SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0
@alexserikow: ist bei mir ähnlich. Weiter oben war die Rede von System-relevanten Diensten. Also der DSM und Telent / ssh, wenn ich das richtig gelesen hab. In wie weit man über den Webserver (ownClown, Homepage usw..) sich auch was einfangen kann, weiß ich nicht. Wer sicher gehen möchte, sollte wohl alle Ports blockieren. Also die Weiterleitung übergangsweise abschalten. Kannst ja in der Fritzbox alle Portweiterleitungen unter "Freigaben" deaktivieren. Klar geht dann ownCloud nicht mehr, aber die DS ist dann auch definitiv nicht angreifbar. Zumindest nicht direkt.

Trotzdem ist das eine üble Sache
 

BjoernBo77

Benutzer
Mitglied seit
14. Mai 2014
Beiträge
66
Punkte für Reaktionen
0
Punkte
0
Was mich wundert ist, dass bei einem solch brisantem Thema, diese Info nicht auf der Eingangsseite des Forum steht und bis dato auch noch keine Offizielle Info von Synology kommt. (Weder hier noch via Mail)
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Hast Du die DSM-Updates eingespielt? Welche Version nutzt Du?
Habe die letzte Version für meine DS111 installiert (DSM 5.0-4493 Update 3)
Hast Du die Portweiterleitungen auf diejenigen beschränkt, die Du unbedingt brauchst?
Ich habe in der Fritzbox die Port angegeben die benötigt werden - da sind aber auch welche bei die ich nicht unbedingt brauche.
Nutzt Du verschlüsselte Protokoll und zumindest für administrative Zugriffe VPN?
auf die DSM greife ich über Port 5001 zu, also gesichert. ownCloud bekomme ich aber nicht dazu über https zu kommunizieren...
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@Bjoern
weil es bis jetzt eher so ausschaut als seien "alte" Firmware betroffen. Bis jetzt habe ich nirgends eine Info gefunden dass auch 5-er Firmwaren betroffen seien. Wurden immer nur 4.3 oder älter erwähnt und die haben eine altbekannte Riesenlücke. Diese Lücke ist seit Januar bekannt und gefixt.
Bis jetzt gibt es keine Infos über aktuelle Firmwaren welche dieses Problem haben. Meist informieren Hersteller erst wenn sie auch eine Patch haben. Ist bei anderen auch nicht anders. Was sollen wir denn auf der Startseite schreiben? "Aktualisiert regelmässig die Firmware. Oeffnet nur die Ports, die ihr unbedingt braucht. DSM nur via VPN und sicher kein EZ-Internet" All das findet man schon länger hier im Forum.
 

blinddark

Benutzer
Mitglied seit
03. Jan 2013
Beiträge
1.386
Punkte für Reaktionen
34
Punkte
68
Bekommst du dann bei owncloud einen Fehler angezeigt? oder gar nichts..
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@alexserikow
also DSM würde ich zur Sicherheit mal schliessen. Am besten alle Ports von aussen zu bis man genauer weiss welche Firmwaren betroffen sind und wie der Bruch erfolgt ist. Wenn es die 4.3-er Lücke ist, dann macht SSL oder nicht SSL keinen Unterschied. Da würde wenn nur VPN helfen.
Aktuell scheint es nur 4.3 oder älter zu sein. Was ich mir auch noch vorstellen könnte wären z.B. durch Heartbleed geklaute Admin Zugangsdaten. Ist aber reine Spekulation im Moment
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
...Aktualisiert regelmässig die Firmware. ....
Damit hast Du sicher Recht. Allerdings bin ich auch hinreichend sprachlos darüber, dass so häufig hier im Forum auch zu hören ist "...keine Ahnung, irgendwas mit 4.x glaube ich..." (leider auch der Ersteller dieses Threads). Anscheinend wird gar nicht so selten kein Augenmerk auf die Pflege des Servers gelegt, von Sicherheitsvorsorge dann mal ganz zu schweigen. Gerade auch bei produktiv verwendeten Geräten für mich überhaupt nicht nachzuvollziehen.... Ist eben genauso gefährlich wie das Betreiben einer Frittenbude ohne Feuerlöscher hinter der Tür - wenn die Wanne dann mal Feuer gefangen hat, bleibt nicht mehr viel übrig...
 

TeXniXo

Benutzer
Mitglied seit
07. Mai 2012
Beiträge
4.948
Punkte für Reaktionen
100
Punkte
134
ich hoffe sehr, dass die version 5 (DSM) verschont geblieben ist und diese als sicher eingestuft werden kann!
denn per VPN auf DS erfordert ja doch port-weiterleitungen und das ist ja "widersprüchlich".
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Konnte man denn schon erkennen ob dies Angriffe auf die DS waren oder ob man da geziehlt Benutzer und Passwort wußte (würde ja zu Heartbleed passen)? So kann man dann vielleicht auch Einstellungen bei der DS-Firewall vornehmen...
 

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0
@frogman:
wegen der immer etwas kurioser werdenden Software-Qualität von Synology steht meine DS212+ auch noch mit DSM 4.3 da. Bei der 5 gab es zunächst Probleme, Instabilitäten und gewisse Design-Änderungen, die nicht jedermann schön empfindet. Dann leidet meine DS210j aktuell immernoch unter einem Problem, daß beim Aufrufen des Ressourcen-Monitors die Fehlermeldung kommt, ich solle meine Netzwerkeinstellungen prüfen. Da ich mein Produktiv-System nicht gefährden wollte (auch in Bezug auf den Schwenk von MySQL zu MariaDB), bin ich vorerst bei 4.3 geblieben. Irgendwann hab ich einfach aufgegeben, den langen Faden mit DSM 5 zu lesen.
Ich weiß nicht, irgendwie sträubt sich was in mir, das Update auf DSM 5 durchzuführen.
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
denn per VPN auf DS erfordert ja doch port-weiterleitungen und das ist ja "widersprüchlich".
widersprüchlich zu was? :)
Zudem braucht es ja nicht unbedingt eine Portweiterleitung wenn man die DS via Admin PC angreifen würde. Erreichbarkeit eines Systems und Sicherheit ist immer ein Abwägen. Du willst ein 100% sicheres System? Dann keine Netzwerkverbindung, abschalten und in einem Betonsarkophag auf dem Grund des Marianengrabens versenken :)
Verabschiedet euch vom Gedanken des sicheren Systems. Ueberlegt genau welche Dienste aktiviert und freigegeben werden. Macht Backups, backups und nochmals backups. Legt restriktive Firewallregeln an auch gegenüber dem eigenen LAN. Aktualisiert eure Software regelmässig, auch wenn das u.U. bei Synology nicht immer glatt geht.
 

alexserikow

Benutzer
Mitglied seit
23. Feb 2011
Beiträge
877
Punkte für Reaktionen
0
Punkte
36
Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:
Ports DS.JPG
 

user0572

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Aktuell scheint es nur 4.3 oder älter zu sein. Was ich mir auch noch vorstellen könnte wären z.B. durch Heartbleed geklaute Admin Zugangsdaten. Ist aber reine Spekulation im Moment

Also wenn es durch die Heartbleed Lücke möglich ist das System zu infizieren ist auch die 5.0 betroffen. An den Screenshots sieht man das auch V5 betroffen ist.


syno-locker.jpg

1408031247d9b3ec75ee28c3b2.jpg


Quelle: ifun.de
 
Zuletzt bearbeitet:

isch83

Benutzer
Mitglied seit
19. Jul 2012
Beiträge
330
Punkte für Reaktionen
1
Punkte
18
Allerdings bin ich auch hinreichend sprachlos darüber, dass so häufig hier im Forum auch zu hören ist "...keine Ahnung, irgendwas mit 4.x glaube ich..." (leider auch der Ersteller dieses Threads).

Ohne jemanden angreifen zu wollen ich verstehe das auch nicht! Allerdings sind die Tage um die Monatsmitte doch recht stressig...

Patch Day Microsoft
Patch Day Adobe
Firefox, Thunderbird
Oracle
usw.

hat man 3-4 PC, Notebooks, Tablets, Handy usw. artet das schon in Arbeit aus.

...und es wundert mich nicht das viele noch

XP
Uralt Office
DSM 4.3 und älter

oder auch sonst was einsetzen. Wobei mir auch klar ist das es für den einen oder anderen Relaesestand auch gerne mal einen fachlichen Grund gibt.

So ich schweife ab :)
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
ne durch Heartbleed ist es SICHER NICHT möglich das System zu infizieren. Man hätte darüber höchstens Admin Zugangsdaten stehlen können. Mit Heartbleed war kein schreibender Zugriff auf die DS möglich!
Ist dieser Screenshot von dir? Falls nein woher kommt der? Falls er von dir ist, welche Ports hast du offen und auf die DS weitergeleitet? Ist z.B. der DSM offen? Oder ist gat EZ-Internet aktiviert bei dir?
 

isch83

Benutzer
Mitglied seit
19. Jul 2012
Beiträge
330
Punkte für Reaktionen
1
Punkte
18
Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:
Anhang anzeigen 18378


Mutige Liste :) Respekt!

Ich glaube die kannst Du ganz gut zusammen schrumpfen. Vieles davon könntest Du über VPN weiternutzen.
Telnet über das Internet ist meiner Meinung nach ein recht offenes Scheunentor.
 

user0572

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
@jahlives
Man kann jetzt das Erbsenzählen anfangen und nein die Screenshots sind von ifun.de, die haben die aber auch nur aus einem Synology Forum aus Hong Kong.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Also wenn es durch die Heartbleed Lücke möglich ist das System zu infizieren ist auch die 5.0 betroffen.
Ein unscheinbarer, dennoch aber essentieller Unterschied: die Infizierung würde nicht durch den Heartbleed-Bug erfolgen! Dieser wäre nur geeignet, sich der Zugangsdaten für einen admin-Account zu bemächtigen und damit regulär Zugang zum System zu bekommen, um im Weiteren dann den Schädling zu platzieren.

EDIT
jahlives war schneller... :)
@user0572: Dennoch ist das keine Erbsenzählerei! Man muss sich schon die Mühe machen, genauer hinzuschauen - alles andere verunsichert nur noch mehr!
 
Zuletzt bearbeitet:

jan_gagel

Benutzer
Mitglied seit
05. Apr 2010
Beiträge
1.890
Punkte für Reaktionen
1
Punkte
0
Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:
Anhang anzeigen 18378

Du bist sicher, daß du alle Ports wirklich brauchst? Ich würde auf JEDEN FALL diese hier schließen:

20 (solange sich dort der admin anmelden kann, kann er das nicht, könnte man es offen lassen. Ich habs trotzdem geschlossen bei mir)
21 (solange sich dort der admin anmelden kann, kann er das nicht, könnte man es offen lassen. Ich habs trotzdem geschlossen bei mir)
23
5001
(5006) würde ich auch lieber schließen
7001
Apps DS

Die CloudStation ist auch von Synology, falls die extern nicht aktiv genutzt wird, würde ich das auch schließen. Aktuell wäre mir es zu gefährlich. Könnte ja sein, daß irgendwo im System ein Bug ist, den der Angreifer ausnutzen kann, um tiefgreifende Rechte zu bekommen.


Ohne jemanden angreifen zu wollen ich verstehe das auch nicht! Allerdings sind die Tage um die Monatsmitte doch recht stressig...

Patch Day Microsoft
Patch Day Adobe
Firefox, Thunderbird
Oracle
usw.

hat man 3-4 PC, Notebooks, Tablets, Handy usw. artet das schon in Arbeit aus.

...und es wundert mich nicht das viele noch

XP
Uralt Office
DSM 4.3 und älter

oder auch sonst was einsetzen. Wobei mir auch klar ist das es für den einen oder anderen Relaesestand auch gerne mal einen fachlichen Grund gibt.

So ich schweife ab :)

Man lege einfach ein Windows-Notebook mal in den Schrank und benötige es nur alle 2 bis 3 Monate mal. Schon nach 1 Monat ist man damit beschäftigt, Tonnenweise Updates zu installieren. Betriebssystem, Flash-Player, Browser, Java und und und.. Ich hab z. B. ein älteres Netbook für mein Auto, um den Bordcomputer auszulesen und ggf. Fehlermeldungen zu analysieren und zu löschen. Das braucht man nicht täglich und wenn man es dann alle paar Wochen bis Monate mal einschaltet - das ist einfach nur gruselig. Wenn man schnell mal was schauen möchte, muß man ständig neu starten oder unendlich lang warten, bis die Updates eingenudelt sind.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat