Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.665
Punkte für Reaktionen
2.071
Punkte
829
Es ist Februar, da bin ich an allem schuld. Wer war noch gleich im März dran? :p
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
@maxblank - Meinst Du ernsthaft, dass ich bei meiner ersten Einrichtung meiner ersten DS auch nur eine Sekunde auf deren Homepage zig Seiten durchgeforstet habe? Wenn das alles so easy wäre, würde es dieses Forum gar nicht geben... :)
 

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Wehe einer setzt den Haken bei mir!!
 

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
@dil88 Sollen wir auch darüber abstimmen? :D

@Thonav Aber das ist doch immer der Fall. Wer liest schon Handbücher? Ich um ehrlich zu sein nie :D Ich google mir das Zeug was mich gerade interessiert, aber so ein Handbuch durchlesen mach ich irgendwie nie.
 
  • Haha
Reaktionen: Thonav

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
So ist es - und da wird ausschließlich auf die Aspekte seitens Synology verwiesen - wie wo welche Portweiterleitungen sinnvoll sind - davon steht doch auch was auf der HP von Synology - schaut selber. Da mache ich doch gleich mal alle genannten für die jeweiligen Anwendungen auf :)
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.258
Punkte
259
  • Like
Reaktionen: dil88

alexhell

Benutzer
Sehr erfahren
Mitglied seit
13. Mai 2021
Beiträge
2.831
Punkte für Reaktionen
853
Punkte
154
Genau... Das Problem ist ja , dass wahrscheinlich 80% vom Handbuch langweilig/nicht benötigt oder schon bekannt ist. Daher ist eine Google Suche schneller als im Handbuch rumblättern. Vor allem wenn es kein digitales ist wo man nicht durchsuchen kann 😂
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
@Thonav, natürlich bist du schuld ;)
Aber ich würde auch sagen, wer seine Haustür so weit offen stehen lässt, muss sich nicht wundern, wenn er ungebetenen Besuch bekommt. Da ist dann weder der Bauherr noch die Haustür schuld.
 
Zuletzt bearbeitet:

Nixnuzz

Benutzer
Mitglied seit
16. Jan 2024
Beiträge
217
Punkte für Reaktionen
68
Punkte
28
  • Like
Reaktionen: Thonav

Thonav

Benutzer
Sehr erfahren
Mitglied seit
16. Feb 2014
Beiträge
7.890
Punkte für Reaktionen
1.510
Punkte
274
Ok, @Benares - dann mit ich jetzt mal noch unbedarfter als sonst :) Bestätige mir doch bitte mal als Laien, dass ich die Ports in dieser Übersicht für die Nutzung der Videostation aufmachen muss. Oder steht da expliziet was, was nicht, etc.?! :)
Fazit ist für mich - ich habe absolutes Verständnis für jeden Fragesteller und es gibt zig tausend unterschiedliche Anwendungsszenarien. Ein NAS muss nicht kompliziert zu konfigurieren sein, aber eben nur wenn man erkennt wo Risiken bestehen könnten und wo nicht.
 

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
@Thonav, das war ein Witz. Natürlich bist nicht du schuld.
Man kann es nicht oft genug sagen: Keine Ports im Router öffnen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Nutzern ohne Ahnung kann man eigentlich nur eines empfehlen: Sich nur und ausnahmslos mit der Firewall und VPN zu beschäftigen und nur dieses als Zugang von Aussen zu nutzen. Das schafft schon mal ein enormes Stück Sicherheit.
Man sollte dabei aber nicht vergessen, dass nahezu alle Hacks von Servern nicht von Aussen erfolgen sondern durch kompromittierte Mails von Innen (siehe dazu auch der Vorfall bei der CT, der ja umfangreich dokumentiert wurde). Daher ist eine vernünftige Firewallabsicherung der Syno extrem wichtig und alles was HTTP nutzt gehört verbannt!
 
  • Like
Reaktionen: geimist und Thonav

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
227
Punkte für Reaktionen
112
Punkte
93
Ich sehe das wie @Thonav. Es wäre hilfreich, wenn wir versuchen könnten, aus den Informationen, die wir hier bekommen, nützliches Wissen für alle abzuleiten. Dabei sollten wir die persönliche Note m.E. außenvorlassen und uns sachlich auf die Fakten konzentrieren.



Ich habe keine Eile das Gerät platt zu machen und neu zu installieren, da mein Enthusiasmus bezüglich Synology derzeit etwas gedämpft ist, wie ihr sicherlich nachvollziehen könnt.
Ihr könnt gerne Informationen aus meiner Synology auslesen.


Und klar, es stimmt, dass ich kein Experte bin und einiges nicht wusste.
Z.B. dass mehrere Portfreigaben ein höheres Risiko darstellen als nur eine Portfreigabe.
Ich sah Portfreigaben an wie verschiedene Türen, die alle aber mit (demselben) Schlüssel aufgehen, nämlich mit meinem Nutzernamen und meinem Passwort.
Ob nun jemand über allseits bekannte Ports wie 5001, 3389 oder 443 oder sonst einen Port meine Zugangsdaten eingibt, wo ist der Unterschied?
Hört sich für mich so an, als würdet ihr sagen, dass 5 Türen mit demselben Schlüssel ein größeres Risiko darstellen als nur eine Tür mit einem Schlüssel.

ok, ok, möchte keine Diskussion lostreten, Ihr sagt, das ist eben so, dann ist das eben so, war nur ein Beispiel.

Am wichtigsten ist für mich die Erkenntnis, dass Synologys Werbung "mal eben eigene Webdienste und eigene Cloud zuhause unterm Schreibtisch" auf einem ähnlichen Level ist wie mein Türenbeispiel.
Stimmt nicht, hört sich aber gut an und lässt sich gut verkaufen.

Ist für mich mittlerweile egal, denn selbst wenn ich den Fehler mit den vielen Portfreigaben nächstes Mal nicht mehr mache, ich mache garantiert einen anderen Fehler.
Deswegen habe ich mich von meiner bisherigen Synology Nutzung schon verabschiedet.
D.h. Abschied von meiner öffentlich erreichbaren Domain auf meiner Syno,
Abschied vom Webserver mit netten php scripten auf meiner Syno,
Abschied vom virtuellem Windows, welches von überall erreichbar ist,
Abschied von Fotoplattform und -Fotosharing für VIELE Leute,
und noch viel mehr....
Entweder verkaufe ich meine Syno oder nutze sie nur noch alleine oder in sehr kleinem Kreis via VPN Zugang.


Falls alexhell nun schreibt, dass Domains trotz VPN ZUgang öffentlich erreichbar bleiben, überlege ich es mir mit dem Abschied von allen Internetdiensten meiner Syno allerdings nochmal 😉
 

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.200
Punkte für Reaktionen
1.024
Punkte
224
Hört sich für mich so an, als würdet ihr sagen, dass 5 Türen mit demselben Schlüssel ein größeres Risiko darstellen als nur eine Tür mit einem Schlüssel.
Äh ja, genau so ist es. Ein Haus ohne Türen kann auch nicht aufgebrochen werden im Gegensatz zu einem Haus mit fünf Türen
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.093
Punkte für Reaktionen
570
Punkte
194
Geht fast alles was du da aufgelistet hast, auch für Dritte, wenn du Ihnen einen VPN Zugang einrichtest bzw du selbst einen nutzt.
Wenn denen das zuviel Aufwand ist ok, deren Entscheidung, aber dein System bleibt sicher.
Verabschieden solltest du dich wirklich von der öffentlich erreichbaren Domain, wobei anderseits ein Linux Webserver mit eigener IP aus der VM heraus und in einer DMZ (zB dem Gastzugang der Fritzbox) funktioniert auch sicher. Mir ist kein Fall bekannt, dass es jemandem gelungen ist aus der VM heraus in die Syno zu kommen und der Gastzugang ist ein abgeschirmter Bereich von deinem LAN.
Passiert da mit dem Webserver etwas, so what, VM neu starten, Backup einspielen und in wenigen Sekunden läuft alles wieder.

P.S.: Und VPN bitte am Router einrichten, nicht auf der Syno!
 
Zuletzt bearbeitet:

Benares

Benutzer
Sehr erfahren
Mitglied seit
27. Sep 2008
Beiträge
13.766
Punkte für Reaktionen
3.740
Punkte
468
Versteh doch. Mit jeder einzelnen Portfreigabe öffnest du ein weiteres Loch in deiner Haustür.
VPN ist was anderes, da hast du einen Port, der nur bis zum Router reicht, und einen gesicherten Tunnel in dein Heimnetz und arbeitest so wie im heimischen WLAN.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.096
Punkte für Reaktionen
2.065
Punkte
259
Das mit den Türen und dem Schlüssel passt eben nicht.

Es ist mehr wie eine Stadtmauer. Jeder Port ist eine Pforte, und an jede Pforte musst du einen Wächter stellen. Jede Pforte hat ihre eigenen Eigenschaften. An der Nummer der Pforte können Diebe zum Teil erkennen, dass es dahinter in die Schatzkammer geht, oder in die Markthalle, und von welcher Marke der Tresor sein dürfte.

Willst du es sicher haben, musst du dich mit jeder neuen Pforte (Portfreigabe) um die nötigen Dinge kümmern, und das dauerhaft.

Und irgendwann passieren Fehler. Kommt dann gerade ein Dieb vorbei, hast du schnell ein Problem. Das dürfte dir passiert sein. Nur von der Aufzählung oben lassen sich schon einige solche Schwächen ableiten. Vermutlich (das wurde schon erwähnt) gab es weitere Fehler in deinen Firewall-Regeln. Und ich denke mal: Du hast alles und jedes aus dem Paketzentrum installiert, ohne dich zu fragen, ob du es überhaupt benötigst. Und hast vieles in Gang gesetzt, ohne dich mit einer Sicherheitsanalyse zu beschweren, und den Nutzen gegen die Kosten abzuwägen.

Die Liste oben mit Diensten, die du öffentlich gemacht hast, spricht für sich.

Aus meiner Sicht solltest du deinen generellen Ansatz überprüfen, nicht nur die Details der Umsetzung.
  • Fotos kann man für sich risikolos über die bekannten Clouddienste anbieten.
  • Webserver gehören für schmales Geld auf einen angemieteten Server, oder zu einem Web-Hoster.
  • Auf den Rest kannst du dann ohne Sicherheitsrisiken einzugehen per VPN zugreifen.
Dann hättest du das mit wenig Aufwand neu sortiert, und könntest dein Heimnetzwerk dicht machen.
 
  • Like
Reaktionen: peterhoffmann


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat