SSH/Telnet Login für Support?

[leesil]

Hallo!

Habe gestern beim Hersteller ein Support Ticket geöffnet da ich laut meiner Synology ein Virus drauf hab und Systemdateien verändert wurden (Wurde aber nur durch ein 3rd Party Package verursacht).
Heute habe ich dann folgende Antwort erhalten:


Dear customer,

I have checked your DS by Telnet/SSH connection, and there are some 3rd-party packages installed in the DSM.
We do not guarantee the system stability and data security for the DS if there are 3rd-party packages installed.
And we have also confirmed that there are some 3rd-party packages might modify the kernel code of the DSM and result in some abnormal behavior.

Desweiteren hat mir der Support einen Screenshot vom Root filesystem geschickt!!!!

Wie kann der Support da überhaupt zugreifen? Telnet und SSH ist von außen nicht geöffnet.
Wie kann ich das unterbinden? Die kommen ja auf alle meine Daten.....

Danke im voraus!

LG

 

[jahlives]

in dem Fall muss wohl dein Router eine Portweiterleitung für telnet und/oder ssh auf die DS gehabt haben

 

[Puppetmaster]

Also wenn du denen nicht deine Zugangsdaten gesendet hast, und du zudem SSH/Telnet bzw. die korrespondierenden Ports aktiviert hast, dann wird es wohl schwerlich möglich sein, dass sie auf deiner DS waren.

Evtl. haben sie das Ticket vertauscht!? Stimmt der Screenshot denn mit deinen Daten überein?
Hast du evtl. eine SPAM Mail bekommen?
...

 

[leesil]

Portfreischaltung hab ich definitiv nicht für SSH/Telnet, Hab nur gewisse Ports offen für die Mobile Apps.
Nur wie kommt der Support (unabhängig davon ob was offen ist oder nicht) dazu auf meine diskstation zu zugreifen und das ohne meine Erlaubnis????

Das Ticket hab ich über die Diskstation geöffnet und in der Antwort Mail stehen auch die Daten bzw. der Text den ich geschrieben habe. Insofern kein Spam.
Den Screenshot hab ich noch nicht verglichen aber nach den Ordner zu Folge handelt es sich um meine DS.

 

[luddi]

Die Frage bleibt aber dennoch... Mit welchen user credentials hat sich denn der Support eingeloggt?

Was bitte hast du ihnen an privaten Informationen ausgehändigt? Denn einfach so kann sich doch niemand auf deinem System einloggen... außer sie haben eine backdoor im System...

Gruß
luddi

 

[heavy]

Frage hast du quickconnect eingerichtet?

 

[Puppetmaster]

Das finde ich jetzt zugegeben extrem krass!

Ich selbst habe noch kein Ticket direkt aus der DS heraus geöffnet, daher weiß ich auch nicht ansatzweise, was die DS dann alles an Daten mitschickt (was übrigens ein Grund für mich wäre, immer über die Webpräsenz zu gehen um ein Ticket zu öffnen).

An deiner Stelle würde ich die Jungs einmal zur Rede stellen, wo du denn dein Einverständnis gegeben haben sollst, dass ein Zugriff seitens Synology erfolgen soll/darf...

@luddi: ja, es gibt in der Tat eine Backdoor für SSH Zugriffe. Da gab es auch mal einen Thread zu hier. Müsste man jetzt mal suchen...

 

[leesil]

Anbei die übermittelten Daten

 

[Puppetmaster]

Das sind ja nur die Daten die DU siehst.

 

[DKeppi]

@luddi: ja, es gibt in der Tat eine Backdoor für SSH Zugriffe. Da gab es auch mal einen Thread zu hier. Müsste man jetzt mal suchen...

Meinst du zufällig das hier: https://wrgms.com/synologys-secret-telnet-password/

 

[luddi]

@Puppetmaster:
Unter Support Services findet man diese Einstellungen... könnte unter umständen bei leesil aktiviert sein???



Gruß
luddi

 

[leesil]

Schon klar das da im Hintergrund mehr Daten übermittelt werden können. Hab jetzt auch nochmal den Router überprüft, kein Port offen!

 

[jahlives]

frag bei Synology nach mit welchen Logindaten sie reingekommen sind und wie sie es überhaupt geschafft haben wollen, da du weder telnet nocht ssh nach aussen offen hattest

 

[jahlives]

@luddi
auch dann bräuchten sie noch das admin PW. Alles andere wäre kriminell

 

[leesil]

Hab gerade ein Mail an den Support geschickt.

Enable remote access ist nicht deaktiviert!

 

[Puppetmaster]

Enable remote access ist nicht deaktiviert!

Meinst du wirklich das?

 

[leesil]

Meinst du wirklich das?

Na meinte das es nicht aktiviert ist

 

[luddi]

Enable remote access ist nicht deaktiviert!

...nicht deaktiviert heißt dann letzenendes dass es bei dir aktiviert ist!
Somit könnte der Support mit dem "Support identification key" in Kombination mit Quickconnect den Zugriff erzwungen haben.

Gruß
luddi

 

[jahlives]

@luddi
ein Zugriff auf ein System ohne Einverständnis des Besitzers ist immer noch kriminell

 

[leesil]

Habe auch einen Login gestern um 14:26 von einer 193er IP Addresse. Kann nur im Moment nicht genau sagen ob ich das selbst war oder nicht.