Randsomware auf Synology NAS, Ursache vermutlich FRITZBOX von AVM

Gulliver

Benutzer
Contributor
Mitglied seit
04. Jul 2020
Beiträge
262
Punkte für Reaktionen
117
Punkte
49
1. Nicht jeder hat eine FB, die das schon kann.
2. Mir ist ein wireguard auf der FB, das von AVM (oder wem das demnächst auch immer gehört) mit updates versorgt wird nicht ganz geheuer. What about backdoors?
 

Monacum

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
03. Jan 2022
Beiträge
2.210
Punkte für Reaktionen
1.034
Punkte
224
WireGuard ist WireGuard, nicht AVM. Und nicht jeder hat eine FRITZ!Box, aber der TE…
 
  • Like
Reaktionen: stevenfreiburg

plang.pl

Benutzer
Contributor
Sehr erfahren
Mitglied seit
28. Okt 2020
Beiträge
15.028
Punkte für Reaktionen
5.401
Punkte
564
WireGuard auf der Fritte kann man schon gut verwenden. Ist potenziell halt nicht die neueste Server Version. Aber die Config Dateien, die dabei entstehen sind die gleichen wie bei einem "normalen" WireGuard Server. Bei Bedarf kann man auch händisch in der Config von der MyFritz DDNS Adresse auf eine andere umstellen. Solange die Leistung der Fritte nicht ausbremst (was bei den allermeisten NICHT der Fall sein dürfte), kann man m.M.n. problemlos auf die Fritte setzen und hat obendrauf eine einfache Weboberfläche.
 
  • Like
Reaktionen: Gulliver

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
  • Like
Reaktionen: stevenfreiburg

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Hallo zusammen,


ich bin hier noch einige Rückmeldungen schuldig.
Ersteinmal vielen Dank, an alle, die sich mit meinen Sorgen über die Katastrophe meines komplett verschlüsselten NAS auseinandergesetzt haben.

Zu allererst muss ich AVM und "Fritzbox" rehabilitieren. Denn es ist sehr unwahrscheinlich, dass dies das Einfallstor für die Verschlüsselung meiner Syno war. Es wäre fair, den Titel meines Beitrags zu ändern, aber den damals in meinem ersten Entsetzen gewählten Titel kann ich leider nicht abändern.

Komplett ALLES auf meiner Synology wurde (unknackbar) verschlüsselt, 6,5 TB Daten.
Die kriminellen Erpresser wollten 0,4 Bitcoin zum Entschlüsseln haben - aber die können mich....
Ich hatte Backups, nicht gut sortiert, aber immerhin.

Mit 99,99 Prozent Wahrscheinlichkeit waren meine NAS Einstellungen und Installationen Einfallstor für die Erpressersoftware.
Dazu muss ich sagen dass ich zuvor 12 Jahre lang auf diese Weise gut gefahren bin mit meinem Synology NAS. Hab nur Updates und Backups gemacht, weitere Sicherheit habe ich vernachlässigt, lief ja immerhin mehr als eine Dekade lang alles super gut und easy.
Aber Viren und andere Schädlinge entwickeln sich eben weiter.
Warum gibt es mittlerweile super gute Backuplösungen von Synology, WORM usw.? Ganz sicher nicht, weil das Internet sicherer geworden ist. Eigentlich deute ich die WORM Funktion als ein Wink mit dem Zaunpfahl von Synology das Datensicherheit ein wichtiges Thema ist.
Synology NAS sind definitiv beliebte Angriffsziele.
Habe ich alles ignoriert - selbst Schuld also.

Nach den Informationen, die ich heute kenne, stehen mir die Haare zu Berge, wenn ich meinen leichtfertigen Umgang mit meinem NAS aus der Retrospektive betrachte.
Hier einige Beispiele:
- als Admin statt als User gearbeitet ("admin" account war immerhin deaktiviert)
- mein Useraccount hatte dasselbe Passwort wie mein Adminaccount
- alte PHP Version aktiviert (weil ich einige ältere Scripte auf dem Webserver laufen hatte
- ich hatte ein Forum, einen URL Shortener und diverse nette PHP Script-"Helferleins" am Laufen und sogar wordpress zum Testen war aktiv. Natürlich nix davon up2date
- Firewall war lax eingestellt
- - Alle möglichen offenen Ports in der Fritzbox für DSM. Alle Zugangsmöglichkeiten PORTS , die es so gibt waren offen (remotedesktop für virtuelles Win10) , http, https, WebDAV, FTP, sFTP, SMB, usw. usw.
- natürlich waren alle Ordner des NAS auf meinem Rechner als auch in einigen virtuellen Maschinen permanent gemountet.
Ich denke mehr braucht man nicht zum Einfangen von Viren, oder?

Direkt vor dem Befall war mir aufgefallen, dass in dem (nicht upgedateten) YOURLS Script ein url shortcut, welches ich nur 5 Leuten geschickt hatte, mehr als 1500 mal aufgerufen wurde. Darauf, dass in dem Moment versucht wurde einzubrechen, bin ich nicht gekommen.

Ich denke übrigens nicht, dass die Erpressersoftware Zugangsdaten über in Windows gespeicherte Passwörter abgefischt hat, denn meine Windows Rechner waren alle nicht betroffen und mein Smartphone war auch sauber.


Hätte Thonav mir nicht in einer sehr langen sonntäglichen Remotesitzung bei der Neueinrichtung geholfen, ich hätte was NAS und Synology anbelangt frustriert das Handtuch geworfen, die Festplatten des NAS mit Nullen vollschreiben lassen und das NAS verkauft oder gleich gegen die Wand geworfen.
Vielen, vielen Dank dafür nochmal @Thonav !! Ferienwohnung hier in den Philippinen ☀️🌴 als mein Dankeschön kannst du jederzeit gerne nutzen.


Wie ich das alte NAS und die neue 923+ am besten konfiguriere ist noch Baustelle, welche mittlerweile aber fast abgeschlossen ist.
Hab lange Informationen gesammelt (Dank an @Tommes & @Ronnie1978) und Lösungen und Optionen abgewogen.
Das ist zwar so gar nicht das, was ich mir unter einem "einfach reinstöpseln und LOS!" Synology NAS vorgestellt habe, aber -wie ich mittlerweile weiß- nun mal eben angemessen und notwendig. Ich bin lernfähig.
Ich werde Euch also noch etwas länger erhalten bleiben im Forum und vielleicht auch nerven, wenn ich die Grenzen meiner Synology NAS auslote ;)
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Es ist immer schön ne Rückmeldung zu hören .
Und schön das du den Großteil deine Daten noch als Backup hattest .

Ich kenne das auch . Früher war man echt naiv zum Teil Unterwegs. Aber die Sicherheitslage war auch ne komplett andere .

Leider muss man heutzutage echt gut aufpassen . Und es wird ni besser
 

*kw*

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
10. Aug 2013
Beiträge
2.842
Punkte für Reaktionen
1.383
Punkte
174
Das ist zwar so gar nicht das, was ich mir unter einem "einfach reinstöpseln und LOS!" Synology NAS vorgestellt habe, aber -wie ich mittlerweile weiß- nun mal eben angemessen und notwendig. Ich bin lernfähig.

So eine ehrliche Einsicht und Erkenntnis finde ich mal klasse! Hut ab. (y)
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.164
Punkte für Reaktionen
918
Punkte
148
Ich finde es auch super mal Fehler einzugestehen, andere auf dem Laufenden zu halten und denen dann die Möglichkeit zu geben sich zu verbessern oder eigene Fehler frühzeitig zu korrigieren. Leider finde ich den #13 hier vom gleichen User um so bedauerlicher. Gerade weil es vielleicht doch hilft auch mal die Fragen zu hinterfragen und den Sachverhalt aus mehreren Blickwinkeln zu betrachten.

Aber sei es drum. ;) Fazit: Danke für die Teilung des Wissensstandes.
 

metalworker

Benutzer
Sehr erfahren
Mitglied seit
25. Apr 2023
Beiträge
3.532
Punkte für Reaktionen
1.359
Punkte
194
Ach naja so lange man sich nicht gegenseitig beleidigt .dann ist alles ok . Man darf auch mal sachlich Diskutieren und unterschiedliche Standpunkte haben .
Und bei manchen Themen gibt's halt einfach verschiedene Ansichten .wovon keine davon Falsch sind .

Wichtig ist ja vorallem wie hier in dem Thread. Das der Vermutliche Ursache erkannt wurde .Gerade weil Sie wie in diesem Fall durch eigene Fehler begünstigt wurde.
Den schaden haben ja Kriminelle angerichtet , und nicht der User selbst .
Trotzdem hat er seinen Fehler zugegeben und das geteilt . Das hilft den Lesern hier im Forum extrem viel .denn genau das sind Beispiele die man angeben kann was passieren kann wenn man sich nicht an gewisse Vorgaben hält.
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.164
Punkte für Reaktionen
918
Punkte
148
Hast du vollkommen recht ;-)
 
  • Like
Reaktionen: metalworker

ds718-

Benutzer
Mitglied seit
27. Jan 2020
Beiträge
164
Punkte für Reaktionen
24
Punkte
18
- - Alle möglichen offenen Ports in der Fritzbox für DSM. Alle Zugangsmöglichkeiten PORTS , die es so gibt waren offen (remotedesktop für virtuelles Win10) , http, https, WebDAV, FTP, sFTP, SMB, usw. usw.
- natürlich waren alle Ordner des NAS auf meinem Rechner als auch in einigen virtuellen Maschinen permanent gemountet.
Das sind die größten Einfalls-Tore die es gibt. Ich behaupte mal das 60% der User davon sind hier betroffen, und immer noch glauben das es nicht gefährlich wäre weil Synology teilweise diese offenen Ports für Anwendungen noch forciert.
 
  • Like
Reaktionen: Ronny1978

Jagnix

Benutzer
Sehr erfahren
Mitglied seit
10. Okt 2018
Beiträge
1.238
Punkte für Reaktionen
328
Punkte
109
Welcome back. Schön das du die Ursache gefunden und beheben konntest. Backup nicht sortiert ist besser wie kein Backup. :)
 
  • Like
Reaktionen: dil88

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
Den positiven Rückmeldungen möchte ich mich anschließen.

Kleiner Beitrag: WORM ist eher ein Instrument für die Compliance- Thematik. Also Dokumente so wegschreiben, dass sie nie mehr geändert werden können.

Das Werkzeug gegen Ransomware sind „immutable Snapshots“. Die sind zum Beispiel 14 Tage gesperrt, werden dann aber wieder freigegeben.
 

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Das kurze Verfallsdatum hat mich bei den immutable Snapshots gestört, wie du dir sicher schon gedacht hast.

Wie gesagt, ich lebe hier auf einer Insel und hab keine Lust alle paar Wochen das Verfalldatum von immutable Snapshots verlängern zu müssen.
Aber vielleicht gibts dafür ja ein Workaround und/oder Script? Falls noch nicht, schon wieder ein neues Thema... 😉
 

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.164
Punkte für Reaktionen
918
Punkte
148
ich lebe hier auf einer Insel
Hallo Steven, ich glaube nicht, dass das was mit dem Wohnort zu tun hat. Bei den Snapshots geht es doch darum eine Sperre für Ransomware zu schaffen. Die Frage ist, wie oft du mit Daten auf/aus deinem NAS arbeitest. Damit merkst du doch recht schnell, wenn etwas nicht stimmt oder Daten verschlüsselt sind. Dann helfen die immuntable Snapshots meiner Meinung nach schon. Man muss halt etwas überlegen, wie viele Snapshots am Tag generiert werden und wie lange die Sperre dann sein soll.

Generiert man aller 15 Minuten Snapshots sind das 96 Stück am Tag. 14 Tage Sperre -> 1344 Snapshots und danach wird erst überschrieben. Das kann bei vielen Ordnern eine Menge sein und Kapazität kosten. WORM kommt immer auf den Anwendungsfall an. Macht vielleicht Sinn, wenn man wichtige Belege speichert und schützen will.

Aber wie gesagt: Wenn du oder mehrere Benutzer täglich mit den Daten auf dem NAS arbeiten, sollte recht schnell rausfindbar sein, ab wann eine Verschlüsselung stattfindet. Wenn du aber auf der Insel sitzt und nicht regelmäßig mit den Daten arbeitest, kann ich dir recht geben. ABER: Dann würden auch stündliche Snapshots oder Snapshots aller 4 Stunden reichen und du könnest die Sperre auf 28 Tage hochsetzen. Ist aber nur meine Meinung.
 
  • Like
Reaktionen: ThomasD.

stevenfreiburg

Benutzer
Mitglied seit
05. Apr 2022
Beiträge
245
Punkte für Reaktionen
126
Punkte
93
Moin Ronny,
"Insel" war weniger als Verortung vom Wohnort gemeint, sondern sollte mein Wunsch und Ziel verständlicher machen, dass ich mit meinem NAS eine Phase anstrebe, in der ich das Gerät (größtenteils) nur noch nutze, aber nicht mehr damit und dafür "arbeiten" mag es einzurichten, abzusichern und zu optimieren (was ich aktuell immer noch mache, weil das Gesamtkonzept noch nicht mal steht).
Und wenn das NAS einfach nur genutzt wird, stelle ich mir die Frage, ob zeitlich begrenzte Schnappschüsse wirklich die beste Wahl sind oder nur Speicherplatz wegfressen ohne Risiken über längere Zeiträume (z.B. über 6 Monate) zu minimieren?
 
Zuletzt bearbeitet:

Ronny1978

Benutzer
Sehr erfahren
Mitglied seit
09. Mai 2019
Beiträge
2.164
Punkte für Reaktionen
918
Punkte
148
Du musst dir halt die Frage stellen, wie oft sich Daten ändern und wie oft zu auf Daten zugreifst, um ggf. zu merken, dass du von Ransomware betroffen bist. Danach regelt sich die Häufigkeit der Snapshots und die Dauer der Sperre. Eine zusätzliche EXTERN (Offside) Kopie solltest du dennoch haben.
 
  • Like
Reaktionen: Synchrotron und dil88

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.132
Punkte für Reaktionen
2.091
Punkte
259
WORM ist „immutable forever“. Man kann die Datei nie mehr bearbeiten und muss immer erst ein Duplikat ziehen. Das ist bei vielen Dateien nicht wünschenswert.
 

maxblank

Benutzer
Contributor
Sehr erfahren
Mitglied seit
25. Nov 2022
Beiträge
4.436
Punkte für Reaktionen
2.365
Punkte
289
  • Like
Reaktionen: Ronny1978


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat