SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[jan_gagel]

@alexserikow: ist bei mir ähnlich. Weiter oben war die Rede von System-relevanten Diensten. Also der DSM und Telent / ssh, wenn ich das richtig gelesen hab. In wie weit man über den Webserver (ownClown, Homepage usw..) sich auch was einfangen kann, weiß ich nicht. Wer sicher gehen möchte, sollte wohl alle Ports blockieren. Also die Weiterleitung übergangsweise abschalten. Kannst ja in der Fritzbox alle Portweiterleitungen unter "Freigaben" deaktivieren. Klar geht dann ownCloud nicht mehr, aber die DS ist dann auch definitiv nicht angreifbar. Zumindest nicht direkt.

Trotzdem ist das eine üble Sache

 

[BjoernBo77]

Was mich wundert ist, dass bei einem solch brisantem Thema, diese Info nicht auf der Eingangsseite des Forum steht und bis dato auch noch keine Offizielle Info von Synology kommt. (Weder hier noch via Mail)

 

[alexserikow]

Hast Du die DSM-Updates eingespielt? Welche Version nutzt Du?

Habe die letzte Version für meine DS111 installiert (DSM 5.0-4493 Update 3)

Hast Du die Portweiterleitungen auf diejenigen beschränkt, die Du unbedingt brauchst?

Ich habe in der Fritzbox die Port angegeben die benötigt werden - da sind aber auch welche bei die ich nicht unbedingt brauche.

Nutzt Du verschlüsselte Protokoll und zumindest für administrative Zugriffe VPN?

auf die DSM greife ich über Port 5001 zu, also gesichert. ownCloud bekomme ich aber nicht dazu über https zu kommunizieren...

 

[jahlives]

@Bjoern
weil es bis jetzt eher so ausschaut als seien "alte" Firmware betroffen. Bis jetzt habe ich nirgends eine Info gefunden dass auch 5-er Firmwaren betroffen seien. Wurden immer nur 4.3 oder älter erwähnt und die haben eine altbekannte Riesenlücke. Diese Lücke ist seit Januar bekannt und gefixt.
Bis jetzt gibt es keine Infos über aktuelle Firmwaren welche dieses Problem haben. Meist informieren Hersteller erst wenn sie auch eine Patch haben. Ist bei anderen auch nicht anders. Was sollen wir denn auf der Startseite schreiben? "Aktualisiert regelmässig die Firmware. Oeffnet nur die Ports, die ihr unbedingt braucht. DSM nur via VPN und sicher kein EZ-Internet" All das findet man schon länger hier im Forum.

 

[blinddark]

Bekommst du dann bei owncloud einen Fehler angezeigt? oder gar nichts..

 

[jahlives]

@alexserikow
also DSM würde ich zur Sicherheit mal schliessen. Am besten alle Ports von aussen zu bis man genauer weiss welche Firmwaren betroffen sind und wie der Bruch erfolgt ist. Wenn es die 4.3-er Lücke ist, dann macht SSL oder nicht SSL keinen Unterschied. Da würde wenn nur VPN helfen.
Aktuell scheint es nur 4.3 oder älter zu sein. Was ich mir auch noch vorstellen könnte wären z.B. durch Heartbleed geklaute Admin Zugangsdaten. Ist aber reine Spekulation im Moment

 

[Frogman]

...Aktualisiert regelmässig die Firmware. ....

Damit hast Du sicher Recht. Allerdings bin ich auch hinreichend sprachlos darüber, dass so häufig hier im Forum auch zu hören ist "...keine Ahnung, irgendwas mit 4.x glaube ich..." (leider auch der Ersteller dieses Threads). Anscheinend wird gar nicht so selten kein Augenmerk auf die Pflege des Servers gelegt, von Sicherheitsvorsorge dann mal ganz zu schweigen. Gerade auch bei produktiv verwendeten Geräten für mich überhaupt nicht nachzuvollziehen.... Ist eben genauso gefährlich wie das Betreiben einer Frittenbude ohne Feuerlöscher hinter der Tür - wenn die Wanne dann mal Feuer gefangen hat, bleibt nicht mehr viel übrig...

 

[alexserikow]

Bekommst du dann bei owncloud einen Fehler angezeigt? oder gar nichts..

Er synchronisiert nicht - bekomme aber keine Fehlermeldung...

 

[TeXniXo]

ich hoffe sehr, dass die version 5 (DSM) verschont geblieben ist und diese als sicher eingestuft werden kann!
denn per VPN auf DS erfordert ja doch port-weiterleitungen und das ist ja "widersprüchlich".

 

[alexserikow]

Konnte man denn schon erkennen ob dies Angriffe auf die DS waren oder ob man da geziehlt Benutzer und Passwort wußte (würde ja zu Heartbleed passen)? So kann man dann vielleicht auch Einstellungen bei der DS-Firewall vornehmen...

 

[jan_gagel]

@frogman:
wegen der immer etwas kurioser werdenden Software-Qualität von Synology steht meine DS212+ auch noch mit DSM 4.3 da. Bei der 5 gab es zunächst Probleme, Instabilitäten und gewisse Design-Änderungen, die nicht jedermann schön empfindet. Dann leidet meine DS210j aktuell immernoch unter einem Problem, daß beim Aufrufen des Ressourcen-Monitors die Fehlermeldung kommt, ich solle meine Netzwerkeinstellungen prüfen. Da ich mein Produktiv-System nicht gefährden wollte (auch in Bezug auf den Schwenk von MySQL zu MariaDB), bin ich vorerst bei 4.3 geblieben. Irgendwann hab ich einfach aufgegeben, den langen Faden mit DSM 5 zu lesen.
Ich weiß nicht, irgendwie sträubt sich was in mir, das Update auf DSM 5 durchzuführen.

 

[jahlives]

denn per VPN auf DS erfordert ja doch port-weiterleitungen und das ist ja "widersprüchlich".

widersprüchlich zu was?
Zudem braucht es ja nicht unbedingt eine Portweiterleitung wenn man die DS via Admin PC angreifen würde. Erreichbarkeit eines Systems und Sicherheit ist immer ein Abwägen. Du willst ein 100% sicheres System? Dann keine Netzwerkverbindung, abschalten und in einem Betonsarkophag auf dem Grund des Marianengrabens versenken
Verabschiedet euch vom Gedanken des sicheren Systems. Ueberlegt genau welche Dienste aktiviert und freigegeben werden. Macht Backups, backups und nochmals backups. Legt restriktive Firewallregeln an auch gegenüber dem eigenen LAN. Aktualisiert eure Software regelmässig, auch wenn das u.U. bei Synology nicht immer glatt geht.

 

[alexserikow]

Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:

 

[user0572]

Aktuell scheint es nur 4.3 oder älter zu sein. Was ich mir auch noch vorstellen könnte wären z.B. durch Heartbleed geklaute Admin Zugangsdaten. Ist aber reine Spekulation im Moment

Also wenn es durch die Heartbleed Lücke möglich ist das System zu infizieren ist auch die 5.0 betroffen. An den Screenshots sieht man das auch V5 betroffen ist.







Quelle: ifun.de

 

[isch83]

Allerdings bin ich auch hinreichend sprachlos darüber, dass so häufig hier im Forum auch zu hören ist "...keine Ahnung, irgendwas mit 4.x glaube ich..." (leider auch der Ersteller dieses Threads).

Ohne jemanden angreifen zu wollen ich verstehe das auch nicht! Allerdings sind die Tage um die Monatsmitte doch recht stressig...

Patch Day Microsoft
Patch Day Adobe
Firefox, Thunderbird
Oracle
usw.

hat man 3-4 PC, Notebooks, Tablets, Handy usw. artet das schon in Arbeit aus.

...und es wundert mich nicht das viele noch

XP
Uralt Office
DSM 4.3 und älter

oder auch sonst was einsetzen. Wobei mir auch klar ist das es für den einen oder anderen Relaesestand auch gerne mal einen fachlichen Grund gibt.

So ich schweife ab

 

[jahlives]

ne durch Heartbleed ist es SICHER NICHT möglich das System zu infizieren. Man hätte darüber höchstens Admin Zugangsdaten stehlen können. Mit Heartbleed war kein schreibender Zugriff auf die DS möglich!
Ist dieser Screenshot von dir? Falls nein woher kommt der? Falls er von dir ist, welche Ports hast du offen und auf die DS weitergeleitet? Ist z.B. der DSM offen? Oder ist gat EZ-Internet aktiviert bei dir?

 

[isch83]

Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:
Anhang anzeigen 18378

Mutige Liste Respekt!

Ich glaube die kannst Du ganz gut zusammen schrumpfen. Vieles davon könntest Du über VPN weiternutzen.
Telnet über das Internet ist meiner Meinung nach ein recht offenes Scheunentor.

 

[user0572]

@jahlives
Man kann jetzt das Erbsenzählen anfangen und nein die Screenshots sind von ifun.de, die haben die aber auch nur aus einem Synology Forum aus Hong Kong.

 

[Frogman]

Also wenn es durch die Heartbleed Lücke möglich ist das System zu infizieren ist auch die 5.0 betroffen.

Ein unscheinbarer, dennoch aber essentieller Unterschied: die Infizierung würde nicht durch den Heartbleed-Bug erfolgen! Dieser wäre nur geeignet, sich der Zugangsdaten für einen admin-Account zu bemächtigen und damit regulär Zugang zum System zu bekommen, um im Weiteren dann den Schädling zu platzieren.

EDIT
jahlives war schneller...
@user0572: Dennoch ist das keine Erbsenzählerei! Man muss sich schon die Mühe machen, genauer hinzuschauen - alles andere verunsichert nur noch mehr!

 

[jan_gagel]

Bin am überlegen ob ich die DS nicht kurzfristig komplett vom Internet trenne...

Habe folgende Ports offen:
Anhang anzeigen 18378

Du bist sicher, daß du alle Ports wirklich brauchst? Ich würde auf JEDEN FALL diese hier schließen:

20 (solange sich dort der admin anmelden kann, kann er das nicht, könnte man es offen lassen. Ich habs trotzdem geschlossen bei mir)
21 (solange sich dort der admin anmelden kann, kann er das nicht, könnte man es offen lassen. Ich habs trotzdem geschlossen bei mir)
23
5001
(5006) würde ich auch lieber schließen
7001
Apps DS

Die CloudStation ist auch von Synology, falls die extern nicht aktiv genutzt wird, würde ich das auch schließen. Aktuell wäre mir es zu gefährlich. Könnte ja sein, daß irgendwo im System ein Bug ist, den der Angreifer ausnutzen kann, um tiefgreifende Rechte zu bekommen.

Ohne jemanden angreifen zu wollen ich verstehe das auch nicht! Allerdings sind die Tage um die Monatsmitte doch recht stressig...

Patch Day Microsoft
Patch Day Adobe
Firefox, Thunderbird
Oracle
usw.

hat man 3-4 PC, Notebooks, Tablets, Handy usw. artet das schon in Arbeit aus.

...und es wundert mich nicht das viele noch

XP
Uralt Office
DSM 4.3 und älter

oder auch sonst was einsetzen. Wobei mir auch klar ist das es für den einen oder anderen Relaesestand auch gerne mal einen fachlichen Grund gibt.

So ich schweife ab

Man lege einfach ein Windows-Notebook mal in den Schrank und benötige es nur alle 2 bis 3 Monate mal. Schon nach 1 Monat ist man damit beschäftigt, Tonnenweise Updates zu installieren. Betriebssystem, Flash-Player, Browser, Java und und und.. Ich hab z. B. ein älteres Netbook für mein Auto, um den Bordcomputer auszulesen und ggf. Fehlermeldungen zu analysieren und zu löschen. Das braucht man nicht täglich und wenn man es dann alle paar Wochen bis Monate mal einschaltet - das ist einfach nur gruselig. Wenn man schnell mal was schauen möchte, muß man ständig neu starten oder unendlich lang warten, bis die Updates eingenudelt sind.