SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[TheGardner]

So ist es! Mache grade einen internen Wettbewerb, wer von den das beste Login Bild hat

 

[drknickel]

Ich habe derzeit im Sekundentakt Connect Versuche SSH mit root / admin von dieser IP hier:
https://www.badips.com/info/61.174.51.XXX

 

[TheGardner]

D.h. Du hast Deinen Port 22 öffentlich nach außen??? Warum? Wieso nicht 22222 oder 2022 oder oder oder?


PS.: Der Port 22 wird bei allen ziemlich oft als Einfallstor ausprobiert! Deshalb am Router dicht machen bzw. einen anderen Port wählen, welchen der Router dann an 22 der DiskStation durchreicht!

 

[rubinho]

Single Point of error wäre hier ein Stichwort. Ein Nachteil beim VPN: wenn der geknackt ist kann man so ziemlich alles erreichen als wäre man im LAN. Wer hat schon Firewall Regeln um sich gegen sein VPN zu schützen?

Es gibt halt keine 100%ige Sicherheit.
Damit müssen wir alle Leben und akzeptieren.

Ich habe auch gewisse Dienste direkt ins Internet gestellt (Mail + Webdav(s) ) aber jeglicher Administrativer Zugang (SSH + HTTP(s)) ist bei mir nur über VPN zu erreichen.
Ich sage nicht, das es mich nicht auch erwischen kann, aber es ist für mich die akzeptabelste Lösung.

Allen Andern kann ich nur Empfehlen, keine unverschlüsselte Verbindungen nach Innen zu öffnen (Ausnahme wäre aller höchstens SMTP) und starke Passwörter zu benutzen z.b. mittels Keygenerator von Keepass.

Wenn ich schon sehe, das der unverschlüsselte Administrationsport 5000 nach aussen freigeschaltet worden ist, wirds mir übel. Das geht überhaupt nicht.

 

[alexserikow]

@alexserikow
das gibt dir trotzdem nicht das Recht eine IP öffentlich zu posten, die dir nicht gehört. Sonst stell ich deine IP hier rein!

okok

 

[Frogman]

Ich habe derzeit im Sekundentakt Connect Versuche SSH mit root / admin von dieser IP hier:

jo - die gab's, gibt's und wird's immer geben... (Überlege Dir doch einfach mal, ob Du wirklich SSH nach außen stellen musst )

 

[drknickel]

D.h. Du hast Deinen Port 22 öffentlich nach außen??? Warum? Wieso nicht 22222 oder 2022 oder oder oder?


PS.: Der Port 22 wird bei allen ziemlich oft als Einfallstor ausprobiert! Deshalb am Router dicht machen bzw. einen anderen Port wählen, welchen der Router dann an 22 der DiskStation durchreicht!

Ohje, ich muss zugeben ich bin da ein ziemlicher Noob in solchen Dingen. Glaube ich habe ssh nur am Anfang ganz kurz genutzt. Ich stelle das ab sobald ich zuhause bin.

Habt ihr sonst noch TIpps was ich auf die schnelle machen kann?

DANKE FÜR DEINE HILFE!

 

[NEMA]

na ja, wenn du erwartest dass jede Firma alle seine Nachrichten in die 197 Sprachen von UN übersetzt...

...197 sind nicht unbedingt notwendig... (Ironie aus...) ABER in Englisch und (als Beispiel für Synology) in den 18 weiteren Sprachen, welche auf ihrer Internetpräsenz auswählbar wäre schon mal ein Anfang.

Gruss

NEMA

 

[jahlives]

@rubhino
sagt dir Heartbleed noch was? Dass dich der erwischen konnte musste man SSL freigeben. Der DSM ohne HTTPS war damals nicht betroffen Aber jeder Dienst der auf openssl aufgesetzt hat. So gesehen schützt auch SSL nicht zwangsläufig und ist manchmal sogar schlechter als unverschlüsselt

 

[TheGardner]

Ohje, ich muss zugeben ich bin da ein ziemlicher Noob in solchen Dingen. Glaube ich habe ssh nur am Anfang ganz kurz genutzt. Ich stelle das ab sobald ich zuhause bin.

Habt ihr sonst noch TIpps was ich auf die schnelle machen kann?

DANKE FÜR DEINE HILFE!

Mann, wenn ich Zeit hätte! Ich würde ne Hotline schalten . Einfach mal heute Abend die Ports am Router kontrollieren und mir schicken! Ich schick dann ne Antwort, was zu kann und was nicht! Wenn der Port 22 nicht genutzt wird - dann ist da schon mal klar: Dicht machen!

 

[schnitzelbrain]

Hab grad meine Syno runtergefahren und die Fritz.box Weiterleitungsports geschlossen..
Sieht zwar alles ok aus aber bin immo auf der Arbeit. Muß dann genau heut abend schauen.
Was mir aufgefallen ist das die Fritzbox bei den Sys Meldungen von der IP der Syno seit 3.8.14 "Authentication failed 401" meldet.
So ca 20mal pro Tag. Sieht nach Brute Force Versuch aus.

Die Meldung kommt vom MyFritz Server. So stehts mal da. Scheint vielleicht mit der AVM Lücke von vor ein paar wochen zusammenzuhängen.
Ich nehme dann mal meine Fritz auch vom Netz.
Schöne neue Welt :-(

 

[drknickel]

Mann, wenn ich Zeit hätte! Ich würde ne Hotline schalten . Einfach mal heute Abend die Ports am Router kontrollieren und mir schicken! Ich schick dann ne Antwort, was zu kann und was nicht! Wenn der Port 22 nicht genutzt wird - dann ist da schon mal klar: Dicht machen!

OMG Danke!!! Ich habe jetzt SSH direkt mal an der Synology dicht gemacht. Zugriff auf meine Fritzbox habe ich erst heute Abend wieder, zumindest die ist nicht mehr übers internet administrierbar
Soll ich den Standard Synology Port 5000 noch ändern? Ansonsten habe ich noch eine robots.txt erstellt und ins web dir gepackt.

 

[alexserikow]

Stimmt Deine Signatur noch? Wenn ja, solltest Du mal, wie Synolgy empfohlen hat, das neuste DSM aufspielen!

 

[TheGardner]

Ich würde den Port lassen! Nicht dass Du Dir den Zugang bis heute Abend verbaust, wenn Du da an der 5000 irgendwas änderst! Aber Faustregel: Wenn Du nie von außerhalb auf die Admin-Oberfläche der DS musst und das nur von zu Hause passiert, dann sollten die 5000 und die 5001 am Router ab heute Abend ausgeschalten werden!
An der DS kann und müssen die offen sein (damit man arbeiten kann), aber am Router am besten dicht! Das Google Ergebnis paar Seiten vorher sagt ja aus, dass viele Leute einfach die 5000er Ports an ihren Routern anschalten, so dass die Suchmaschine ja erst mit der Nase drauf gestoßen werden kann, dass da ne Synology dahinter steht!

 

[schnitzelbrain]

Signatur angepasst. Die war alt, die syno is uptodate

 

[rubinho]

@rubhino
sagt dir Heartbleed noch was?

Ja, mein Mailserver war affected

Dass dich der erwischen konnte musste man SSL freigeben.

Korrekt, aber ich gebe keine administrativen Zugänge nach aussen frei auch nicht verschlüsselt

Der DSM ohne HTTPS war damals nicht betroffen

Stimmt, aber durch eine Man-in-the-Middle-Angriff ist dein Passwort zu jeder Zeit auslesbar.

Aber jeder Dienst der auf openssl aufgesetzt hat.

Stimmt nicht ganz, alle Dienste, die noch mit der 0.9er Version betrieben worden sind, waren nicht betroffen und das sind einige bei mir.

So gesehen schützt auch SSL nicht zwangsläufig und ist manchmal sogar schlechter als unverschlüsselt

Dieses würe ich als gefährliche Aussage einstufen da man es missverstehen könnte. Nein der Meinung bin ich nicht.
Ich gebe die insofern Recht, das SSL wie alles andere keine 100%ige Sicherheit bietet, jedoch ist sie aber jeder unverschlüsselten Verbindung vorzuziehen.

 

[drknickel]

Ich würde den Port lassen! Nicht dass Du Dir den Zugang bis heute Abend verbaust, wenn Du da an der 5000 irgendwas änderst! Aber Faustregel: Wenn Du nie von außerhalb auf die Admin-Oberfläche der DS musst und das nur von zu Hause passiert, dann sollten die 5000 und die 5001 am Router ab heute Abend ausgeschalten werden!

Okay! Oh mann ist das aufregend, bin ganz fertig Ich hab noch nie in meine Protokolle geschaut. Da sind im Sekundentakt connects und Fehlermeldung. Auch ganz viele Connects auf meinen Mailserver etc.

 

[TheGardner]

Da gibts ne Einstellung unter Systemsteuerung - Sicherheit - Automatische Blockierung

Da einfach mal einstellen Nach 5 Versuchen in 3 Minuten 100 Tage blockieren

 

[schnitzelbrain]

So hab ich es stehen, aber die Versuche kommen in größerem zeitlichen Abstand.
Ich denk die wissen davon.

 

[drknickel]

Fuck was ich alles einfach so an habe: Windows Dateidienst (habe keinen Windowsrechner ), Webdav (nie verwendet), CalDav (ebenso) und Printer Bonjour. Ich mach das mal alles aus. Dank Synolocker lerne ich meine DS besser kennen, danke dafür ABER: Mein FTP Zugang hat einen anderen Port! HAHA! Super secure