SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[noiasca]

hab mich heut in der Nacht auch mal durch die google Suche "inurl:webman/index.cgi" gewühlt, eigentlich ziemlich schockierend ...

Wo finde ich meine eigene robots. damit ich der zumindest ein noindex, nofollow verpassen könnte?

 

[Telaran]

Ist das normal - und bei jedem so, dass irgendwer regelmäßig versucht auf das System zuzugreifen oder habe ich hier ein Problem und das ganze steht im Zusammenhang mit dem Synolocker?

Ja es ist normal.
Man nimmt sich nen Rechner, der sucht zuerst alle offenen Ports ab (also IP-Range abackern) und sobald er einen offenen Port findet prüft er, was es für einer ist und entweder sammelt er nur eine Liste für später oder er ackert gleich selber ab (anonymer Login, Login mit Passwortliste z.B. Admin:123456, etc pp).

Ähnliches Bild habe ich z.B. bei meiner Joomla Webseite. Da wird pro Tag bis zu 60 Einlog-Versuche (Automatisiert) geloggt und nach jedem 3. falschen Login die IP gesperrt. Sonst hätte ich da wohl weit mehr versuche

 

[Benares]

@maxx922: Das kommt vor, wenn man den ftp-Port offen hat. Hat mit Synolocker nichts zu tun.
@Erkan75: Nimm die IP raus, sonst gibt's einen Anschiss von den Mods.

 

[Erkan75]

@maxx922: Das kommt vor, wenn man den ftp-Port offen hat. Hat mit Synolocker nichts zu tun.
@Erkan75: Nimm die IP raus, sonst gibt's einen Anschiss von den Mods.

Oh sorry ...war mir nicht bewusst!

 

[schnitzelbrain]

Hier ein aktueller Fall: http://xxx.xxx.xxx.xxx/index.html

"Copyright © 2014 SynoLocker™ All Rights Reserved"

Da fällt mir nix mehr ein.

Also mir sieht es eher wie Brut Force aus, aufgrund von den Log Infos. Vielleicht eine Auth lücke
Wie waren denn die Passwörter von den gehackten so ? Länge und komplexität meine ich.

 

[altas]

so mal aus reiner Neugier...

habt ihr alle das Webinterface über Port 5000/50001 im Internet ereichbar?

 

[Malaka69]

so mal aus reiner Neugier...

habt ihr alle das Webinterface über Port 5000/50001 im Internet ereichbar?

Ich schon. NAS vor 2h über das Netz runtergefahren und von der Frau das LAN-Kabel ausstecken lassen.

Werde heute Abend mal die Logs checken und so eine robots.txt anlegen. Das schreit doch förmlich nach einem Sicherheits-FAQ, oder?

 

[WebBuddha]

so mal aus reiner Neugier...

habt ihr alle das Webinterface über Port 5000/50001 im Internet ereichbar?

Ich hatte bis gestern Port 5001 weitergeleitet. Allerdings nur für bestimmte IP-Adressbereiche.
Zusätzlich habe ich schon seit beginn die Synology Firewall konfiguriert.
Bin aber auch auf DSM 5, welches ja ANGEBLICH nicht betroffen sein soll.

 

[noiasca]

--> grad drübergefallen, gibts sogar im Wiki ...

 

[Erwe]

Das schreit doch förmlich nach einem Sicherheits-FAQ, oder?

Ja, eine Installationsanleitung, die einem Neuling wie mir Schritt für Schritt erklärt, was man tun und was man lassen sollte. Hab' jetzt sicher schon viele Stunden damit verbracht das NAS zu konfigurieren. Und da die Einstellungen ziemlich unlogisch (zumindest für mich) auf verschiedene Dialoge verteilt sind, hab' ich die meiste Zeit mit Suchen (in den Dialogen und mit Google) verbracht.

Noch was: warum runterfahren UND ausstecken? Kann man das NAS über die Ferne hochfahren lassen? Ich dachte das geht nur aus dem Ruhezustand...

 

[Malaka69]

Ja, eine Installationsanleitung, die einem Neuling wie mir Schritt für Schritt erklärt, was man tun und was man lassen sollte. Hab' jetzt sicher schon viele Stunden damit verbracht das NAS zu konfigurieren. Und da die Einstellungen ziemlich unlogisch (zumindest für mich) auf verschiedene Dialoge verteilt sind, hab' ich die meiste Zeit mit Suchen (in den Dialogen und mit Google) verbracht.

Noch was: warum runterfahren UND ausstecken? Kann man das NAS über die Ferne hochfahren lassen? Ich dachte das geht nur aus dem Ruhezustand...

Im Schwabenland sagt man "Der Teufel ist ein Eichhörnchen". Wenn das NAS runtergefahren ist, sollte kein WakeUp over LAN möglich sein, korrekt. Aber wer sagt mir, dass ich es sauber von der Ferne runtergefahren habe und meine Frau mir korrekt gesagt hat, dass alle Lämpchen aus sein ;-)

 

[nachon]

Laut Computerbase gibt es eine offizielle Stellungnahme, die den meisten aber wohl wenig hilft:

Liebe Synology-Kunden,

wir möchten Ihnen ein Update zu SynoLocker geben, einer Ransomware, die einzelne Synology-Server beeinflusst.

Beim Versuch auf das DSM-Interface zu zugreifen, wird die folgende Meldung angezeigt: „All important files on this NAS have been encrypted using strong cryptography“ (dt. „Alle wichtigen Dateien auf diesem NAS wurden mit starker Kryptographie verschlüsselt“) inklusive der Zahlungsanweisungen einer Gebühr, um Ihre Daten zu entsperren.

Was sollten Sie tun, wenn Sie die Nachricht bei der Anmeldung auf DSM sehen?

Schalten Sie unverzüglich Ihre DiskStation aus und vermeiden Sie damit die Verschlüsselung weiterer Dateien.
Kontaktieren Sie unser Support-Team, so dass wir die Situation weiter untersuchen können. Wenn Sie nicht sicher sind, ob Ihre DiskStation betroffen ist, zögern Sie bitte nicht, uns unter security@synology.com zu kontaktieren.
Wir entschuldigen uns vielmals für jedwede dadurch entstandene Umstände. Sobald uns weitere Details zur Verfügung stehen, werden wir Sie darüber informieren.

Unser Support-Team erreichen Sie hier.

Mit freundlichen Grüßen Ihr Synology-Team

Synology

Quelle:
http://www.computerbase.de/2014-08/trojaner-verschluesselt-synology-nas-systeme/

 

[Malaka69]

Ja, eine Installationsanleitung, die einem Neuling wie mir Schritt für Schritt erklärt, was man tun und was man lassen sollte. Hab' jetzt sicher schon viele Stunden damit verbracht das NAS zu konfigurieren. Und da die Einstellungen ziemlich unlogisch (zumindest für mich) auf verschiedene Dialoge verteilt sind, hab' ich die meiste Zeit mit Suchen (in den Dialogen und mit Google) verbracht.

Noch was: warum runterfahren UND ausstecken? Kann man das NAS über die Ferne hochfahren lassen? Ich dachte das geht nur aus dem Ruhezustand...

Da gibt es eine gute Wiki, die aber auch schon wieder sehr umfangreich ist. Verstehe dein Problem. Schwierig...

 

[dil88]

Im Schwabenland sagt man "Der Teufel ist ein Eichhörnchen". Wenn das NAS runtergefahren ist, sollte kein WakeUp over LAN möglich sein, korrekt. Aber wer sagt mir, dass ich es sauber von der Ferne runtergefahren habe und meine Frau mir korrekt gesagt hat, dass alle Lämpchen aus sein ;-)

Dann lass sie das Netzkabel abziehen. Dann ist WOL auch egal, es sei denn, Du hast eine air.

 

[WebBuddha]

Ja, eine Installationsanleitung, die einem Neuling wie mir Schritt für Schritt erklärt, was man tun und was man lassen sollte. Hab' jetzt sicher schon viele Stunden damit verbracht das NAS zu konfigurieren. Und da die Einstellungen ziemlich unlogisch (zumindest für mich) auf verschiedene Dialoge verteilt sind, hab' ich die meiste Zeit mit Suchen (in den Dialogen und mit Google) verbracht.

Noch was: warum runterfahren UND ausstecken? Kann man das NAS über die Ferne hochfahren lassen? Ich dachte das geht nur aus dem Ruhezustand...

Alternativ musst dir jemanden suchen der sich mit der Materie auskennt und dich betreut, bzw. es dir zeigt.

 

[Erwe]

Da gibt es eine gute Wiki, die aber auch schon wieder sehr umfangreich ist. Verstehe dein Problem. Schwierig...

Ich meine so eine Kurzanleitung für die wichtigsten (oder häufigsten) Punkte. Ich tippe mal, daß man am Anfang die Photostation, die Filestation, den Clouddienst nutzen und vielleicht noch eine kleine Homepage basteln will. Die anderen Möglichkeiten werden dann später Schritt für Schritt dazukommen, aber da hat man dann ja schon etwas Erfahrung.

 

[Erwe]

Alternativ musst dir jemanden suchen der sich mit der Materie auskennt und dich betreut, bzw. es dir zeigt.

Das mag in einer Stadt kein Problem sein, am Land ist man da dann doch mehr auf Infos aus dem Netz angewiesen.

 

[Malaka69]

Ich meine so eine Kurzanleitung für die wichtigsten (oder häufigsten) Punkte. Ich tippe mal, daß man am Anfang die Photostation, die Filestation, den Clouddienst nutzen und vielleicht noch eine kleine Homepage basteln will. Die anderen Möglichkeiten werden dann später Schritt für Schritt dazukommen, aber da hat man dann ja schon etwas Erfahrung.

Und dann muss man schon aufpassen, da du dann die Verbindung nach draußen aufmachst. Hast schon Recht mit deinem Bedürfnis!

 

[altas]

Ich habe es so eingerichtet das zum Beispiel Port 3999 auf Port 5001 weitergeleitet ist.

und nicht direkt die Synology Default Ports....

darum würde es mich intressieren ob der SynoLocker auch so was berücksichtigt.

 

[Malaka69]

Dann lass sie das Netzkabel abziehen. Dann ist WOL auch egal, es sei denn, Du hast eine air.

Wo du Recht hast, hast du Recht. Aber da ich die mein NAS nicht mehr erreiche, war das Herunterfahren wohl erfolgreich