Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Ist es wirklich so, dass die AngreiferInnen ein soviel höheres Risiko eigehen jeden zu entschlüsseln, zumindest <70% der InfiziertInnen?
SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker
- Ersteller jony
- Erstellt am
- Status
- Mitglied seit
- 03. Sep 2012
- Beiträge
- 30.445
- Punkte für Reaktionen
- 1.828
- Punkte
- 804
Ich habe die Existenz von killall vor meinem Posting auf der DS natürlich überprüft. Und die Sache mit killall habe ich gerade auf der DS überprüft: Deine Aussage ist nicht richtig. Ein ./test.sh & wird mit killall test.sh gekillt. Sonst wäre der Befehl auch witzlos.
Hallo,
@jony
könntest Du nach Fertigstellung die Datei /etc/synolock/synolock irgendwo hochladen damit da ein wenig analysiert werden kann?
Gruß Götz
@jony
könntest Du nach Fertigstellung die Datei /etc/synolock/synolock irgendwo hochladen damit da ein wenig analysiert werden kann?
Gruß Götz
Was magst Du denn genau nicht, vermutlich hast Du etwas mißverstanden. Mein Beitrag zielt darauf ab, daß zumindest dem hier regelmäßig lesendem Publikum die Punkte größtenteils bekannt sein sollten. Genauso soll der Beitrag verdeutlichen, daß Synology sich im Umgang mit Sicherheitsproblemen nicht wirklich verbessert hat. Neulinge, die hier im Forum um Rat fragen, sollten gar nicht adressiert werden – war allerdings auch nicht explizit erwähnt
Die ganze Thematik hat mit Informatik eigentlich recht wenig zu tun. Auch ein Computer ist zunächst nur eines der Werkzeuge eines Informatikers.
@goetz
Ja ich werde gerne helfen den Angriff zu analysieren sobald ich unsere Daten gesichert habe.
@frogman
Ich habe etwas die Kommentare auf Twitter und den diversen Foren gelesen und bisher war auch noch kein einziger Kommentar von jemandem der bezahlt hat und nichts bekommen. Ich als Erpresser würde wenn ich könnte auch wieder alle Daten frei geben denn A) bleiben die Leute eher fahrlässig wenn es mit etwas Kleingeld erledugt ist B) zahlen mehr wenn die Leute wissen es geht tatsächlich C) Sind meine zukünftigen Angriffe rentabler wenn die Leute wissen ich liefere ihre Daten bei bezahlung... Ganz ehrlich das ganze bezahlen und key erhalten + dekodieren war alles automatisiert und smoove als würde ich eine Winterjack bei Zalando kaufen. Der schwierigste und mühsamste Teil an dem ganzen war die blöden Bitcoins aufzutreiben...
Ja ich werde gerne helfen den Angriff zu analysieren sobald ich unsere Daten gesichert habe.
@frogman
Ich habe etwas die Kommentare auf Twitter und den diversen Foren gelesen und bisher war auch noch kein einziger Kommentar von jemandem der bezahlt hat und nichts bekommen. Ich als Erpresser würde wenn ich könnte auch wieder alle Daten frei geben denn A) bleiben die Leute eher fahrlässig wenn es mit etwas Kleingeld erledugt ist B) zahlen mehr wenn die Leute wissen es geht tatsächlich C) Sind meine zukünftigen Angriffe rentabler wenn die Leute wissen ich liefere ihre Daten bei bezahlung... Ganz ehrlich das ganze bezahlen und key erhalten + dekodieren war alles automatisiert und smoove als würde ich eine Winterjack bei Zalando kaufen. Der schwierigste und mühsamste Teil an dem ganzen war die blöden Bitcoins aufzutreiben...
Freut mich, dass ihr Glück im Unglück habt. Ist schon interessant, dass du als Thread-Starter nun auch erfolgreich deine Daten wieder entschlüsseln kannst. Das ist wohl sehr großes Glück.
Habe mir schon überlegt eine zweite NAS anzuschaffen, um sie zusätzlich für Offline-Backup einzurichten und ggf. sehr schnell wieder an Daten zu kommen. Aber wie gesagt, die Wahrscheinlichkeit, dass ich getroffen werde, ist für mich persönlich sehr gering. Schlimmstenfalls zahle ich 270,- EUR, sogar etwas weniger, als das was mich NAS und HDs kosten würden.
Ist natürlich etwas ketzerisch gemeint, aber eine berechtigte Überlegung wie ich finde. Denn was hier passiert ist Panikmache und keiner hat mal analysiert wie hoch das Risiko tatsächlich ist, wenn man schon nur einfache Sicherheitsvorkehrungen trifft, die auch jeder DAU wenn er im Internet nach "Synology Sicherheit DS" googelt treffen kann.
Ich werde mein Port 5001 ändern. Und SSH mit Port 22 verwende ich nur, da ich mit Board-Mitteln Synologys Datensicherung bzw. Synchronisierung nicht beibringen kann einen anderen Port zu verwenden. Sicherung findet über das Internet statt. Aber wie gesagt, habe keine Attacken über Port 22.
Im LAN würde ich wahrscheinlich keine Verschlüsselung verwenden, habe nämlich keinen öffentlichen HotSpot eingerichtet. Außerdem haben Gäste bei mir immer einen Gastzugang und nur Zugriff auf das Internet, aber nicht Intranet.
Also das ist das erste sinnvolle Beitrag, den ich heute von dir gelesen habe.
Ist schon interessant, dass du als Thread-Starter nun auch erfolgreich deine Daten wieder entschlüsseln kannst. Das ist wohl sehr großes Glück.Habe mir schon überlegt eine zweite NAS anzuschaffen, um sie zusätzlich für Offline-Backup einzurichten und ggf. sehr schnell wieder an Daten zu kommen. Aber wie gesagt, die Wahrscheinlichkeit, dass ich getroffen werde, ist für mich persönlich sehr gering. Schlimmstenfalls zahle ich 270,- EUR, sogar etwas weniger, als das was mich NAS und HDs kosten würden.
Ist natürlich etwas ketzerisch gemeint, aber eine berechtigte Überlegung wie ich finde. Denn was hier passiert ist Panikmache und keiner hat mal analysiert wie hoch das Risiko tatsächlich ist, wenn man schon nur einfache Sicherheitsvorkehrungen trifft, die auch jeder DAU wenn er im Internet nach "Synology Sicherheit DS" googelt treffen kann.
Ich werde mein Port 5001 ändern. Und SSH mit Port 22 verwende ich nur, da ich mit Board-Mitteln Synologys Datensicherung bzw. Synchronisierung nicht beibringen kann einen anderen Port zu verwenden. Sicherung findet über das Internet statt. Aber wie gesagt, habe keine Attacken über Port 22.
Im LAN würde ich wahrscheinlich keine Verschlüsselung verwenden, habe nämlich keinen öffentlichen HotSpot eingerichtet. Außerdem haben Gäste bei mir immer einen Gastzugang und nur Zugriff auf das Internet, aber nicht Intranet.
Aller Anfang ist halt schwer, besonders in der IT-Welt.
Man muss und kann ja nicht alles wissen. Du brauchst also kein Firewallfachmann zu sein, um dein NAS ans Netz zu hängen.
Es sollte dir vom Prinzip her klar sein, wie eine Firewall arbeitet bzw. was NAT und Portforwarding macht und dann gibt es noch das Thema VPN für den fortgeschrittenen User
Desweiteren solltest du dir über die Konsequenzen bewusst sein und die daraus resultierenden Notwendigkeiten um deine Daten zu sichern bzw deine Daten vor Anderen zu schützen.
Aber jetzt nicht falsch verstehen, diese Vorkehrungen benötigst du in erster Linie dann, wenn du dein NAS von der Ferne aus, aus dem Internet aus erreichen willst, nicht der normale lokale Betrieb in deinem Netz.
Um das Alles jetzt zu erklären würde hier den Rahmen sprengen und wäre auch hier in diesem Thread fehl am Platz.
Also das ist das erste sinnvolle Beitrag, den ich heute von dir gelesen habe.
Zuletzt bearbeitet:
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Rich (BBCode):
DiskStation> ps -w | grep 'test'
4326 root 4716 S grep test
31139 root 4712 S /bin/sh ./test
DiskStation> killall -kill test
killall: test: no process killed
DiskStation> killall test
killall: test: no process killed
DiskStation> ps -w | grep 'test' | head -n 2 | cut -d ' ' -f 1 | xargs kill -kill
DiskStation> ps -w | grep 'test'
10739 root 4716 R grep test
DiskStation>Allerdings ist mir aufgefallen, dass die Prozess-ID auch 4stellig sein kann, daher habe ich eine zweite Zeile in mein Skript eingefügt (an eine dreistellige ID glaube ich als Agnostiker nicht):
Rich (BBCode):
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 1 | xargs kill -kill 2>/dev/null
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 2 | xargs kill -kill 2>/dev/nullFür alle, die ein wenig Anleitung beim Einrichten der NAS brachen, kann ich das Synology Wiki empfehlen.
Auch wenn es den Betroffenen jetzt nicht mehr hilft....
Hier steht auch schon seit Ende 2013 drin, dass die Verschlüsselung über Port 1723 in Vbdg mit PPTP geknackt wurde und daher nicht sicher ist:
http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports
Was mich persönlich so stört ist, dass die Vermarktung insb. der kleineren NAS-Geräte sich durchaus an unbedarfte Privatanwender richtet, gleichzeitig aber die Geräte mit allen Scheunentoren zum Internet offen ausgeliefert werden (Firewall deaktiviert, viel zu viele Dienste und Protokolle vorausgewählt, http statt htttps vorausgewählt, keine Warnmeldungen).
Hier hat Synology noch viel Arbeit vor sich!
Auch wenn es den Betroffenen jetzt nicht mehr hilft....
Hier steht auch schon seit Ende 2013 drin, dass die Verschlüsselung über Port 1723 in Vbdg mit PPTP geknackt wurde und daher nicht sicher ist:
http://www.synology-wiki.de/index.p...ste_über_Internet#Liste_der_verwendeten_Ports
Was mich persönlich so stört ist, dass die Vermarktung insb. der kleineren NAS-Geräte sich durchaus an unbedarfte Privatanwender richtet, gleichzeitig aber die Geräte mit allen Scheunentoren zum Internet offen ausgeliefert werden (Firewall deaktiviert, viel zu viele Dienste und Protokolle vorausgewählt, http statt htttps vorausgewählt, keine Warnmeldungen).
Hier hat Synology noch viel Arbeit vor sich!
Leider gibt es genügend Nutzer, die a) möglichst viele Dienste erreichbar machen und sich b) mit den notwendigen Hintergründen nicht wirklich beschäftigen möchten. Die Nachfrage ist vorhanden und wird von den Anbietern (und dazu zählt nicht nur Synology) eben befriedigt.
Was magst Du denn genau nicht, vermutlich hast Du etwas mißverstanden. Mein Beitrag zielt darauf ab, daß zumindest dem hier regelmäßig lesendem Publikum die Punkte größtenteils bekannt sein sollten. Genauso soll der Beitrag verdeutlichen, daß Synology sich im Umgang mit Sicherheitsproblemen nicht wirklich verbessert hat. Neulinge, die hier im Forum um Rat fragen, sollten gar nicht adressiert werden – war allerdings auch nicht explizit erwähnt
Dein Beitrag hat keine Alternativen aufgezeigt. Welche Alternativen gibt es zu einer Synology NAS? Ist QNap besser, oder WD, usw.? Wenn ich A sage, dann sage ich auch B.
Ein Computer und sonstige elektronischen Geräte sind Werkzeuge, die jedem den Alltag noch komfortabler gestalten sollen und nicht ausschließlich Informatikern vorbehalten sind.
Ist eine NAS nur was für Informatiker? Aber das geht jetzt zu weit. Ich finde es einfach nur peinlich wie sich einige hier selbst beweihräuchern. Ich sage nur Sophos.
Hm.... irgendwie könnte man fast vermuten, dass jony hier sogar noch Werbung für die Jungs macht.
"Extrem professionell", "alles automatisiert und smooth", so nach dem Motto "alles prima gelaufen, gerne wieder!"
Nichts für ungut, aber mit gerade mal 8 Beiträgen hat hier wohl noch niemand so hohe Welle geschlagen. Irgendwie erweckt das in mir einiges an Misstrauen.
"Extrem professionell", "alles automatisiert und smooth", so nach dem Motto "alles prima gelaufen, gerne wieder!"
Nichts für ungut, aber mit gerade mal 8 Beiträgen hat hier wohl noch niemand so hohe Welle geschlagen. Irgendwie erweckt das in mir einiges an Misstrauen.
Was ich mich grad Frage: Port 1723 gehört doch zu PPTP, oder?
Das setzt doch selten jemand ein. Darauf soll SynoLocker aufbauen? - glaub ich nicht (ok, zugegeben, ich hab nicht alle 471 Beiträge gelesen).
Das setzt doch selten jemand ein. Darauf soll SynoLocker aufbauen? - glaub ich nicht (ok, zugegeben, ich hab nicht alle 471 Beiträge gelesen).
- Mitglied seit
- 05. Sep 2012
- Beiträge
- 3.258
- Punkte für Reaktionen
- 598
- Punkte
- 174
Also wenn das Problem tatsächlich an PPTP liegt dann verwundert es mich sehr dass PPTP seit diesem Artikel überhaupt noch jemand verwendet....
Als ich damals den Artikel gelesen habe war für mich ab diesem Zeitpunkt Schluss mit PPTP.
Gruß
luddi
Als ich damals den Artikel gelesen habe war für mich ab diesem Zeitpunkt Schluss mit PPTP.
Gruß
luddi
okay nur dass wir uns verstehen wir haben überhaupt kein Interesse das ganz zu beschönigen, hauptsächlich war Dummheit unsererseits das Problem... Dass wir die Daten oder einen Teil davon wieder haben war Glück und niemand sollte es riskieren und wir werden unsere IT Security ganz anders angehen müssen... das war ein Schuss in den Bug.
Wir waren wohl bei den ersten die Sonntag den Angriff bemerkt haben und wir haben uns ziemlich schnell dazu entschlossen zu versuchen was ist wenn wir auf die Forderung eingehen denn ein Versuch wars wert bei dem alten Backup das wir hatten. Wer ein aktuelles Backup hat soll die DS mit Hilfe Synolgy neu aufsetzen updaten und gut ist aber wir wollten nicht die DS sondern die Daten retten.
Ach ja die Hacker haben gerade die 100 Bitcoin PR überwiesen, nein Spass bei Seite wir haben bereits Montag eine Anzeige bei der Polizei erstellt im Wissen dass dies nichts bringt aber es geht um's Prinzip.
Wie gesagt updatet eure System, macht Backups und lest die vielen Hinweise zu Ports und Einstellungen hier. Wir waren auch so DAU user mit Standard Einstellungen und ohne grosse IT Security Hilfe oder Kentnissen und wir haben nun unser Lerngeld bezahlt.
Wir waren wohl bei den ersten die Sonntag den Angriff bemerkt haben und wir haben uns ziemlich schnell dazu entschlossen zu versuchen was ist wenn wir auf die Forderung eingehen denn ein Versuch wars wert bei dem alten Backup das wir hatten. Wer ein aktuelles Backup hat soll die DS mit Hilfe Synolgy neu aufsetzen updaten und gut ist aber wir wollten nicht die DS sondern die Daten retten.
Ach ja die Hacker haben gerade die 100 Bitcoin PR überwiesen, nein Spass bei Seite wir haben bereits Montag eine Anzeige bei der Polizei erstellt im Wissen dass dies nichts bringt aber es geht um's Prinzip.
Wie gesagt updatet eure System, macht Backups und lest die vielen Hinweise zu Ports und Einstellungen hier. Wir waren auch so DAU user mit Standard Einstellungen und ohne grosse IT Security Hilfe oder Kentnissen und wir haben nun unser Lerngeld bezahlt.
Also diese kleinen NAS machen vieles, aber warum meint jemand die sind besonders anfällig und wer diese ins Internet stellt handelt grob fahrlässig?
Ich habe immer noch ein Platz auf einem Server gemietet, billig, da kann man nicht viel erwarten. Wir im Schnitt alle 3 Monate komplett zerstört, der Betreiber spielt dann Backup auf und fertig.
Bei der com für die ich arbeite, sind unsere kommerziell gehosteten Server auch regelmässig Ziel, na ja das wenig Webserver was wir da haben spielen wir wieder zurück wenn es zerhackt wird.
Also ich sehe keinen besonderen Nachteil bei der Verwendung eines NAS für private Zwecke in solchem Fall.
Die Sicherheit welche die Provider mir anbieten ist sooo viel auch nicht besser. Zumindest nicht für das Geld welches ich zahle.
Ich habe immer noch ein Platz auf einem Server gemietet, billig, da kann man nicht viel erwarten. Wir im Schnitt alle 3 Monate komplett zerstört, der Betreiber spielt dann Backup auf und fertig.
Bei der com für die ich arbeite, sind unsere kommerziell gehosteten Server auch regelmässig Ziel, na ja das wenig Webserver was wir da haben spielen wir wieder zurück wenn es zerhackt wird.
Also ich sehe keinen besonderen Nachteil bei der Verwendung eines NAS für private Zwecke in solchem Fall.
Die Sicherheit welche die Provider mir anbieten ist sooo viel auch nicht besser. Zumindest nicht für das Geld welches ich zahle.
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Wenn PPTP die Schwachstelle sein soll, wieso lautet das Statement bisher, dass nur DSM 4.3 und früher betroffen sei?
Wenn man OpenVPN nur herunterlädt im Packetshop schlägt DSM 5.0 automatisch vier oder fünf neue Regeln für die Firewall vor, bei denen unter anderem Port 1723 aufgemacht wird....was zugegebenermaßen noch nicht bedeutet, dass diese Ports auch gerootet sind.
Ich halte es schon für möglich, dass gezielt dieser Port angegriffen wird, da Firmen deutlich eher VPN einsetzen als Privatuser und diese eine deutlich höhere Bereitschaft und Möglichkeit haben das Erpressungsgelt zu bezahlen.
Ich halte es schon für möglich, dass gezielt dieser Port angegriffen wird, da Firmen deutlich eher VPN einsetzen als Privatuser und diese eine deutlich höhere Bereitschaft und Möglichkeit haben das Erpressungsgelt zu bezahlen.
@Puppetmaster
Die Info ist nur für uns als betroffene gültig, die Frage war was wir auf dem Router eingestellt haben. Ich habe das angeschaut und wir hatten auf dem Router bei Firewall Regeln: VPN-PPTP aktiv und unter Portweiterleitungen PPTP Erster Port:1723, Letzter Port: 1723. Ansonsten Standardeinstellungen Netgear + das übliche (DHCP, WLAN mit WPA2-PSK, usw.)
Auf dem Nas selber lief unserer Meinung nach nichts spezifisches, wir haben aber auch keine Standardeinstellungen geändert oder die Sicherheit erhöht + war die Firmware wie gesagt alt 4.x (kann ich genau sagen nach Daten Rettung). Die User auf dem Nas waren mit Passwörter geschützt aber vermutlich zu schwache Passwörter. Keine ganz billigen Nummern ala 1234 aber halt kurz und einfach zu merken für die User.
Die Info ist nur für uns als betroffene gültig, die Frage war was wir auf dem Router eingestellt haben. Ich habe das angeschaut und wir hatten auf dem Router bei Firewall Regeln: VPN-PPTP aktiv und unter Portweiterleitungen PPTP Erster Port:1723, Letzter Port: 1723. Ansonsten Standardeinstellungen Netgear + das übliche (DHCP, WLAN mit WPA2-PSK, usw.)
Auf dem Nas selber lief unserer Meinung nach nichts spezifisches, wir haben aber auch keine Standardeinstellungen geändert oder die Sicherheit erhöht + war die Firmware wie gesagt alt 4.x (kann ich genau sagen nach Daten Rettung). Die User auf dem Nas waren mit Passwörter geschützt aber vermutlich zu schwache Passwörter. Keine ganz billigen Nummern ala 1234 aber halt kurz und einfach zu merken für die User.
Wenn ich das jetzt richtig überflogen habe sind die DS mit DSM 5.x sicher (offizielle Aussage von Synology)? Kann ich dann meine wieder ans Netz bringen?!
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Ok, danke. Mir war nach fast 500 Posts entfallen, dass ihr ja noch nicht auf DSM 5.0 umgestiegen wart.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
