Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

ctrlaltdelete

Benutzer
Contributor
Sehr erfahren
Maintainer
Mitglied seit
30. Dez 2012
Beiträge
13.648
Punkte für Reaktionen
5.820
Punkte
524
PHP Scripte könnten Einfallstor gewesen sein, denn Webserver war aktiviert plus PHP ("yourls" z.B.)
Sorry, wer stellt sein NAS mit Daten als Webserver ins Netz, das ist grob fahrlässig. Webseiten und Webanwendungen werden im Netz gehostet.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Also du hast schon echt verdammt viele Ports offen muss ich sagen . Also mhh .

Und hast auch die Firewall deiner DS konfiguriert ?


Es stimmt natürlich das nicht jeder alles wissen kann .
Aber jemand der gar keine Ahnung hat installiert so viele Dienste und macht sowas wie php scripte auf der Synology.

Und Synology hat ja mit dem Sicherheits berater da schon einiges gemacht.

Man muss also User halt auch sich damit beschäftigen und die Informationen des Herstellers befolgen .



Ich hätte schon Interesse mir die DS mal anzuschauen. Bin aber aktuell sehr ausgelastet.
Vielleicht findet sich jemand aus dem Forum ?
 
  • Like
Reaktionen: Ronny1978

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.259
Punkte
259
Mein Vertrauen in Synology als Datenspeicher und bequemer Webserver für den Heimgebrauch (Domain, Photos, Chat, Notes, Musik & Videos, Filesharing etc.) ist leider hinüber.
Denn wenn ich es nicht richtig hinbekomme meine Synology gegen Angriffe abzusichern, dann ist das ganze Thema NAS für mich unbrauchbar.
Dann ist ein NAS pauschal für Dich unbrauchbar, denn das was da bei Dir passiert ist hätte Dir auch mit jedem anderen NAS eines anderen NAS-Herstellers ebenso passieren können.
Dieses Beispiel um zu erklären, wie ich zu den Bemerkungen stehe, dass die von Synology eingestellten Ports 5001 & 5000 "unsicher" seien,
Ganz einfach: Jedes System ist bzw. wird unsicher(er) wenn man Zugriffe von außen zulässt. Das war schon immer so und das wird wohl auch immer so bleiben. Das hat nichts mit den bei Synology verwendeten Standard-Ports zu tun und/oder das das Synology NAS per se unsicher ist. Oder anders gesagt: Wenn Du das NAS ausschließlich in Deinem LAN nutzt und keine Zugriffe von außen zulässt, dann hättest Du das Problem nicht.

Klar ist es ärgerlich wenn einem so etwas passiert wir Dir, aber wenn Du das Risiko vermindern willst dann öffne keine Ports für Zugriffe aus dem Internet, oder Du bist permanent einem zusätzlichen Risiko ausgeliefert. Neben dem Risiko was durch evtl. Sicherheitslücken bei der Synology Software bestehen kann und für die und nur die, dann Synology verantwortlich wäre.

VG Jim
 
  • Like
Reaktionen: Ronny1978

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
@Thonav da stimme ich dir zu, aber man kann nicht pauschal die Schuld dem Hersteller geben, weil man was nicht wusste. Um beim Auto Beispiel zu bleiben, du gibst auch nicht dem Hersteller die Schuld, wenn du statt der empfohlenen Mende Öl es bis zum Anschlag kippst, weil es dir keiner gesagt hat. Man kann nicht alles wissen das stimmt, aber man kann sich BEVOR man was ins Internet stellt informieren. Wie oft liest man im hier im Forum, dass die Leute Wordpress auf der NAS hosten wollen? Da würde ich auch nicht Synology die Schuld geben.
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
232
Punkte für Reaktionen
117
Punkte
93
Edit: Wenn ich die ganzen offenen Ports sehe wird mir ganz anders....

Muss so eine Bemerkung wirklich sein?


:unsure: Du nutzt deine Syno anscheinend nur als Datenspeicher im Intranet, z.B. um auf Clouddienste zu verzichten?

Man kann eine Synology auch ganz anders nutzen, und das wird von Synology sogar sehr aktiv beworben.
Thema Internetdienste, genau dafür braucht man nun einmal Portfreigaben.
Oder denkst du, dass Foto- und Filesharing , sFTP, WebDAV, Remotedesktop für virtuelle Maschinen, Domainserver, Webserver, (usw. usw.) OHNE Portfreigaben auskommen?
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Nun kriegt Euch mal ein.
@alexhell - hinsichtlich des Motorenöls ist es etwas anderes. Es liegt jedem meiner Fahrzeuge eine Bedienungsanweisung bei, in denen auf elementare Dinge wie die Ölmenge hingewiesen wird. Zudem wird m.E. auf diese Anleitung sogar im Fahrschulunterricht hingewiesen.
Wie oben schon bemerkt, gibt es sowas von Synology nur im Faltblättchen mit dem Hinweis auf irgendwelche Supportseiten. Erwarten, dass das auch gelesen wird, tut das keiner. Und - Synology wird sich bei einem Angriff auf die Netzlaufwerke von Kunden sicherlich nicht einverstanden erklären, dafür Schadensersatz zu leisten. :)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Ja natürlich kommen die ohne Portfreigaben aus VPN lässt grüßen.
Und Synology bewirbt für den einfachen User Quickconnect ohne Portfreigaben .

Und ganz ehrlich
RDP direkt ins Internet stellen ist wirklich grob fahrlässig
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.693
Punkte für Reaktionen
2.100
Punkte
829
Ich sehe das wie @Thonav. Es wäre hilfreich, wenn wir versuchen könnten, aus den Informationen, die wir hier bekommen, nützliches Wissen für alle abzuleiten. Dabei sollten wir die persönliche Note m.E. außenvorlassen und uns sachlich auf die Fakten konzentrieren.
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Das muss halt jeder selber wissen. Es gibt auch Benutzer, die ihre Installation von Paperless-ngx frei zugänglich ins Internet stellen, ich persönlich mache das nicht, weil mir die Daten dahinter so wichtig sind und mir keiner von denen Entwicklern, die das in ihrer Freizeit machen, die Gewähr gibt, dass da nichts passieren kann. Aber so schätzt jeder das Risiko halt unterschiedlich ein und muss dann auch mit den Folgen leben.

persönliche Note
Du hast vollkommen recht, dazu gehört aber auch, dass der Eröffnung dieses Fadens nicht pauschal seine Disk Station oder seine FRITZ!Box für irgendwelche Verschlüsselungen auf seinen Festplatten verantwortlich macht, wenn er es doch selber gar nicht so genau weiß. Denn wie du richtig sagst, nur mit Den Fakten auf dem Tisch können wir uns zumindest ein Bild machen, was da schief gelaufen sein könnte.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Das ist eben so nicht richtig - ein Risiko kennst Du nur wenn Du die Gefahr aktiv abschätzen kannst. Kein Kleinkind geht nicht bis zum Rand der Klippe.
Ein User der aus einem Mediamarkt geht hat die Marketinginformationen im Kopf - das Risiko kennt er nur durch aktive Suche - nicht weil ihm die Idee kommt "ich will mal sehen was VPN ist".
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Ich denke schon das wir sachlich sind .

Ist ja nun mal Fakt das er sehr viele Ports geöffnet hatte .
Daher ist die vermutung schon nahe das über diese etwas ins System gekommen ist.

Genau weiß man es wenn man erkennt worüber genau.
Man kann auch prüfen wenn die datein erstellt hat. also welcher DSM User ,
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
854
Punkte
154
Du nutzt deine Syno anscheinend nur als Datenspeicher im Intranet, z.B. um auf Clouddienste zu verzichten?
Nö, ich habe diverse Dienste laufen. Auch aus dem Internet erreichbar. Muss dazu sagen, nur zwei von Synology. Rest sind Docker Anwendungen, aber ich habe nur Port 443 und 80 (redirected immer auf 443) auf.
Oder denkst du, dass Foto- und Filesharing , sFTP, WebDAV, Remotedesktop für virtuelle Maschinen, Domainserver, Webserver, (usw. usw.) OHNE Portfreigaben auskommen?
Genau einer für alles wäre genug.

Es war aber nicht mal böse gemeint. Vielleicht kamen die auch gar nicht über die Synology/Portfreigaben sondern von innen. Ich weiß nicht, ob man das jetzt noch raus bekommen kann.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Das ist eben so nicht richtig - ein Risiko kennst Du nur wenn Du die Gefahr aktiv abschätzen kannst.
Das sehe ich tatsächlich ein wenig anders. Ich war auch noch nie Bungee Jumpen, aber ich kann mir trotzdem im Internet ein grobes Bild davon machen, wie gefährlich das ist oder nicht.

Oder auf diesen Thread übertragen, ich habe mir auch erst vor knapp vier Jahren mein erstes NAS geholt, trotzdem habe ich nicht als erstes angefangen, alle möglichen Internetseiten selber zu hosten, Container zu nutzen etc. und gerade weil ich an manchen Stellen nicht so viel Ahnung habe wie andere Leute, was die Absicherung betrifft, lasse ich es dann lieber sein und greife nur per VPN auf meine Daten zu, um genau diese Problematik hier zu vermeiden.

Gerade was private Daten im Internet betrifft, ist weniger oft mehr.
 
Zuletzt bearbeitet:

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
Die kleine Firma, die ich jetzt betreuen darf, war Anfang Sept. 23 ebenfalls Opfer einer Ransomware-Attacke. Dort ist man der Meinung, dass die Attacke von einem der PCs ausging - da NUR auf diesem PC und auf den SMB-Freigaben des Servers verschlüsselte Dateien zu finden waren - und ausserdem der Virenscanner von Bitdefender genau auf diesem PC etwas gefunden haben soll. Genaueres kann ich leider nicht sagen, war "vor meiner Zeit".

(Portweiterleitungen an der Fritzbox gab es nicht - nur VPN-Zugänge)
 
  • Like
Reaktionen: Ronny1978 und Thonav

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.198
Punkte für Reaktionen
1.147
Punkte
194
Das der PC nen Trojaner hatte und dann alles verschlüsselt hat ist der Klassiker. Und wir auch in den meisten fällen so sein.

Aber es kam auch oft genug vor das über andere Sicherhetislücken das direkt über das NAS passiert ist.
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Auch ein sehr wesentlicher Hinweis, @Nixnuzz !
 

peterhoffmann

Benutzer
Sehr erfahren
Mitglied seit
17. Dez 2014
Beiträge
6.057
Punkte für Reaktionen
1.855
Punkte
254
@stevenfreiburg
Erst mal vorweg, dein Ärger tut mir grundsätzlich leid. Absolut positiv war aber, dass du ein Backup hattest und somit 95% retten konntest. Sei froh, da kenne ich und andere hier im Forum ganz andere Geschichten, wo der Betroffene am Ende ganz ohne Daten da stand.

Du willst das jetzt nicht hören, aber wenn überhaupt, hilft dir nur die Wahrheit weiter.
Nach all dem was ich hier im Thread gesehen und gelesen habe, liegt die Schuld bei dir und deiner groben Fahrlässigkeit im Umgang mit einem NAS.

Alleine die Portliste zeigt einem, dass hier jemand unterwegs ist, der keine Ahnung hat von dem was er da tut. Das impliziert, dass der ganze Rest (Einrichtung der Dienste) ähnlich schlecht durchgeführt worden ist und da auch irgendwo das Eintrittstor zu finden ist.
Es reicht nicht einen Lambo zu kaufen und sich dann darüber zu beschweren, dass er bei 300 km/h auf der Landstraße die Kurve nicht geschafft hat.

Es ist auch müßig darüber zu diskutieren, wie was wann und wo gelaufen ist. Ohne handfeste Infos ist da nichts zu holen und wir drehen uns um Kreis.

Mein Vorschlag:
Nimm' deinen Vorfall als "günstige" Erfahrung und mache es in Zukunft besser (mit Hilfe vom Forum und ihren Usern!).
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Und damit kommen wir jetzt zur Abstimmung:
Wer ist der Meinung das

Steven selber Schuld ist:
Synology ist Schuld:
Die Ampelregierung ist Schuld:
Ich bin Schuld:
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.158
Punkte für Reaktionen
2.177
Punkte
289
  • Like
Reaktionen: Ronny1978 und dil88


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat