das System einlogge, dann wird das Kennwort nie gespeichert. Auch nicht auf Nachfrage des Browsers. Vorausgesetzt, es ist kein Keylogger auf dem Windows-Rechner.
2. Ich benutze die 2-Faktor-Authorisierung
3. Komme ich von außerhalb des heimischen Netzwerkes, dann erfolgt der Zugriff immer durch den VPN-Tunnel

Natürlich wird ganz normal auf der NAS gearbeitet. Die Angaben dieser User sind in Windows hinterlegt. Zugriff erfolgt über SMB.

Welche Möglichkeiten hat der Angreifer bzgl. Verschlüsselung. Was kann er mit einem einfachen User anstellen.
Ich dachte immer, dass solche grundlegenden Sachen wie Verschlüsselung oder Löschung der gesamten Ordnerstruktur nur von einem Admin durchgeführt werden können.
In Zukunft möchte ich mir noch eine kleine NAS besorgen, die ausschließlich für das Backup zuständig ist und dann wäre ein scriptgesteuertes Backup sehr schön.
Nur ich finde nirgends einen Hinweis. wie ich die unterschiedlichen Backup-Programme/Apps in den Sripten aufrufen kann.

Danke
spatzimatzi

 

[Jim_OS]

Ein einfacher User kann nicht viel anstellen, oder besser gesagt nur das wofür Du ihm die Rechte eingeräumt hast.

Was den Adminzugang bzw. die Adminrechte betrifft: Das Du vorsorglich Vieles tun kannst damit jemand keine Adminrechte erhält ist klar, aber Du kannst keine Fehler in der Software ausschließen. Aktuell siehe z.B. das "ioBroker-Problem". Falls Du den Beitrag https://www.synology-forum.de/threads/diskstation-gehackt.110286/ noch nicht kanntest lies Dir mal die Postings darin durch. Da steht z.B. viel drin was wie und wo passieren kann und was man ggf. machen könnte/sollte.

Jeder sollte und muss halt seine eigene Strategie haben wie er seine Daten möglichst sicher aufbewahrt und anderen darauf keinen Zugang gewährt. Deine Punkte 1 - 3 sind da schon gut. Ich ticke da eher etwas konservativer und lasse z.B. die Finger davon irgendwelche Drittanbieter-Software auf dem NAS zu installieren. Die Begründung hatte ich gerade erst hier https://www.synology-forum.de/threads/daten-vom-hacker-verschluesselt.112225/page-2#post-915571 genannt. Das und meine weiteren Maßnahmen machen es schon etwas unwahrscheinlicher das jemand mit den Daten auf meinem NAS irgendwelchen Blödsinn anstellt, aber wie Du schon geschrieben hast: 100 % Sicherheit gibt es nie.
Wenn jemand es tatsächlich gelingen sollte die Daten auf meinem NAS zu verschlüsseln, dann ist mein geringstes Problem ob meine Backups jetzt ggf. auch schon kompromittiert wurden. Aber wie gesagt: Wenn Du für Dich meinst das Dir dieser Punkt wichtig ist, dann musst Du ihn entsprechend umsetzen. Etwas mehr Sicherheit kann nie schaden.

VG Jim

 

[spatzimatzi]

Hallo,
ich denke auch in vielen Punkten etwas konservativer und nutze nicht jedes Programm, was man mir unter die Nase hält.

Wenn ich dich jetzt richtig verstanden habe, dann ist mein Verhalten bzgl. Anmeldung als Admin-User erstmal so weit in Ordnung.
Die normalen User haben Rechte für ihren und einem Allgemein-Bereich, Auf den einzelnen PC's läuft dann noch Drive.

Meine Frage zum Thema "Hyper Backup per script steuern" ist leider noch nicht beantwortet.
Kannst du mir sagen, in welche Richtung ich suchen könnte. In diesem Forum habe ich nichts gefunden.
Denkst du, dass ein Linux-Forum mehr bringen könnte. Oder ist Hyper Backup zu individuell?

Vielen Dank
spatzimatzi

 

[peterhoffmann]

Vielleicht ein Ansatz zur Überprüfung auf (bösartige fremde) Verschlüsselung:

• Man legt an mehreren Stellen in den eigenem Datenwirrwarr Testdateien in verschiedenen Formaten (jpg,docx,pdf, usw.) an (also ein Honeypot)
• Mittels md5sum legt man die Werte für die Dateien an
• Mittels Script und md5sum überprüft man regelmäßig (oder vor dem Backup), ob die Dateien geändert wurden.
• Bei Auffälligkeiten kann man sich eine E-Mail oder eine Nachricht über Telegram zusenden lassen oder sogar das NAS stoppen

Ich setze das so ähnlich bei mir um. Es befinden sich mehrere funktionierende Testdateien, die unscheinbar aussehen (rechnung19238.docx, 2008-Opa-Gerd.jpg, usw.) in mehreren Gemeinsamen Ordnern. Das NAS überprüft diese Dateien alle 15 Minuten. Bei Änderungen werde ich per Telegram und E-Mail benachrichtigt.

 

[Jim_OS]

Nur ich finde nirgends einen Hinweis. wie ich die unterschiedlichen Backup-Programme/Apps in den Sripten aufrufen kann.

Meine Frage zum Thema "Hyper Backup per script steuern" ist leider noch nicht beantwortet.

Der Aufruf müsste wohl hierüber erfolgen: /var/packages/HyperBackup/target/bin/dsmbackup aber ich habe mich damit noch nie weiter erfasst. Hier im Forum gibt es wohl den ein oder anderen Beitrag zu dem Thema. Oder mal Tante Google fragen.

Wobei Hyper Backup per Script zu starten dürfte wohl der geringste Aufwand sein. Viel aufwendiger dürften wohl die von Dir in #1 beispielhaft genannten Überprüfungen umzusetzen sein.

VG Jim

 

[Fusion]

Hyper Backup benutzt ja eh schon den Aufgabenplaner / crond auf dem System.
Job anlegen (eventuell mit Zeitplan und diesen später wieder löschen.
Dann kannst mit "cat /etc/crontab" nachsehen was aufgerufen wird.

Bsp.
/usr/syno/bin/synoschdtask --run id=xx
synoschdtask --get liefert z.b eine Liste aller Tasks.
Das halt noch in ein per root ausgeführtes Script packen.

Oder wie schon erwähnt den dortigen Aufruf von dsm Backup mit id benutzen.

 

[spatzimatzi]

Hallo,
#Fusion
das klingt vielversprechend. Werde ich mir mal anschauen

Danke
spatzimatzi