Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
- Ersteller stevenfreiburg
- Erstellt am
Hallo stevenfreiburg,
Bücher und Hardware zum Thema gibt es bei Amazon: Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
Bücher und Hardware zum Thema gibt es bei Amazon: Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM
- Mitglied seit
- 09. Nov 2016
- Beiträge
- 4.077
- Punkte für Reaktionen
- 561
- Punkte
- 194
Wenn man eine Syno mit 2 LAN Ports hat Webserver in die VM und zweiter LAN Port in das Gastnetzwerk der Fritz (DMZ) und schon kann man seine Domain umsonst weiter nutzen.
Das ist zwar ein oft benutztes Bild, aber leider nicht ganz richtig.
Ports sind eben keine Türen, die aufgeschlossen werden können - sondern Löcher in der Wand, in denen irgendein Diener (oder Dienst) steht - der dir gegen ein gültiges Ticket irgendwelche Leistungen bietet. Wie ein magischer Diener in einem Mauerloch - kann der Dienst hinter einem Port angegriffen oder ausgetrickst werden - und dann ist dein Netz offen.
Ich hab hier vor einer Weile über Versuche geschrieben, ein älteres Seagate-NAS zu hacken, um dem Teil noch eine sinvolle Verwendung zu geben - da reichte es, eine bestimmte Zeichenfolge im Webinterface einzugeben - ohne Nutzernamen und Passwort - um eine root-Shell über telnet zu bekommen ... und damit gehören dein Netz und deine Daten und alle deine Geräte mir - und wenn ich böswillig bin, merkst du nichtmal was davon.
Wenn man Dienste im Netz anbietet, gehören die Server mindestens in eine "demilitarisierte Zone" - wo der Datenfluss streng geregelt ist. Sowas bietet heute jeder etwas bessere Internetrouter - aber auch da muss man wissen, was man tut - und das hat mit Synology rein garnichts zu tun.
Produktion erfolgt im Intranet - es gibt einen Upload aus dem Intranet auf die Server in der DMZ - einen Download aus dem Internet von der DMZ - aber auf gar keinen Fall einen Zugriff aus dem Internet ins Intranet. Und die Server in der DMZ werden schwer bewacht - eben auch durch menschliche Aufmerksamkeit
Zuletzt bearbeitet:
-->
Das trifft es leider oft - nicht immer - aber oft.Zum Thema Ports: Irgendwie muss Synology ja publizieren, wie man auf die Synology kommt und auch dem unerfahrenen Nutzer. Sonst funktioniert ja das Einrichten nicht. Und klar, lesen das ja ALLE - auch die bösen Buben. Was Synology machen könnte, ist, "irgendwo" hinzuschreiben, dass die Ports bei Öffnung nach Außen abzuändern sind. Aber lesen das dann Alle? Wahrscheinlich nicht. Wie schon mehrfach gesagt: Öffnet man die DS nach Außen, muss man sich halt Wissen zum Schutz aneignen, woher auch immer.
Muss(te) ich auch und auch ich hatte die Erfahrungen nicht, weil ich nicht in der IT Branche beschäftigt bin. Aber wenn einem die Daten wichtig sind, gehört (leider) Eigeninitiative dazu. Das betrifft auch die 3-2-1 Regel. Komfort (Erreichbarkeit) steht immer im Widerspruch mit Sicherheit. Den Kompromiss zu finden, ist nie einfach und war es auch für mich nicht sein.
Leider ist es "meistens" aber auch so, dass man sich damit beschäftigt, wenn man Probleme hat, oder der Schaden da ist. Wichtiger wäre theoretisch gewesen, sich darüber zu informieren, bevor man die DS "online schickt". Und alle die jetzt Tipps geben (können), tuen das auch, weil sie irgendwann mal ähnliche Probleme gehabt haben. Die Weisheit hat niemand "mit Löffeln gefressen". Aber noch einmal gesagt: Eigeninitiative ist wichtig. Auch wenn Synology die Tipps auf die Homepage stellt: Liest das dann ALLES jemand??? Wahrscheinlich nicht, weil die meisten Nutzer die DS aufstellen, einrichten und Online schicken. Ohne sich genauer damit zu beschäftigen. Und wenn 20.000 Hinweise zu Datensicherheit beim Einrichten kommen, sind 90% der Nutzer genervt, weil sie es wissen.
Also? Synology kann nicht gewinnen. Aber ich bin mit Sicherheit der Thread Ersteller ist nächstes Mal vorsichtiger, wird sich mehr einlesen und auch die 3-2-1 Regel beachten. Für ALLE DATEN DIE WICHTIG SIND!!!
Warum? Synology biete ansich ein gutes Paket.
Warum - extern auslagern
Warum? - VPN nutzen, sich mit Firewall beschäftigen und dann per RDP auf die Windows VM zuschalten, aber eben NUR VPN!!!
Warum? - Rechte setzen, Ports ändern oder/und VPN nutzen.
Evtl., wenn auch mal über einen andere Firewall, wie die Fritzbox nachdenken, die Firewall in der DS richtig konfigurieren und dort schon härten, dann muss du das nicht einstellen. Einfach viel mehr mit dem Thema beschäftigen und dann noch einmal frisch angehen, die Tipps hier berücksichtigen und ggf. VOR DER Einrichtung noch einmal in einem Thread die Forummitglieder fragen. Im Regelfall wird gern geholfen und Ratschläge ausgetauscht.
Ich bedanke mich sehr herzlich für Eure Hilfe und die Mühe, die ihr euch gemacht habt mir beim Thema Sicherheit und Leichtfertigkeit im Umgang mit meiner Synology einige Illusionen zu nehmen.
Ich weiß nun, dass eine Synology mit Internetdiensten eben nicht "mal eben so" eingerichtet und installiert werden darf.
Und natürlich, ihr habt ja recht, wenn ihr sagt, dass ich Mist gebaut habe.
Ja, hab ich!
Aber ganz ehrlich, den Mist hab ich mir wirklich nicht selbst ausgedacht, meine Informationen kamen direkt aus der Synology Werbung plus gewissen "Tutorials" von sog. "Experten".
Wie kommt man eigentlich darauf, deratig laxe Sicherheitseinstellungen auf einer Synology zu setzen?
Als Antwort hier mal beispielhaft das "Tutorial" eines "Experten".
Thema und Tenor:
"So einfach ist es deine Synology ins Internet zu bringen!"
https://youtu.be/6_EhfLQCl_E?si=UXSrv0qx2nxmj-eq&t=695
O-Ton bei Sekunde 695: "....wenn ihr natürlich noch weitere Ports braucht, für Drive oder für Mail oder WAS AUCH IMMER, könnt ihr über den gleichen Weg die Ports entsprechend eingeben (=freigeben)...."
Aha!
"Synology-Akademie"; im Video hinter Frank hängt ein Zertifikat, welches ihn als offiziellen Experten in Sachen Synology ausweist.
Das ist nur eines von sehr, seeehr vielen Videos, wie vertrauensvolle und unbedarfte Synology Anfänger von sogenannten "Experten" in nicht existierende Sicherheiten geschaukelt werden.
Und ganz ehrlich, für Anfänger, die sich grade darüber freuen, mit Hilfe solcher Tutorials die eigene Domain, Website plus Fotosstation Freunden und Familie online zugänglich gemacht zu haben, seht ihr mit eurem unverständlichen Fachkauderwelsch ("DMZ" usw. usw.) wie reine Spassbremsen aus; wie "Gürtel- plus Hosenträger"
Wohin das führt, wenn man auf die falschen Experten hört, weiß ich nun: in eine unknackbare Verschlüsselung aller Daten Daten auf der eigenen Synology.
Go back to START....
Ich weiß nun, dass eine Synology mit Internetdiensten eben nicht "mal eben so" eingerichtet und installiert werden darf.
Und natürlich, ihr habt ja recht, wenn ihr sagt, dass ich Mist gebaut habe.
Ja, hab ich!
Aber ganz ehrlich, den Mist hab ich mir wirklich nicht selbst ausgedacht, meine Informationen kamen direkt aus der Synology Werbung plus gewissen "Tutorials" von sog. "Experten".
Wie kommt man eigentlich darauf, deratig laxe Sicherheitseinstellungen auf einer Synology zu setzen?
Als Antwort hier mal beispielhaft das "Tutorial" eines "Experten".
Thema und Tenor:
"So einfach ist es deine Synology ins Internet zu bringen!"
https://youtu.be/6_EhfLQCl_E?si=UXSrv0qx2nxmj-eq&t=695
O-Ton bei Sekunde 695: "....wenn ihr natürlich noch weitere Ports braucht, für Drive oder für Mail oder WAS AUCH IMMER, könnt ihr über den gleichen Weg die Ports entsprechend eingeben (=freigeben)...."
Aha!
"Synology-Akademie"; im Video hinter Frank hängt ein Zertifikat, welches ihn als offiziellen Experten in Sachen Synology ausweist.
Das ist nur eines von sehr, seeehr vielen Videos, wie vertrauensvolle und unbedarfte Synology Anfänger von sogenannten "Experten" in nicht existierende Sicherheiten geschaukelt werden.
Und ganz ehrlich, für Anfänger, die sich grade darüber freuen, mit Hilfe solcher Tutorials die eigene Domain, Website plus Fotosstation Freunden und Familie online zugänglich gemacht zu haben, seht ihr mit eurem unverständlichen Fachkauderwelsch ("DMZ" usw. usw.) wie reine Spassbremsen aus; wie "Gürtel- plus Hosenträger"
Wohin das führt, wenn man auf die falschen Experten hört, weiß ich nun: in eine unknackbare Verschlüsselung aller Daten Daten auf der eigenen Synology.
Go back to START....
Wenn du Hilfe brauchst und detailliert beschreibst, was du machen möchtest, bekommst du hier mit Sicherheit genügend Tipp, wie du das Projekt umsetzen kannst.
Tipp 1: Backupstrategie ist A und O (3-2-1 Regel!!!) zwingend umsetzen.
Tipp 2: Stück für Stück einrichten und ggf. Testen. Nicht alles auf einmal. Zeit nehmen, zwischen den einzelnen Projekten.
Wer ordentlich fragt, wird auch geholfen. Viel Erfolg und nicht aufgeben. Synology ansich ist nicht schlecht. Und JA, es fällt nicht leicht, aus den YouTube Video das entsprechend "Richtige" herauszufiltern. Da wirst du hier im Forum definitiv mehr Experten finden. Von dem angesprochenen Youtuber halte ich gar nicht. Das gibt es besser. Vielleicht auch einmal bei englischen Videos schauen!!! Auch wenn du nicht alles verstehst. Die Bilder reichen oft schon im Kontext.
Tipp 1: Backupstrategie ist A und O (3-2-1 Regel!!!) zwingend umsetzen.
Tipp 2: Stück für Stück einrichten und ggf. Testen. Nicht alles auf einmal
. Zeit nehmen, zwischen den einzelnen Projekten.Wer ordentlich fragt, wird auch geholfen. Viel Erfolg und nicht aufgeben. Synology ansich ist nicht schlecht. Und JA, es fällt nicht leicht, aus den YouTube Video das entsprechend "Richtige" herauszufiltern. Da wirst du hier im Forum definitiv mehr Experten finden. Von dem angesprochenen Youtuber halte ich gar nicht. Das gibt es besser. Vielleicht auch einmal bei englischen Videos schauen!!! Auch wenn du nicht alles verstehst. Die Bilder reichen oft schon im Kontext.
Zuletzt bearbeitet:
Und ganz ehrlich - du siehst aus wie ein verwöhnter Junge mit einem funkelnagelneuen Boot von Papppi - der zu einer Weltumseglung aufbricht, ohne von der Segelei an sich, Navigation, Technik, usw... irgendeine Ahnung zu haben - aber das Livestreaming stehtUnd ganz ehrlich, für Anfänger, die sich grade darüber freuen, mit Hilfe solcher Tutorials die eigene Domain, Website plus Fotosstation Freunden und Familie online zugänglich gemacht zu haben, seht ihr mit eurem unverständlichen Fachkauderwelsch ("DMZ" usw. usw.) wie reine Spassbremsen aus; wie "Gürtel- plus Hosenträger"
... gibt ja für für alles Tutorials - nur hapert es anscheinend mit verstehendem Lesen. Die Idee einer DMZ (= Demilitarisierte Zone, im Abschnitt direkt erläutert) ist ein bewährtes Konzept, wenn man durch ein Kriegsgebiet "segelt" - aber lass dich in deinem Spass nicht bremsen.
Zuletzt bearbeitet:
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 3.067
- Punkte für Reaktionen
- 1.088
- Punkte
- 194
Das ist halt das problem von solchen sogenannten "expterten"
Ein großes Problem aktuell . Gerade bei Youtube und co.
Und ja ich kann gut verstehen das man als Anfänger da leicht in die Falle tappt.
Ehrlich gesagt hab ich aktuell da auch keine Idee wie man als Anfänger da gute von schlechten Tipps unterscheiden soll.
Aber wir Ronny schon sagte , das A und O ist wirklich eine gute Backupstrategie .
Ein großes Problem aktuell . Gerade bei Youtube und co.
Und ja ich kann gut verstehen das man als Anfänger da leicht in die Falle tappt.
Ehrlich gesagt hab ich aktuell da auch keine Idee wie man als Anfänger da gute von schlechten Tipps unterscheiden soll.
Aber wir Ronny schon sagte , das A und O ist wirklich eine gute Backupstrategie .
Echt jetzt? Ist doch genau wie im Supermarkt - je mehr auf der Packung steht, desto weniger ist drin.
Bitte nicht so hart
. Es hat jeder mal "klein angefangen". Die Geschwindigkeit der Umsetzung war leider bei @stevenfreiburg etwas zu hoch.Ich habe hier das Gefühl, dass er nur Halbwahrheiten erzählt um eine Kurse zu verkaufen. Wie schon gesagt: Mal andere suchen. Ich nutze Spacerex, Navigio und Crosstalk Solutions. Aber auch gilt: Querlesen, prüfen und Foren nutzen!!!
- Mitglied seit
- 13. Mai 2021
- Beiträge
- 2.831
- Punkte für Reaktionen
- 853
- Punkte
- 154
Bei YouTube ist doch jeder ein Experte. Das Problem ist, dass man das nicht beurteilen kann, wenn man sich selber nicht auskennt. Ich halte das immer so (YouTube als Tutorial meide ich immer, das nutze ich um neue Sachen kennen zu lernen. Bei zum Beispiel NetworkChuck oder Christian lempa), dass ich mir verschiedene Artikel suche und dann mach ich mir mein eigenes Bild. Man sieht ja auch wo es Übereinstimmung gibt und wo es Gegensätze gibt. Aber ich würde mich nicht auf die eine Anleitung verlassen.
Nutze ich auch
. Aber weniger für Synology, sondern für grundlegendes und Neuerungen.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.084
- Punkte für Reaktionen
- 2.060
- Punkte
- 259
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 3.067
- Punkte für Reaktionen
- 1.088
- Punkte
- 194
Aber die meisten fallen ja auf die Verpackung und schöne Verkaufsbeschreibungen rein.
Daher ist es die Frage wie bekommt man das es hin das den Usern gar nicht erst das passiert wie dem TE .
Denn auch wenn er einige Fehler gemacht hat , so hat er sich ja doch belesen und versucht das alles nach besten Wissen und Gewissen zu machen.
Aber vielleicht ist der Anfänger Leitfaden von *kw* nen guter Anfang.
Dein selbstgewählter Forennamen beschreibt ziemlich gut die Qualität deiner Bemerkungen....
Ja, auf verschiedenen Datenträgern mit Versionierung plus pcloud; wo ich zusätzlich die einjährige "rewind" Funktion abonniert habe.
Nur einen shared Ordner aus Synology Photo habe ich übersehen.
- Mitglied seit
- 30. Dez 2012
- Beiträge
- 13.433
- Punkte für Reaktionen
- 5.663
- Punkte
- 524
Nein, heutzutage nutzt man VPN oder man hostet wenns Business ist so etwas professionell.
- Mitglied seit
- 13. Jul 2019
- Beiträge
- 5.084
- Punkte für Reaktionen
- 2.060
- Punkte
- 259
Der Shared Ordner sollte normalerweise kein Problem sein.
Synology Photo legt die Bilder nur 1x ab. Alles, was in einem shared folder liegt sind Verknüpfungen zu diesen Bildern, die dafür zuständig sind, dass diese Bilder im geteilten Ordner angezeigt werden. Wenn das Haupt-Fotoverzeichnis gesichert wurde, und die persönlichen Photo-Ordner der einzelnen Nutzer (falls aktiviert), sollte alles noch da sein.
- Mitglied seit
- 25. Apr 2023
- Beiträge
- 3.067
- Punkte für Reaktionen
- 1.088
- Punkte
- 194
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
