SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[Qnaper]

Ob das Umsteigen auf QNAP was bringt ist fraglich.

Hahaha was für eine Frage, der Umstieg auf QNAP bringt immer etwas

 

[Erebus]

Hahaha was für eine Frage, der Umstieg auf QNAP bringt immer etwas

Laut murphy's law nicht...

 

[gizmo21]

Da Synology das Thema noch immer Sstiefmütterlich behandelt wäre es doch schön wenn einer mit Post auf der ersten Thread-Seite zumindest den offiziellen Synology.com-Link ergänzt, sodass Leute die aus dem Urlaub kommen keine 500 Posts durchforsten müssen.

upd: oh das können wohl nur admins, selbst meinen post auf seitee4 kann ich nicht mehr bearbeiten

 

[ottosykora]

1. Das Prinzip eine Portumleitung von einem hohen Port auf einen niedrigen z.B. um Port 22 oder 5000 zu verstecken, nennt sich "Security by Obscurity" und stellt keinen Sicherheitsgewinn dar. Siehe auch:

http://de.wikipedia.org/wiki/Security_through_obscurity

endlich nennt es jemand wirklich beim Namen

 

[noiasca]

du erhöhst damit nicht die Sicherheit, aber du reduzierst das Risiko gefunden zu werden und erhöhst die Chance dass ein (anständiger) Router einen Portscan erkennt.
Also ich sehe keine gravierenden Nachteil an einer Portumleitung.

 

[DKeppi]

Ich habe aktuell 4.3.3827 installiert und bisher noch nicht auf 5.x aktualisiert weil angeblich die DS110j bei dem Update gebrickt werden könnte (Diese Meldung kam beim SSL Bug über die Ticker). Stimmt das oder kann ich das Update auf 50.4493 gefahrlos anstoßen?

Habe DSM 5.x seit Anfang an ohne Probleme auf meiner DS110j laufen!!!

 

[TheGardner]

Könntest du in der Wiki eine genaue Anleitung schreiben wie du das mit der Portweiterleitung machst von extern Port 54321 auf intern 22 zu leiten.
Die Ports jeweils als Bsp. nicht das alle die gleichen Ports haben am Schluss :0)

Wichtig wären Ports 21, 22, 5000, 5001 einfach alle Synolgy Standard Ports.


Gruss Mike

Ich kapier einfach nicht, dass das hier die meisten gar nicht praktizieren! Das ist das erste was JEDER zu machen hat und die Synology Ports nach außen hin in andere Ports vom Router umwandeln zu lassen. Hier einfach mal ein Beispiel von der Oberfläche bei ner Fritzbox! Sowas muss doch jeder Router können - sogar die Drecks-Dinger von der Telekom können das. Interessant sind vor allem eben die (für) Synology allseits bekannten Ports:

 

[Ameisentaetowierer]

@jony: Kannst du auch mal schauen, ob du vielleicht in /tmp, /etc, /root, /, /volume1/web, etc noch irgendwas von Synolocker findest?

Wenn die SW so professionell ist, haben die doch auch bestimmt verhindert, dass eine bereits infizierte DS ein zweites mal infiziert wird.
Also zumindest so lange, wie die Daten verschlüsselt werden bzw. verschlüsselt sind.
Deshalb könnte ich mir gut vorstellen, dass es irgendwo ein Flag bzw. eine Datei/Verzeichnis gibt, um das zu erkennen.
Wenn es /etc/synolocker sein sollte, wäre es unklug, dieses -wie angegeben- zu löschen....aber ich glaube kaum, dass man versuchen würde ein Opfer (das mittlerweile ein komplettes Backup erstellt hat) ein zweites mal anzugreifen.

 

[Ameisentaetowierer]

Nur zwei kurze Anmerkungen zu Dingen die hier immer wieder als Sicherheitsgewinn empfohlen werden:

1. Das Prinzip eine Portumleitung von einem hohen Port auf einen niedrigen z.B. um Port 22 oder 5000 zu verstecken, nennt sich "Security by Obscurity" und stellt keinen Sicherheitsgewinn dar. Siehe auch:

http://de.wikipedia.org/wiki/Security_through_obscurity

2. Die internet Firewall der DS nutzt bei solchen Angriffen aus dem Internet (so die DS hinter einem Router mit NAT z.B. einer FritzBox steht) auch nichts.

Das kommt doch auf den Einzelfall an.

Wenn ich eine bekannte Adresse/Domain habe, gebe ich dir vollkommen Recht, weil ein Angreifer höchstwahrscheinlich gezielt mich angreift und einen Schwachpunkt gezielt an meinem System sucht.
Angriffsszenario: Scanne alle Ports einer Adresse, um diese eine Adresse zu hacken

Wenn ich allerdings nur per DynDNS erreichbar bin, weil ich mein eigenes kleines Privat-NAS betreibe, ist es eher wahrscheinlich, dass ich nur deshalb auffalle, weil jemand gezielt nach offenen Ports von SSH, HTTP, SMTP etc. sucht, um dort eine (bekannte) Schwachstelle auszunutzen.
Angriffsszenario: Scanne bestimmte Ports eines Adressbereichs, um bei irgendjemandem einen bekannten Exploit zu nutzen


Das entbindet aber trotzdem nicht von der Pflicht regelmäßig zu patchen, starke Passwörter zu benutzen und nur Ports weiterzuleiten, die ich tatsächlich brauche!!!

 

[Nico82]

Moin liebe Betroffenen und Helferlein,

ich weiß nicht, ob es schon verlinkt wurde (habe nur die letzten drei Seiten gecheckt ^^),
aber da noch jemand fragte ob die DSM 5.0er betroffen sei - ich habe dieses offizielle Statement
auf der en-us Seite entdeckt:

Synology® Continues to Encourage Users to Update

Weiter allen viel Glück,
Nico

 

[Erwe]

Synology® Continues to Encourage Users to Update

"At present, we have not observed this vulnerability in DSM 5.0."

Das heißt für mich, sie haben es nicht beobachtet und bedeutet nicht, 5.0 ist sicher. Oder sehe ich das falsch?

 

[Oceanwaves]

Vorsicht Freunde, nicht alle Unix Befehle laufen auf der Syno uneingeschränkt, das 'grep ynosync' bringt das selbe Ergebnis wie ohne'[]' [...]

Auf meiner ds214play mit aktuellem DSM 5.0 funktioniert der Range beim grep so, wie er soll: er verhindert, dass grep sich selbst findet:

DiskStation> ps -w | grep photo
10663 root      3812 S    grep photo
17402 root      9812 S N  /usr/syno/bin/photostationd

DiskStation> ps -w | grep [p]hoto
17402 root      9812 S N  /usr/syno/bin/photostationd

 

[jahlives]

@all
könnt ihr bitte versuchen den Thread im Zaum zu halten und versuchen beim Thema zu bleiben. 90% der Posts hier haben nichts mehr mit dem Synolocker zu tun. Hört auf zu bashen und akzeptiert, dass nicht jeder ein IT-ler ist und trotzdem das Recht hat sich im Internet zu bewegen
Echt das entgeleitet langsam und ich habe keine Lust mich mit Beschwerden anderer User auseinanderzusetzen

 

[forf79]

Haben jetzt dem größten Teil des Threads durchgelesen aber meine Frage zumindest noch nicht direkt gefunden.

Deshalb hier :
Ich wollte noch nie einen Zugriff über das Internet, habe deshalb auch nie etwas in der Richtung eingestellt.
Habe nun nochmals in der fritzbox geschaut da steht "Es sind keine Portfreigaben eingerichtet".
Reicht das? Oder soll ich in der DS auch noch was einstellen?
Habe gestern auch gleich auf 5.x geupdatet.
Und meine externe HD abgestöpselt damit das Backup sicher ist.
Kann ich sonst noch was tun?

Danke und Grüße
forf

 

[Adrian-S]

Da möchte ich doch gleich mal eine Frage einwerfen, die sicherlich nicht nur mich interessiert:
Ihr sagt, dass man andere Ports anstelle der voreingestellten Ports wie z.B. 5000 oder 5001 usw. verwenden soll. Welche Ports nimmt man dann aber sonst, bzw. wie finde ich heraus, ob der Port 5001 sich z.B. so einfach gegen einen ausgedachten Port 55111 austauschen lässt ohne dann Probleme mit anderen Sachen zu bekommen, oder gar einen gefährlich eingestuften Port zu erwischen? Vielleicht ne blöde Frage, aber so bin ich halt.

 

[Oceanwaves]

Allerdings ist mir aufgefallen, dass die Prozess-ID auch 4stellig sein kann, daher habe ich eine zweite Zeile in mein Skript eingefügt (an eine dreistellige ID glaube ich als Agnostiker nicht):

ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 1 | xargs kill -kill 2>/dev/null
ps -w | grep 'synosync' | head -n 1 | cut -d ' ' -f 2 | xargs kill -kill 2>/dev/null

Du weißt aber schon, was Du da tust, ja? Prozess-IDs (PID) beginnen bei jedem UNIX/Linux-System bei "1" (also einstellig) und können dann je nach System auch deutlich mehr Stellen haben (auf einem AIX-System wirst Du auch problemlos 7stellige PIDs sehen).

Ich behaupte mal ganz dreist, dass auf Deiner Syno auch ein Prozess mit einer einstelligen PID läuft. Und diese lautet "1". Und der Prozess dazu heißt /sbin/init. Und nein, ich habe mich nicht auf Deine Syno gehackt ;-).

Das Problem hier ist, dass Du mit cut durch Leerzeichen (' ') getrennte Felder herausschneiden möchtest. 'ps -w' gibt die PID aber rechtsbündig aus, der Platz davor wird mit Leerzeichen gefüllt. Ist blöd, weil cut -d ' ' jedes Leerzeichen als Feldtrenner interpretiert.

Beispiel:

  PID USER       VSZ STAT COMMAND
    1 root      3152 S    /sbin/init
    2 root         0 SW   [kthreadd]
  275 root         0 SW<  [md]
 3069 root         0 SW   [scsi_eh_0]
 3080 root         0 SW   [scsi_eh_1]
 3257 root         0 SW   [scsi_eh_2]

Vor der PID 1 stehen 4 Leerzeichen, cut würde also erst im 5. Feld die PID finden:

DiskStation> ps -w | grep nit | cut -f5 -d' '
1

Einfacher wäre es daher, 'pidof' zu nehmen, der liefert nämlich direkt die Prozess-ID zurück:

DiskStation> pidof init
1
DiskStation> pidof photostationd
17402
DiskStation> pidof synosync
DiskStation>

Gibt's den Prozess nicht, liefert pidof auch nix zurück. Allerdings sollte man dann anschließend auch kein kill mehr aufrufen, weil der dann einen Fehler liefert.

 

[altas]

denke hier wirst du fündig
http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

mein Router leitet einfach Port 6323 an 5000 oder 50001 weiter... als die Synology Default Ports ändere ich nicht.

 

[ottosykora]

bzw. wie finde ich heraus, ob der Port 5001 sich z.B. so einfach gegen einen ausgedachten Port 55111 austauschen lässt ohne dann Probleme mit anderen Sachen zu bekommen, oder gar einen gefährlich eingestuften Port zu erwischen? Vielleicht ne blöde Frage, aber so bin ich halt.

http://de.wikipedia.org/wiki/Liste_der_standardisierten_Ports

sorry, atlas war schneller

 

[NEMA]

Moin liebe Betroffenen und Helferlein,

ich weiß nicht, ob es schon verlinkt wurde (habe nur die letzten drei Seiten gecheckt ^^),
aber da noch jemand fragte ob die DSM 5.0er betroffen sei - ich habe dieses offizielle Statement
auf der en-us Seite entdeckt:

Synology® Continues to Encourage Users to Update

Weiter allen viel Glück,
Nico

...und auf allen anderen offiziellen SYNOLOGY Internetseiten findet sich nach wie vor "null-nada-nichts"...

a) Anscheinend sind wir Kunden zweiter Klasse für diese Firma - oder

b) sie sind nach wie vor überzeugt es sind nur "Einzelfälle" mit offenen Ports - oder

c) man will die Sach "aussitzen"... und in Bälde erhalten wir einen nächsten Update und "gut ists für SYNOLOGY"

Schade eigentlich, nutze seit Jahren deren Produkte und war bislang eigentlich sehr zufrieden.

Gruss

NEMA

 

[Adrian-S]

@altas + @ottosykora Danke für den Link. Da werde ich mich heute mal durcharbeiten.

@NEMA Du erwartest doch nicht allen ernstes, dass Synology sich jetzt völlig übereilt irgendwelchen Statements hingibt, die im Moment nur auf Vermutungen beasieren? Die Presse weiß bescheid und Synology wird zu gegebener Zeit entsprechende Meldungen herausgeben. Du selbst weißt auch bescheid und kannst auch entsprechend für dich und deinem Server reagieren, also wo ist das Problem? "Kunden zweiter Klasse" so ein Quatsch, echt. Die haben jetzt erstmal alle Hände voll zu tun, glaube mir. Da ist ein Erdbeben am laufen und es handelt sich nicht um eine Firma die tausende Mitarbeiter hat, da muss vielleicht erstmal ein Krisenstab gebildet und Aufgaben delegiert werden. Ich für meinen Teil bin nach wie vor mit den Produkten und der guten Arbeit von Synology zufrieden.