Hallo,
ich habe einen Freund der hat auf meine Empfehlung eine DS-918+ gekauft und sein Backup (1 Server, 6 PCs landen) da drauf. Der hat sich jetzt - wie auch immer - einen Trojaner eingefangen. Soweit ja noch nichts besonderes. Allerdings ist das was mich erschreckt das diesmal auch das NAS komplett verschlüsselt ist. Das hätte eigentlich nicht passieren dürfen.
Hier die Fakten: Es gibt keine gemappten Shares. Das Backupprogramm (Acronis und Veeam) haben die Daten für die Shares im Programm gespeichert. Dafür wird ein extra (nicht Admin) User benutzt. Der Admin Account ist deaktiviert, dafür gibt es einen anderesnamigen Account. Als ich heute raufgeguckt habe, waren Alle User wieder aktiviert (auch Guest) und hatten Rechte für alle Shares. Ich hatte nur Pakete installiert die aus dem Sysnology-Appstore kommen. Das Passwort für den Admin Account hatte 8 Zeiochen mit üblichen Groß, Klein, Zahl, Sonderzeichen. Der Zugriff kam vermutlich von innen, denn der Hersteller der Branchensoftware hat den RDP-Port auf Standard nach außen aufgemacht. Der hat mir auch erzählt das ein Kunden von denen das auch schon einmal hatten, auch mit einer Sysnology NAS.
Wie um alles in der Welt hat da der Angreifer Zugriff auf die NAS bekommen? Die IP ist ja einfach, aber alleine der Admin-Account ist ja nicht so einfach herauszubekommen.
Hat das schon jemand aders erlebt / gehört?
Besonders erschreckend: Patchstand ist aktuell (DSM 6.2.3-25426). Also wenn ich die jetzt "reinige" und neu aufsetze muss ich ja Angst haaben dass so etwas auch bei einem Angriff von außen möglich ist.
ich habe einen Freund der hat auf meine Empfehlung eine DS-918+ gekauft und sein Backup (1 Server, 6 PCs landen) da drauf. Der hat sich jetzt - wie auch immer - einen Trojaner eingefangen. Soweit ja noch nichts besonderes. Allerdings ist das was mich erschreckt das diesmal auch das NAS komplett verschlüsselt ist. Das hätte eigentlich nicht passieren dürfen.
Hier die Fakten: Es gibt keine gemappten Shares. Das Backupprogramm (Acronis und Veeam) haben die Daten für die Shares im Programm gespeichert. Dafür wird ein extra (nicht Admin) User benutzt. Der Admin Account ist deaktiviert, dafür gibt es einen anderesnamigen Account. Als ich heute raufgeguckt habe, waren Alle User wieder aktiviert (auch Guest) und hatten Rechte für alle Shares. Ich hatte nur Pakete installiert die aus dem Sysnology-Appstore kommen. Das Passwort für den Admin Account hatte 8 Zeiochen mit üblichen Groß, Klein, Zahl, Sonderzeichen. Der Zugriff kam vermutlich von innen, denn der Hersteller der Branchensoftware hat den RDP-Port auf Standard nach außen aufgemacht. Der hat mir auch erzählt das ein Kunden von denen das auch schon einmal hatten, auch mit einer Sysnology NAS.
Wie um alles in der Welt hat da der Angreifer Zugriff auf die NAS bekommen? Die IP ist ja einfach, aber alleine der Admin-Account ist ja nicht so einfach herauszubekommen.
Hat das schon jemand aders erlebt / gehört?
Besonders erschreckend: Patchstand ist aktuell (DSM 6.2.3-25426). Also wenn ich die jetzt "reinige" und neu aufsetze muss ich ja Angst haaben dass so etwas auch bei einem Angriff von außen möglich ist.
