NAS gelöscht von einem Angreifer, wie wiederherstellen?

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
14.040
Punkte für Reaktionen
6.049
Punkte
569
Das ist alles Rätselraten.
Die Schadsoftware kann sich ja auch per ssh verbunden haben, um an die Systemdateien des DSM zu kommen.
Die Masterfrage ist, was wurde verschlüsselt, alle Dateien oder nur die Systemdateien?
Kann DSM installiert werden ohne das die HDDs dabei gelöscht werden müssen?
Kommt man mit ssh noch auf die DS?
 
  • Like
Reaktionen: Benie

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.953
Punkte für Reaktionen
3.795
Punkte
344
Die Angreifer haben das System übernommen, und Zugangsdaten aus dem Browser genutzt, und sind so auf die NAS gekommen, und haben Sie dann gelöscht.
Er hat geschrieben , das System, damit ist wohl der PC gemeint, übernommen ............
 

p4killer

Benutzer
Mitglied seit
31. Mrz 2024
Beiträge
8
Punkte für Reaktionen
2
Punkte
3
Hallo,

ja, mit System ist der PC gemeint. Die Nas wurde über das webgui gelöscht, die in dem Browser auf dem PC waren die daten gespeichert.

Erste erkentnisse man kann eine leere HDD einbauen, darauf das NAS installieren, dann das Dataset (die eigentlichen Festplatten) im betrieb dazustecken, dann kann man das volumen importieren. Daten sind dann noch da, anwendungen wie Active Backup funktionieren nicht mehr, aber mann kann über Filestation die Dateien vom Nas ziehen.

mfg Peter
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Oh das ist ja übel.

Hat das da nen Angreifer quasi per Fernsteuerung gemacht?

Ich frag mich nur wie man da ne DS gelöscht bekommt , aber die Daten noch drauf sind .
 

Uwe96

Benutzer
Mitglied seit
18. Jan 2019
Beiträge
1.167
Punkte für Reaktionen
115
Punkte
83
Ich frage mich wie da jemand per Browser auf die DS kommt. Da muss ja jemand den PC fernsteuern? Und da der PC ja wohl nicht von außen erreichbar ist muss das ja ein Programm auf dem PC Verbindung mit der "Hacker" aufnehmen.
Und diesen Aufwand nur um jemanden zu ärgern???
Noch dazu muss der PC ja an sein. Das heißt man sitzt da während das passiert ja sogar vor o_O
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
Meine Meinung ist, dass der Ersteller hier - außer der "Missachtung" gewisser Sicherheitsregeln (Backup, 2FA, usw.) - aufgrund der Aufregung einiges Durcheinander bringt, was die Fehlerursache, Fehlerauswirkung und Fehleranalyse erschweren. Das endet oft, zum Teil auch hier, mit Rätselraten. Der Browser bzw. der PC wurde gekapert. Soweit okay. Passwort war im Browser abgespeichert. Soweit auch okay, ist ja noch nix schlimmes. Aber dann die 2FA nicht eingeschalten zu haben, ist für mich leider immer noch fahrlässig. Die Berechtigungen wurden nicht richtig gesetzt.

Wurden denn nun die Daten inkl. den Systemdaten verschlüsselt oder nicht? Glaube ich nicht, so schnell wie die Wiederherstellung möglich war. Es ist und wird schwierig bleiben, genauere Infos zu bekommen, solange der Ersteller (sicherlich noch im Stress und mit Hektik) seine Daten sichern muss/möchte. Die Sicherheitslücke - PC - der ja "besudelt" ist, bleibt ja dennoch. Zumindest nach meiner Meinung nach.
 

Laola1

Benutzer
Mitglied seit
21. Mrz 2018
Beiträge
303
Punkte für Reaktionen
174
Punkte
99
Das klingt alles nicht gut, und vorwürfe helfen hier nicht weiter. Vermutlich ist p4killer bereits sehr angeschlagen, er sucht hier nach Hilfe.
Ich würde die beiden HDD entfernen und die NAS erstmal mit einer Neuen HDD aufsetzen.
Dann ( wenn es sich um eine Spiegelung bei den beiden ursprünglichen HDD’s handelt) eine einsetzen und gucken ob was geht.
Nicht löschen oder zum RAID hinzufügen, nur als volume bereitstellen.
Wenn nicht‘s geht, die 2. HDD der Spiegelung am Win / linux Pc anschließen und versuchen per Hyperbackup Explorer zu lesen. (Kann bei synology geladen werden)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Wir machen Ihm ja keine direkten vorwürfen , sondern wollen vorallem Herausfinden wie genau es passiert ist ( um für die Zukunft zu lernen)

Der HB Explorer wird da nix nützt , da er ja keine HB Backups auf die DS gemacht hat
 
  • Like
Reaktionen: Ronny1978

luxdunkel

Benutzer
Contributor
Mitglied seit
22. Mai 2023
Beiträge
104
Punkte für Reaktionen
47
Punkte
28
Wäre es nicht sinnvoll die Festplatten erst zu klonen und dann damit zu experimentieren?
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.953
Punkte für Reaktionen
3.795
Punkte
344

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
vorwürfe helfen hier nicht weiter. Vermutlich ist p4killer bereits sehr angeschlagen, er sucht hier nach Hilfe
Hallo Laola1,

ich habe ihm hier keineswegs Vorwürfe gemacht bzw. wenn das so rüber gekommen ist, dann bitte ich um Entschuldigung. UND ich weiß, dass der TE "anschlagen" ist. Daher sind die Infos auch etwas "verworren". Jedoch möchten wir helfen und das geht leider nur mit richtigen bzw. vollständigen Infos. In solch einem Fall heißt es, auch wenn es unheimlich schwer fällt: RUHE BEWAHREN. Hektik und unvollständige Infos erschweren leider die Hilfestellung.

Außerdem bitte ich das
Backup, 2FA, usw.
auch als Hilfe für die nächste Einrichtung des NAS zu sehen. Der Fall zeigt, auch, wenn das NAS nicht nach außen geöffnet ist, die Einrichtung, Reglementierung, Berechtigungen und 2FA entscheidend und manchmal schwierig ist, seine Daten zu schützen. Ich möchte nicht, dass der TE seine Fehler wiederholt. Der genaue Angriffsweg ist für mich noch nicht geklärt und ich hoffe, dass er natürlich mit einem anderen PC/Laptop auf die Daten und das NAS zugreift, wie mit dem evtl. immer noch "verseuchten" Gerät. Man darf aber trotz all der Tragik, den Leitspruch in der IT/EDV nicht ausblenden -> und bitte jetzt nicht gleich wieder als Vorwurf sehen:

KEIN BACKUP -> KEIN MITLEID. Man sollte sich das stärker denje zu Herzen nehmen. Und ja: Ich weiß, dass das dem TE JETZT nicht hilft.

Aber nochmal: Der Angriffsweg und was an Daten wirklich weg ist, gilt es immer noch zu klären. So richtig schlüssig was passiert ist, ist es mir und einigen anderen sicherlich nicht.
 
  • Like
Reaktionen: metalworker

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
888
Punkte für Reaktionen
353
Punkte
83
Sind bereits erstellte Snapshots mit noch korrekten Daten eigentlich vor Verschlüsselung sicher?
Also werden die bspw. Mit einem Systemnutzer erstellt, auf den nur der Snapshots Manager schreibend Zugriff hat?
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
Meines Wissen sollte nur der Admin Zugriff haben. Und mit dem sollte man ja unter keinen Umständen per SMB arbeiten. Und man sollte diese nicht anzeigen lassen. Wenn aber wie hier der Angriff über den Browser kommt und dann mit Adminrechten auf das NAS zugegriffen wurde (vielleicht), dann kann der Angreifer die Snapshots löschen.

Aber Snapshots ansich, richtig eingesetzt, sind ja einer der Sicherheitspfeiler, beim Angriff durch Verschlüsselungssoftware.
 
  • Like
Reaktionen: patrickn

charly700

Benutzer
Mitglied seit
05. Mai 2013
Beiträge
46
Punkte für Reaktionen
17
Punkte
14
Erste erkentnisse man kann eine leere HDD einbauen, darauf das NAS installieren, dann das Dataset (die eigentlichen Festplatten) im betrieb dazustecken, dann kann man das volumen importieren. Daten sind dann noch da, anwendungen wie Active Backup funktionieren nicht mehr, aber mann kann über Filestation die Dateien vom Nas ziehen.

mfg Peter
Wie ihr hier seht, hat er doch schon Zugriff auf die Daten.
 

Benie

Benutzer
Contributor
Sehr erfahren
Mitglied seit
19. Feb 2014
Beiträge
8.953
Punkte für Reaktionen
3.795
Punkte
344
Das würde nicht so sehen, ich habe danach gefragt, siehe Post #30.
Da kam noch keine Antwort.

Ich kann mir nicht vorstellen, daß das so wie beschrieben ohne Probleme überhaupt funktioniert. Ich weiß nicht wie man ein Volumen importieren könnte.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.163
Punkte für Reaktionen
917
Punkte
148
Ich glaube, wir sollten dem TE einfach ein paar Tage Zeit geben. Im Moment bin der Meinung, dass das Ratespiel immer größer wird, OHNE das wir genauere oder zusätzliche Infos erhalten. Wie ich hier im Thread schon gesagt hatte: Hektik und Stress führt wahrscheinlich zu ungenauen Aussagen oder falschen Rückschlüssen.

dann kann man das volumen importieren

Die Nas wurde gelöscht als das quell System verschlüsselt wurde von einer Malware, also keine quelldaten mehr
Die Daten auf dem System waren lokal in einem Backup, und die Nas war zusätzlich zu dem lokalen Backup
Das einzige was wir mit Sicherheit wissen:
- 2FA war aus
- der Angreifer scheint über die abgegriffenen Zugangsdaten im Browser ins NAS gelangt zu sein (wir auch immer, weil die gespeicherten Passwörter im Browser eigentlich verschlüsselt sein sollten)
- die Zugangsdaten waren vom Admin oder von jemand der die lokalen Backups löschen kann
- und der auch auf andere Ordner Zugriff hat

Ob, was und wie viel wirklich verschlüsselt, gelöscht o.ä. wurde, können wir nicht mit Sicherheit sagen, weil die Aussagen widersprüchlich sind.

1. NAS ist verschlüsselt
2. NAS ist gelöscht
3. NAS ist nicht mehr initialisiert
4. Aber die alten Platten rein und Daten sind noch da oder zumindest herunterladbar

Das passt für mich nicht komplett zusammen.

Ansonsten bleibt uns, meiner Meinung nach, nur warten, bis sich der TE wieder meldet und mit genaueren Infos berichtet, wie die genaue Konstellation war, damit wir uns andere sich besser vor solchen Angriffen schützen können.
 

patrickn

Benutzer
Sehr erfahren
Mitglied seit
07. Apr 2016
Beiträge
888
Punkte für Reaktionen
353
Punkte
83
Meines Wissen sollte nur der Admin Zugriff haben. Und mit dem sollte man ja unter keinen Umständen per SMB arbeiten. Und man sollte diese nicht anzeigen lassen.
Zumindest das ist bei Snapshots wohl auch kein Problem, löschen/ändern weder per SMB noch per File Station als Admin möglich, nur Lesezugriff, die werden tatsächlich als "root" erstellt - auch ohne immutable snapshops auf unterstützten Geräten.
Screenshot_2024-04-03-14-10-47-781-edit_com.synology.DSfile.jpg
 

p4killer

Benutzer
Mitglied seit
31. Mrz 2024
Beiträge
8
Punkte für Reaktionen
2
Punkte
3
Hallo,

also um klarheit zu brigen. Der Angreifer hat Teamviewer zugangsdaten gestohlen, und sich so auf ein System (windows) zugriff verschafft, hier waren die Zugangsdaten der NAS im browser hinterlegt. Somit kam er auf das Nas.
und ja, man kann, wenn das volumen nicht verschlüsselt war, es einfach importieren auf einer neuen installation, das geht nicht wenn das Volumen verschlüsselt war. Wenn über die systemsteuerung system zurücksetzen das system gelöscht wurde, sind die daten noch da. Synology installiert sein Betriebssystem auf einer kleinen extra partition, das Dataset ist immer ein eigenes Volumen, beim zurücksetzten löscht synology nur die systempartition mit den Einstellungen.
Achtung, das bedeutet das ein so zurückgesetztes NAS noch alle daten enthält!
In meinem Fall hat es mir den Arsch gerettet.

vielleicht helfen irgendjemanden diese Erkenntnisse.

mfg Peter
 
  • Like
Reaktionen: Iarn und wegomyway

heavy

Benutzer
Mitglied seit
13. Mai 2012
Beiträge
3.803
Punkte für Reaktionen
179
Punkte
129
Dann jetzt ein "richtiges" Backup machen, zack zack.
 
  • Haha
Reaktionen: maxblank


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat