SSDP-Dienst mit DDoS-Reflection angegriffen

[festigrat]

Hallo Leute,
ich bitte um Hilfe und Einordnung, was ich jetzt am besten mache. Ich habe Post von meinem Internet-Provider bekommen, dass über meinen offenen SSDP-Dienste-Port 1900 ein DDoS-Reflection-Angriff stattgefunden hat, mit genauer Uhrzeit und IP-Adresse. Ich habe die DS erst mal vom Internet abgeklemmt. Jetzt stellt sich für mich allerdings die Frage, was ich am besten tun soll. Muss ich die ganze Diskstation platt machen? Welche Gefahren gibt es für mich? Können Daten gestohlen worden sein? Ist jetzt ein Virus auf der DS? Was gibt es sonst noch so zu beachten?

Über hilfreiche Hinweise würde ich mich sehr freuen!
Viele Grüße,
festigrat

 

[ctrlaltdelete]

Wieso hast du SSDP nach aussen offen, welche Ports sind noch offen gewesen?
Edit: Ich würde die DS komplett löschen, secure erase und neu aufsetzen, dann Backup einspielen.

 

[festigrat]

Vielen Dank für die Antwort. Ich weiß nicht, warum das so war. Ich habe irgendwann mal vor Jahren Ports eingerichtet, leider ohne genauere Vorkenntnisse.
Hier die Liste der offenen Ports. Port 1900 habe ich bereits geschlossen.

80 TCP, IPv4

5000-5001 TCP, IPv4

5002 UDP, IPv4

5004 UDP, IPv4

9025-9040 TCP, IPv4

50001-50002 TCP, IPv4

65001 UDP, IPv4


Vielleicht ist auch der ein oder andere offenen Port nicht nötig. Im Prinzip nutze ich die Diskstation nur im Heimnetz. Einzig der Zugriff auf Synology Photos wäre von außen schön. Am einfachsten wohl über QuickConnect.

 

[maxblank]

5000er Port, auch schön…Webinterface vom NAS mit unverschlüsseltem Datenverkehr!
Welchen Router hast du?

Tailscale oder Wireguard nutzen. Und am besten alle Ports schließen, die du nicht benötigst.

 

[festigrat]

Hinter Port 80 und 5000-5001 steht die IP-Adresse eines meiner Computer. Hinter allen anderen steht "Diskstation"

 

[festigrat]

Fritzbox 6690 cable. Gibt es Ports, die ich besser schließe?

 

[maxblank]

Port 5000 ist normalerweise DSM-Webinterface

 

[maxblank]

Gibt es Ports, die ich besser schließe?

Zuerst mal alle, bis du genau weißt, welche du wofür benötigst.

 

[festigrat]

Ok. Gute Idee. Was mache ich am besten mit der Diskstation. Kann hier ein Virus drauf sein? Sollte ich sie am besten komplett neu aufsetzen? Was kann so eine Attacke verursacht haben? Können Daten geklaut sein?

 

[*kw*]

leider ohne genauere Vorkenntnisse.

Ja, im Zweifel platt machen und im Anschluss das hier in Ruhe durchlesen

 

[festigrat]

Ja, im Zweifel platt machen und im Anschluss das hier in Ruhe durchlesen

Ok. Dann werde ich das mal tun. Vielen Dank für die Unterstützung.

 

[festigrat]

Ich habe die Anleitung überflogen. Das ist alles sehr gut erklärt. Ich werde mich jetzt mal eingehender damit beschäftigen. Vielen Dank an alle!

 

[ctrlaltdelete]

Hattest du die automatishce Routerconfig im DSM benutzt?

 

[festigrat]

Hattest du die automatishce Routerconfig im DSM benutzt?

Das weiß ich nicht mehr genau. Ich habe die Konfiguration vor ein paar Jahren gemacht. Ich kann mich nur noch daran erinnern, dass ich auch in meiner altenFritzbox Ports freigegeben habe. Bei meiner neueren Fritzbox wurden dann die Einstellungen so übernommen.

 

[*kw*]

Wichtig ist jetzt erstmal, dass die Kiste vom Netz kommt und die Ports in der FB rigoros dicht gemacht werden, bevor du nicht weißt, was du "möchtest".

PS: und in der FB-Konfig keine selbständigen Portfreigaben für die Geräte zulassen

 

[festigrat]

Ja. das habe ich gemacht. Alle Ports sind in der FB geschlossen und die DS vom Netz genommen. Ich werde sie wohl platt machen. Da muss ich mal schauen, wie man das am besten macht....

 

[*kw*]

Ab DSM 6.2.4 und höher

Bis DSM 6.2.3

 

[festigrat]

Vielen Dank!

 

[Adama]

Seid ihr sicher, dass er wirklich seine Syno neu aufsetzen muss/sollte?

Ein DDoS flutet ja erst mal nur die Verbindung, um sie lahm zu legen:
https://www.cloudflare.com/de-de/learning/ddos/dns-amplification-ddos-attack/

 

[maxblank]

Sehe ich ebenfalls als nicht nötig an.