SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

gizmo21

Benutzer
Mitglied seit
16. Jul 2012
Beiträge
120
Punkte für Reaktionen
17
Punkte
18
Da Synology das Thema noch immer Sstiefmütterlich behandelt wäre es doch schön wenn einer mit Post auf der ersten Thread-Seite zumindest den offiziellen Synology.com-Link ergänzt, sodass Leute die aus dem Urlaub kommen keine 500 Posts durchforsten müssen.

upd: oh das können wohl nur admins, selbst meinen post auf seitee4 kann ich nicht mehr bearbeiten
 
Zuletzt bearbeitet:

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.149
Punkte
288

noiasca

Benutzer
Mitglied seit
08. Feb 2014
Beiträge
375
Punkte für Reaktionen
0
Punkte
16
du erhöhst damit nicht die Sicherheit, aber du reduzierst das Risiko gefunden zu werden und erhöhst die Chance dass ein (anständiger) Router einen Portscan erkennt.
Also ich sehe keine gravierenden Nachteil an einer Portumleitung.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.217
Punkte für Reaktionen
69
Punkte
114
Ich habe aktuell 4.3.3827 installiert und bisher noch nicht auf 5.x aktualisiert weil angeblich die DS110j bei dem Update gebrickt werden könnte (Diese Meldung kam beim SSL Bug über die Ticker). Stimmt das oder kann ich das Update auf 50.4493 gefahrlos anstoßen?

Habe DSM 5.x seit Anfang an ohne Probleme auf meiner DS110j laufen!!!
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Könntest du in der Wiki eine genaue Anleitung schreiben wie du das mit der Portweiterleitung machst von extern Port 54321 auf intern 22 zu leiten.
Die Ports jeweils als Bsp. nicht das alle die gleichen Ports haben am Schluss :0)

Wichtig wären Ports 21, 22, 5000, 5001 einfach alle Synolgy Standard Ports.


Gruss Mike

Ich kapier einfach nicht, dass das hier die meisten gar nicht praktizieren! Das ist das erste was JEDER zu machen hat und die Synology Ports nach außen hin in andere Ports vom Router umwandeln zu lassen. Hier einfach mal ein Beispiel von der Oberfläche bei ner Fritzbox! Sowas muss doch jeder Router können - sogar die Drecks-Dinger von der Telekom können das. Interessant sind vor allem eben die (für) Synology allseits bekannten Ports:
 

Anhänge

  • portweiterleitung.jpg
    portweiterleitung.jpg
    222,8 KB · Aufrufe: 310
Mitglied seit
10. Jan 2014
Beiträge
393
Punkte für Reaktionen
0
Punkte
0
@jony: Kannst du auch mal schauen, ob du vielleicht in /tmp, /etc, /root, /, /volume1/web, etc noch irgendwas von Synolocker findest?

Wenn die SW so professionell ist, haben die doch auch bestimmt verhindert, dass eine bereits infizierte DS ein zweites mal infiziert wird.
Also zumindest so lange, wie die Daten verschlüsselt werden bzw. verschlüsselt sind.
Deshalb könnte ich mir gut vorstellen, dass es irgendwo ein Flag bzw. eine Datei/Verzeichnis gibt, um das zu erkennen.
Wenn es /etc/synolocker sein sollte, wäre es unklug, dieses -wie angegeben- zu löschen....aber ich glaube kaum, dass man versuchen würde ein Opfer (das mittlerweile ein komplettes Backup erstellt hat) ein zweites mal anzugreifen.
 
Mitglied seit
10. Jan 2014
Beiträge
393
Punkte für Reaktionen
0
Punkte
0
Nur zwei kurze Anmerkungen zu Dingen die hier immer wieder als Sicherheitsgewinn empfohlen werden:

1. Das Prinzip eine Portumleitung von einem hohen Port auf einen niedrigen z.B. um Port 22 oder 5000 zu verstecken, nennt sich "Security by Obscurity" und stellt keinen Sicherheitsgewinn dar. Siehe auch:

http://de.wikipedia.org/wiki/Security_through_obscurity

2. Die internet Firewall der DS nutzt bei solchen Angriffen aus dem Internet (so die DS hinter einem Router mit NAT z.B. einer FritzBox steht) auch nichts.

Das kommt doch auf den Einzelfall an.

Wenn ich eine bekannte Adresse/Domain habe, gebe ich dir vollkommen Recht, weil ein Angreifer höchstwahrscheinlich gezielt mich angreift und einen Schwachpunkt gezielt an meinem System sucht.
Angriffsszenario: Scanne alle Ports einer Adresse, um diese eine Adresse zu hacken

Wenn ich allerdings nur per DynDNS erreichbar bin, weil ich mein eigenes kleines Privat-NAS betreibe, ist es eher wahrscheinlich, dass ich nur deshalb auffalle, weil jemand gezielt nach offenen Ports von SSH, HTTP, SMTP etc. sucht, um dort eine (bekannte) Schwachstelle auszunutzen.
Angriffsszenario: Scanne bestimmte Ports eines Adressbereichs, um bei irgendjemandem einen bekannten Exploit zu nutzen


Das entbindet aber trotzdem nicht von der Pflicht regelmäßig zu patchen, starke Passwörter zu benutzen und nur Ports weiterzuleiten, die ich tatsächlich brauche!!!
 

Nico82

Benutzer
Mitglied seit
22. Feb 2012
Beiträge
9
Punkte für Reaktionen
0
Punkte
1
Moin liebe Betroffenen und Helferlein,

ich weiß nicht, ob es schon verlinkt wurde (habe nur die letzten drei Seiten gecheckt ^^),
aber da noch jemand fragte ob die DSM 5.0er betroffen sei - ich habe dieses offizielle Statement
auf der en-us Seite entdeckt:

Synology® Continues to Encourage Users to Update

Weiter allen viel Glück,
Nico
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Vorsicht Freunde, nicht alle Unix Befehle laufen auf der Syno uneingeschränkt, das 'grep ynosync' bringt das selbe Ergebnis wie ohne'[]' [...]

Auf meiner ds214play mit aktuellem DSM 5.0 funktioniert der Range beim grep so, wie er soll: er verhindert, dass grep sich selbst findet:

Rich (BBCode):
DiskStation> ps -w | grep photo
10663 root      3812 S    grep photo
17402 root      9812 S N  /usr/syno/bin/photostationd

DiskStation> ps -w | grep [p]hoto
17402 root      9812 S N  /usr/syno/bin/photostationd
 

jahlives

Benutzer
Mitglied seit
19. Aug 2008
Beiträge
18.275
Punkte für Reaktionen
4
Punkte
0
@all
könnt ihr bitte versuchen den Thread im Zaum zu halten und versuchen beim Thema zu bleiben. 90% der Posts hier haben nichts mehr mit dem Synolocker zu tun. Hört auf zu bashen und akzeptiert, dass nicht jeder ein IT-ler ist und trotzdem das Recht hat sich im Internet zu bewegen
Echt das entgeleitet langsam und ich habe keine Lust mich mit Beschwerden anderer User auseinanderzusetzen
 

forf79

Benutzer
Mitglied seit
29. Dez 2013
Beiträge
16
Punkte für Reaktionen
0
Punkte
0
Haben jetzt dem größten Teil des Threads durchgelesen aber meine Frage zumindest noch nicht direkt gefunden.

Deshalb hier :
Ich wollte noch nie einen Zugriff über das Internet, habe deshalb auch nie etwas in der Richtung eingestellt.
Habe nun nochmals in der fritzbox geschaut da steht "Es sind keine Portfreigaben eingerichtet".
Reicht das? Oder soll ich in der DS auch noch was einstellen?
Habe gestern auch gleich auf 5.x geupdatet.
Und meine externe HD abgestöpselt damit das Backup sicher ist.
Kann ich sonst noch was tun?

Danke und Grüße
forf
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
455
Punkte für Reaktionen
49
Punkte
34
Da möchte ich doch gleich mal eine Frage einwerfen, die sicherlich nicht nur mich interessiert:
Ihr sagt, dass man andere Ports anstelle der voreingestellten Ports wie z.B. 5000 oder 5001 usw. verwenden soll. Welche Ports nimmt man dann aber sonst, bzw. wie finde ich heraus, ob der Port 5001 sich z.B. so einfach gegen einen ausgedachten Port 55111 austauschen lässt ohne dann Probleme mit anderen Sachen zu bekommen, oder gar einen gefährlich eingestuften Port zu erwischen? Vielleicht ne blöde Frage, aber so bin ich halt. :D
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Allerdings ist mir aufgefallen, dass die Prozess-ID auch 4stellig sein kann, daher habe ich eine zweite Zeile in mein Skript eingefügt (an eine dreistellige ID glaube ich als Agnostiker nicht):
Rich (BBCode):
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 1 | xargs kill -kill 2>/dev/null
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 2 | xargs kill -kill 2>/dev/null
Du weißt aber schon, was Du da tust, ja? Prozess-IDs (PID) beginnen bei jedem UNIX/Linux-System bei "1" (also einstellig) und können dann je nach System auch deutlich mehr Stellen haben (auf einem AIX-System wirst Du auch problemlos 7stellige PIDs sehen).

Ich behaupte mal ganz dreist, dass auf Deiner Syno auch ein Prozess mit einer einstelligen PID läuft. Und diese lautet "1". Und der Prozess dazu heißt /sbin/init. Und nein, ich habe mich nicht auf Deine Syno gehackt ;-).

Das Problem hier ist, dass Du mit cut durch Leerzeichen (' ') getrennte Felder herausschneiden möchtest. 'ps -w' gibt die PID aber rechtsbündig aus, der Platz davor wird mit Leerzeichen gefüllt. Ist blöd, weil cut -d ' ' jedes Leerzeichen als Feldtrenner interpretiert.

Beispiel:
Rich (BBCode):
  PID USER       VSZ STAT COMMAND
    1 root      3152 S    /sbin/init
    2 root         0 SW   [kthreadd]
  275 root         0 SW<  [md]
 3069 root         0 SW   [scsi_eh_0]
 3080 root         0 SW   [scsi_eh_1]
 3257 root         0 SW   [scsi_eh_2]

Vor der PID 1 stehen 4 Leerzeichen, cut würde also erst im 5. Feld die PID finden:
Rich (BBCode):
DiskStation> ps -w | grep nit | cut -f5 -d' '
1

Einfacher wäre es daher, 'pidof' zu nehmen, der liefert nämlich direkt die Prozess-ID zurück:
Rich (BBCode):
DiskStation> pidof init
1
DiskStation> pidof photostationd
17402
DiskStation> pidof synosync
DiskStation>
Gibt's den Prozess nicht, liefert pidof auch nix zurück. Allerdings sollte man dann anschließend auch kein kill mehr aufrufen, weil der dann einen Fehler liefert.
 

ottosykora

Benutzer
Mitglied seit
17. Apr 2013
Beiträge
8.861
Punkte für Reaktionen
1.149
Punkte
288

NEMA

Benutzer
Mitglied seit
23. Jan 2010
Beiträge
34
Punkte für Reaktionen
0
Punkte
6
Moin liebe Betroffenen und Helferlein,

ich weiß nicht, ob es schon verlinkt wurde (habe nur die letzten drei Seiten gecheckt ^^),
aber da noch jemand fragte ob die DSM 5.0er betroffen sei - ich habe dieses offizielle Statement
auf der en-us Seite entdeckt:

Synology® Continues to Encourage Users to Update

Weiter allen viel Glück,
Nico

...und auf allen anderen offiziellen SYNOLOGY Internetseiten findet sich nach wie vor "null-nada-nichts"...

a) Anscheinend sind wir Kunden zweiter Klasse für diese Firma - oder

b) sie sind nach wie vor überzeugt es sind nur "Einzelfälle" mit offenen Ports - oder

c) man will die Sach "aussitzen"... und in Bälde erhalten wir einen nächsten Update und "gut ists für SYNOLOGY"

Schade eigentlich, nutze seit Jahren deren Produkte und war bislang eigentlich sehr zufrieden.

Gruss

NEMA
 

Adrian-S

Benutzer
Mitglied seit
14. Jan 2009
Beiträge
455
Punkte für Reaktionen
49
Punkte
34
@altas + @ottosykora Danke für den Link. Da werde ich mich heute mal durcharbeiten.

@NEMA Du erwartest doch nicht allen ernstes, dass Synology sich jetzt völlig übereilt irgendwelchen Statements hingibt, die im Moment nur auf Vermutungen beasieren? Die Presse weiß bescheid und Synology wird zu gegebener Zeit entsprechende Meldungen herausgeben. Du selbst weißt auch bescheid und kannst auch entsprechend für dich und deinem Server reagieren, also wo ist das Problem? "Kunden zweiter Klasse" so ein Quatsch, echt. Die haben jetzt erstmal alle Hände voll zu tun, glaube mir. Da ist ein Erdbeben am laufen und es handelt sich nicht um eine Firma die tausende Mitarbeiter hat, da muss vielleicht erstmal ein Krisenstab gebildet und Aufgaben delegiert werden. Ich für meinen Teil bin nach wie vor mit den Produkten und der guten Arbeit von Synology zufrieden.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat