NAS gelöscht von einem Angreifer, wie wiederherstellen?

[ctrlaltdelete]

Das ist alles Rätselraten.
Die Schadsoftware kann sich ja auch per ssh verbunden haben, um an die Systemdateien des DSM zu kommen.
Die Masterfrage ist, was wurde verschlüsselt, alle Dateien oder nur die Systemdateien?
Kann DSM installiert werden ohne das die HDDs dabei gelöscht werden müssen?
Kommt man mit ssh noch auf die DS?

 

[Benie]

Die Angreifer haben das System übernommen, und Zugangsdaten aus dem Browser genutzt, und sind so auf die NAS gekommen, und haben Sie dann gelöscht.

Er hat geschrieben , das System, damit ist wohl der PC gemeint, übernommen ............

 

[p4killer]

Hallo,

ja, mit System ist der PC gemeint. Die Nas wurde über das webgui gelöscht, die in dem Browser auf dem PC waren die daten gespeichert.

Erste erkentnisse man kann eine leere HDD einbauen, darauf das NAS installieren, dann das Dataset (die eigentlichen Festplatten) im betrieb dazustecken, dann kann man das volumen importieren. Daten sind dann noch da, anwendungen wie Active Backup funktionieren nicht mehr, aber mann kann über Filestation die Dateien vom Nas ziehen.

mfg Peter

 

[metalworker]

Oh das ist ja übel.

Hat das da nen Angreifer quasi per Fernsteuerung gemacht?

Ich frag mich nur wie man da ne DS gelöscht bekommt , aber die Daten noch drauf sind .

 

[Uwe96]

Ich frage mich wie da jemand per Browser auf die DS kommt. Da muss ja jemand den PC fernsteuern? Und da der PC ja wohl nicht von außen erreichbar ist muss das ja ein Programm auf dem PC Verbindung mit der "Hacker" aufnehmen.
Und diesen Aufwand nur um jemanden zu ärgern???
Noch dazu muss der PC ja an sein. Das heißt man sitzt da während das passiert ja sogar vor

 

[Ronny1978]

Meine Meinung ist, dass der Ersteller hier - außer der "Missachtung" gewisser Sicherheitsregeln (Backup, 2FA, usw.) - aufgrund der Aufregung einiges Durcheinander bringt, was die Fehlerursache, Fehlerauswirkung und Fehleranalyse erschweren. Das endet oft, zum Teil auch hier, mit Rätselraten. Der Browser bzw. der PC wurde gekapert. Soweit okay. Passwort war im Browser abgespeichert. Soweit auch okay, ist ja noch nix schlimmes. Aber dann die 2FA nicht eingeschalten zu haben, ist für mich leider immer noch fahrlässig. Die Berechtigungen wurden nicht richtig gesetzt.

Wurden denn nun die Daten inkl. den Systemdaten verschlüsselt oder nicht? Glaube ich nicht, so schnell wie die Wiederherstellung möglich war. Es ist und wird schwierig bleiben, genauere Infos zu bekommen, solange der Ersteller (sicherlich noch im Stress und mit Hektik) seine Daten sichern muss/möchte. Die Sicherheitslücke - PC - der ja "besudelt" ist, bleibt ja dennoch. Zumindest nach meiner Meinung nach.

 

[Laola1]

Das klingt alles nicht gut, und vorwürfe helfen hier nicht weiter. Vermutlich ist p4killer bereits sehr angeschlagen, er sucht hier nach Hilfe.
Ich würde die beiden HDD entfernen und die NAS erstmal mit einer Neuen HDD aufsetzen.
Dann ( wenn es sich um eine Spiegelung bei den beiden ursprünglichen HDD’s handelt) eine einsetzen und gucken ob was geht.
Nicht löschen oder zum RAID hinzufügen, nur als volume bereitstellen.
Wenn nicht‘s geht, die 2. HDD der Spiegelung am Win / linux Pc anschließen und versuchen per Hyperbackup Explorer zu lesen. (Kann bei synology geladen werden)

 

[metalworker]

Wir machen Ihm ja keine direkten vorwürfen , sondern wollen vorallem Herausfinden wie genau es passiert ist ( um für die Zukunft zu lernen)

Der HB Explorer wird da nix nützt , da er ja keine HB Backups auf die DS gemacht hat

 

[luxdunkel]

Wäre es nicht sinnvoll die Festplatten erst zu klonen und dann damit zu experimentieren?

 

[Benie]

dann kann man das volumen importieren. Daten sind dann noch

Woher Stammt dieses Wissen?

 

[Ronny1978]

vorwürfe helfen hier nicht weiter. Vermutlich ist p4killer bereits sehr angeschlagen, er sucht hier nach Hilfe

Hallo Laola1,

ich habe ihm hier keineswegs Vorwürfe gemacht bzw. wenn das so rüber gekommen ist, dann bitte ich um Entschuldigung. UND ich weiß, dass der TE "anschlagen" ist. Daher sind die Infos auch etwas "verworren". Jedoch möchten wir helfen und das geht leider nur mit richtigen bzw. vollständigen Infos. In solch einem Fall heißt es, auch wenn es unheimlich schwer fällt: RUHE BEWAHREN. Hektik und unvollständige Infos erschweren leider die Hilfestellung.

Außerdem bitte ich das

Backup, 2FA, usw.

auch als Hilfe für die nächste Einrichtung des NAS zu sehen. Der Fall zeigt, auch, wenn das NAS nicht nach außen geöffnet ist, die Einrichtung, Reglementierung, Berechtigungen und 2FA entscheidend und manchmal schwierig ist, seine Daten zu schützen. Ich möchte nicht, dass der TE seine Fehler wiederholt. Der genaue Angriffsweg ist für mich noch nicht geklärt und ich hoffe, dass er natürlich mit einem anderen PC/Laptop auf die Daten und das NAS zugreift, wie mit dem evtl. immer noch "verseuchten" Gerät. Man darf aber trotz all der Tragik, den Leitspruch in der IT/EDV nicht ausblenden -> und bitte jetzt nicht gleich wieder als Vorwurf sehen:

KEIN BACKUP -> KEIN MITLEID. Man sollte sich das stärker denje zu Herzen nehmen. Und ja: Ich weiß, dass das dem TE JETZT nicht hilft.

Aber nochmal: Der Angriffsweg und was an Daten wirklich weg ist, gilt es immer noch zu klären. So richtig schlüssig was passiert ist, ist es mir und einigen anderen sicherlich nicht.

 

[patrickn]

Sind bereits erstellte Snapshots mit noch korrekten Daten eigentlich vor Verschlüsselung sicher?
Also werden die bspw. Mit einem Systemnutzer erstellt, auf den nur der Snapshots Manager schreibend Zugriff hat?

 

[Ronny1978]

Meines Wissen sollte nur der Admin Zugriff haben. Und mit dem sollte man ja unter keinen Umständen per SMB arbeiten. Und man sollte diese nicht anzeigen lassen. Wenn aber wie hier der Angriff über den Browser kommt und dann mit Adminrechten auf das NAS zugegriffen wurde (vielleicht), dann kann der Angreifer die Snapshots löschen.

Aber Snapshots ansich, richtig eingesetzt, sind ja einer der Sicherheitspfeiler, beim Angriff durch Verschlüsselungssoftware.

 

[patrickn]

Gibt es wohl tatsächlich, dass nicht mal Administratoren löschen können: https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

 

[charly700]

Erste erkentnisse man kann eine leere HDD einbauen, darauf das NAS installieren, dann das Dataset (die eigentlichen Festplatten) im betrieb dazustecken, dann kann man das volumen importieren. Daten sind dann noch da, anwendungen wie Active Backup funktionieren nicht mehr, aber mann kann über Filestation die Dateien vom Nas ziehen.

mfg Peter

Wie ihr hier seht, hat er doch schon Zugriff auf die Daten.

 

[Benie]

Das würde nicht so sehen, ich habe danach gefragt, siehe Post #30.
Da kam noch keine Antwort.

Ich kann mir nicht vorstellen, daß das so wie beschrieben ohne Probleme überhaupt funktioniert. Ich weiß nicht wie man ein Volumen importieren könnte.

 

[Ronny1978]

Ich glaube, wir sollten dem TE einfach ein paar Tage Zeit geben. Im Moment bin der Meinung, dass das Ratespiel immer größer wird, OHNE das wir genauere oder zusätzliche Infos erhalten. Wie ich hier im Thread schon gesagt hatte: Hektik und Stress führt wahrscheinlich zu ungenauen Aussagen oder falschen Rückschlüssen.

dann kann man das volumen importieren

Die Nas wurde gelöscht als das quell System verschlüsselt wurde von einer Malware, also keine quelldaten mehr

Die Daten auf dem System waren lokal in einem Backup, und die Nas war zusätzlich zu dem lokalen Backup

Das einzige was wir mit Sicherheit wissen:
- 2FA war aus
- der Angreifer scheint über die abgegriffenen Zugangsdaten im Browser ins NAS gelangt zu sein (wir auch immer, weil die gespeicherten Passwörter im Browser eigentlich verschlüsselt sein sollten)
- die Zugangsdaten waren vom Admin oder von jemand der die lokalen Backups löschen kann
- und der auch auf andere Ordner Zugriff hat

Ob, was und wie viel wirklich verschlüsselt, gelöscht o.ä. wurde, können wir nicht mit Sicherheit sagen, weil die Aussagen widersprüchlich sind.

1. NAS ist verschlüsselt
2. NAS ist gelöscht
3. NAS ist nicht mehr initialisiert
4. Aber die alten Platten rein und Daten sind noch da oder zumindest herunterladbar

Das passt für mich nicht komplett zusammen.

Ansonsten bleibt uns, meiner Meinung nach, nur warten, bis sich der TE wieder meldet und mit genaueren Infos berichtet, wie die genaue Konstellation war, damit wir uns andere sich besser vor solchen Angriffen schützen können.

 

[patrickn]

Meines Wissen sollte nur der Admin Zugriff haben. Und mit dem sollte man ja unter keinen Umständen per SMB arbeiten. Und man sollte diese nicht anzeigen lassen.

Zumindest das ist bei Snapshots wohl auch kein Problem, löschen/ändern weder per SMB noch per File Station als Admin möglich, nur Lesezugriff, die werden tatsächlich als "root" erstellt - auch ohne immutable snapshops auf unterstützten Geräten.

 

[p4killer]

Hallo,

also um klarheit zu brigen. Der Angreifer hat Teamviewer zugangsdaten gestohlen, und sich so auf ein System (windows) zugriff verschafft, hier waren die Zugangsdaten der NAS im browser hinterlegt. Somit kam er auf das Nas.
und ja, man kann, wenn das volumen nicht verschlüsselt war, es einfach importieren auf einer neuen installation, das geht nicht wenn das Volumen verschlüsselt war. Wenn über die systemsteuerung system zurücksetzen das system gelöscht wurde, sind die daten noch da. Synology installiert sein Betriebssystem auf einer kleinen extra partition, das Dataset ist immer ein eigenes Volumen, beim zurücksetzten löscht synology nur die systempartition mit den Einstellungen.
Achtung, das bedeutet das ein so zurückgesetztes NAS noch alle daten enthält!
In meinem Fall hat es mir den Arsch gerettet.

vielleicht helfen irgendjemanden diese Erkenntnisse.

mfg Peter

 

[heavy]

Dann jetzt ein "richtiges" Backup machen, zack zack.