SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[jahlives]

vergesst cut nehmt awk dann seid ihr unabhängig von der Länge der PID und prüft ob die PID ggf leer ist

 

[snowbeachking]

@altas + @ottosykora Danke für den Link. Da werde ich mich heute mal durcharbeiten.

@NEMA Du erwartest doch nicht allen ernstes, dass Synology sich jetzt völlig übereilt irgendwelchen Statements hingibt, die im Moment nur auf Vermutungen beasieren? Die Presse weiß bescheid und Synology wird zu gegebener Zeit entsprechende Meldungen herausgeben. Du selbst weißt auch bescheid und kannst auch entsprechend für dich und deinem Server reagieren, also wo ist das Problem? "Kunden zweiter Klasse" so ein Quatsch, echt. Die haben jetzt erstmal alle Hände voll zu tun, glaube mir. Da ist ein Erdbeben am laufen und es handelt sich nicht um eine Firma die tausende Mitarbeiter hat, da muss vielleicht erstmal ein Krisenstab gebildet und Aufgaben delegiert werden. Ich für meinen Teil bin nach wie vor mit den Produkten und der guten Arbeit von Synology zufrieden.

Noch ein Link für dich. Suchst dir am besten einen Port in diesem Bereich aus.

Bei DSM 5 änderst du den Port unter Netzwerk -> DSM Einstellungen. Die DS Firewall wird dann automatisch angepasst. Musst dann nur das Portforwarding deines Routers anpassen.

Oder aber du änderst nicht in der DS und machst ein Destination NAT (hoffentlich ist das der richtige Begriff).

D.h. deine Port Weiterleitung im Router von Port z.B. 65001 auf 5001 bzw. 65000 auf 5000. Letzteres würde ich nicht empfehlen.

 

[NEMA]

@altas + @ottosykora Danke für den Link. Da werde ich mich heute mal durcharbeiten.

@NEMA Du erwartest doch nicht allen ernstes, dass Synology sich jetzt völlig übereilt irgendwelchen Statements hingibt, die im Moment nur auf Vermutungen beasieren? Die Presse weiß bescheid und Synology wird zu gegebener Zeit entsprechende Meldungen herausgeben. Du selbst weißt auch bescheid und kannst auch entsprechend für dich und deinem Server reagieren, also wo ist das Problem? "Kunden zweiter Klasse" so ein Quatsch, echt. Die haben jetzt erstmal alle Hände voll zu tun, glaube mir. Da ist ein Erdbeben am laufen und es handelt sich nicht um eine Firma die tausende Mitarbeiter hat, da muss vielleicht erstmal ein Krisenstab gebildet und Aufgaben delegiert werden. Ich für meinen Teil bin nach wie vor mit den Produkten und der guten Arbeit von Synology zufrieden.

...ist halt schon ein MORDSAUFWAND eine vorhandene Mitteilung in ENGLISCH auf DEUTSCH und die restlichen angebotenen Sprachen der Internetpräsenz übersetzen zu lassen und einen zusätzlichen, gut SICHTBAREN LINK zu setzen... Muss wahrscheinlich zuerst budgetiert werden...

...und sorry, wenn ein so grosses Unternehmen keine Krisenorganisation aus der Schublade ziehen kann zweifle ich wirklich langsam an dieser Firma!

MEINE MEINUNG!

Gruss

NEMA

 

[snowbeachking]

Haben jetzt dem größten Teil des Threads durchgelesen aber meine Frage zumindest noch nicht direkt gefunden.

Deshalb hier :
Ich wollte noch nie einen Zugriff über das Internet, habe deshalb auch nie etwas in der Richtung eingestellt.
Habe nun nochmals in der fritzbox geschaut da steht "Es sind keine Portfreigaben eingerichtet".
Reicht das? Oder soll ich in der DS auch noch was einstellen?
Habe gestern auch gleich auf 5.x geupdatet.
Und meine externe HD abgestöpselt damit das Backup sicher ist.
Kann ich sonst noch was tun?

Danke und Grüße
forf

Hier findest du viele ansprechende Videos, die deine grundsätzlichen Fragen beantwroten sollten. Hatte mir damals sehr weitergeholfen.

 

[Oceanwaves]

Könntest du in der Wiki eine genaue Anleitung schreiben wie du das mit der Portweiterleitung machst von extern Port 54321 auf intern 22 zu leiten.
Die Ports jeweils als Bsp. nicht das alle die gleichen Ports haben am Schluss :0)

Wichtig wären Ports 21, 22, 5000, 5001 einfach alle Synolgy Standard Ports.

Hi Mike,

ich denke, zum Thema Portfreigabe/Portweiterleitung in Routern gibt es schon genug Anleitungen. Zudem sieht das bei jedem Router wieder anders aus.

Bei einer Fritzbox 7270 wählst Du z.B. den Punkt Internet/Freigaben/Portfreigaben und erstellst dann neue Einträge. Als Beispiel hier mal eine Portweiterleitung von (extern) Port 12345 auf den Port 22 (ssh) der DiskStation. Im Feld "an IP-Adresse" muss dann die IP der DiskStation eingetragen werden.



Wichtig ist natürlich, dass man bei einem Verbindungsaufbau von außen dafür sorgen muss, dass keine ssh-Verbindung zu Port 22, sondern zu Port 12345 aufgebaut werden soll. Dies lässt sich aber eigentlich in allen ssh-Clients konfigurieren.

Wenn Du mit einem Browser einen bestimmten Port erreichen willst, dann gibst Du den einfach hinter dem URL ein.
Beispiel: Du möchtest von außen direkt auf die DSM-Oberfläche, und zwar per HTTPS. Dazu müsste normalerweise der Port 5001 von außen erreichbar sein. Wenn Du im Router eine Weiterleitung von z.B. Port 47001 auf Port 5001 eingerichtet hast, dann gibst Du im Browser entsprechend "<URL>:47001" ein. Du sprichst also den Port 47001 an, Dein Router nimmt Deine Anfrage auf diesem Port entgegen und leitet sie intern an Deine DiskStation an Port 5001 weiter.

 

[huetti]

...ist halt schon ein MORDSAUFWAND eine vorhandene Mitteilung in ENGLISCH auf DEUTSCH und die restlichen angebotenen Sprachen der Internetpräsenz übersetzen zu lassen und einen zusätzlichen, gut SICHTBAREN LINK zu setzen... Muss wahrscheinlich zuerst budgetiert werden...

...und sorry, wenn ein so grosses Unternehmen keine Krisenorganisation aus der Schublade ziehen kann zweifle ich wirklich langsam an dieser Firma!

MEINE MEINUNG!

Gruss

NEMA

Zumindest auf der Englischen Synology Seite gibt es ein Statement dazu. http://www.synology.com/en-us/company/news/article/470 Ist auch auf der Englischen Hauptseite unter News zu sehen.

 

[gizmo21]

@altas + @ottosykora Danke für den Link. Da werde ich mich heute mal durcharbeiten.

@NEMA Du erwartest doch nicht allen ernstes, dass Synology sich jetzt völlig übereilt irgendwelchen Statements hingibt, die im Moment nur auf Vermutungen beasieren? Die Presse weiß bescheid und Synology wird zu gegebener Zeit entsprechende Meldungen herausgeben. Du selbst weißt auch bescheid und kannst auch entsprechend für dich und deinem Server reagieren, also wo ist das Problem? "Kunden zweiter Klasse" so ein Quatsch, echt. Die haben jetzt erstmal alle Hände voll zu tun, glaube mir. Da ist ein Erdbeben am laufen und es handelt sich nicht um eine Firma die tausende Mitarbeiter hat, da muss vielleicht erstmal ein Krisenstab gebildet und Aufgaben delegiert werden. Ich für meinen Teil bin nach wie vor mit den Produkten und der guten Arbeit von Synology zufrieden.

[sorry auch nochmal Offtopic]

Lachhaft, da das gesamte Gebaren dieser Firma von Webseite bis Presseinformation nur auf den Verkauf neuer Einheiten mit noch mehr Features aus ist, statt sich auch um den schon vorhandenen Kunden zu kümmern. Als IT-Firma ist es heute ein absolutes Muss den Securitybereich prominent zu platzieren und aktuell zu halten und einerseits IT-Laien schnell einfache Fixes anzubieten und andererseits IT-Experten tiefergehende Infos zu geben um Abschätzungen vornehmen zu können. Davon ist bei Synology nichts zu sehen, stattdessen werden mit Riesen-Shows Beta Versionen einer 5.1er Version angekündigt wo noch nicht mal die Letzte in allen Bereichen wirklich stabil läuft - naja Zielgruppe ist eben der auf die Featureliste geiernde Privatkunde.

Sorry und wenn die Securityabteilung zu viel zu tun hat, dann fehlt dort Personal - im Marketing haben sie scheinbar genug Manpower.

Ka ob das bei QNAP oder den anderen SOHO-NAS Firmen anders läuft, wahrscheinlich nicht aber die haben alle den Schuß nicht gehört. In der heutigen Nach-Snowden-Zeit könnte man viel Geld mit auf Sicherheit getrimmte Home-Cloud Produkte machen, aber das ist wohl nicht im im Fokus.

[offtopic off und nochmal sorry]

 

[Oceanwaves]

Nur zwei kurze Anmerkungen zu Dingen die hier immer wieder als Sicherheitsgewinn empfohlen werden:

1. Das Prinzip eine Portumleitung von einem hohen Port auf einen niedrigen z.B. um Port 22 oder 5000 zu verstecken, nennt sich "Security by Obscurity" und stellt keinen Sicherheitsgewinn dar.

Das ist grundsätzlich richtig. Mir persönlich hat das aber schon sehr geholfen. Ich habe einen Kabelanschluss mit quasi statischer IP (ändert sich vielleicht 1, 2 mal im Jahr) und ich habe einen ssh-Zugang zu meinem PC. PC-seitig ist der schon einigermaßen beschnitten, z.B. kein Login als root erlaubt, nur ein bestimmter Username ist zugelassen und der hat ein komplexes Passwort. Klar könnte man das noch sicherer machen, z.B. Zugang nur noch per Key mit entsprechend komplexer Passphrase.

Aber seitdem ich den Zugang von Port 22 auf einen High Port gelegt habe, habe ich in über 5 Jahren nicht einen Login-Versuch mehr gesehen. Fail2Ban langweilt sich seitdem extrem ;-). Um Fail2Ban zu testen hatte ich mal ein paar Tage Port 22 offen, da kamen dann mehrere Login-Versuche pro Stunde zusammen. War mal ganz lustig zu sehen, von wo die Versuche kamen und womit die Leute versuchten, sich anzumelden. Aber mir ist es lieber, ich sehe erst gar keine Login-Versuche. Und das hat durch das Verstecken des Ports bislang geklappt.

 

[Nico82]

Zumindest auf der Englischen Synology Seite gibt es ein Statement dazu. http://www.synology.com/en-us/company/news/article/470 Ist auch auf der Englischen Hauptseite unter News zu sehen.

Um genau diesen Artikel ging es.

VG
Nico

 

[b1tchnow]

Nur zwei kurze Anmerkungen zu Dingen die hier immer wieder als Sicherheitsgewinn empfohlen werden:

1. Das Prinzip eine Portumleitung von einem hohen Port auf einen niedrigen z.B. um Port 22 oder 5000 zu verstecken, nennt sich "Security by Obscurity" und stellt keinen Sicherheitsgewinn dar. Siehe auch:

http://de.wikipedia.org/wiki/Security_through_obscurity

2. Die internet Firewall der DS nutzt bei solchen Angriffen aus dem Internet (so die DS hinter einem Router mit NAT z.B. einer FritzBox steht) auch nichts.

Zu 1.

Natürlich gewinnt man keine "Sicherheit" im Sinne einer absoluten Allheilmittelsicherheit, aber es ist doch offensichtlich, dass die Anzahl der Portscans abnimmt und man so ein geringeres Risiko hat, von solchen Massenattacken, die auf Sicherheitslücken in den Services basieren, betroffen zu sein.
Natürlich kann sich der geübte Hacker auch in so eine DS noch reinhacken, aber auch die gewinnorientierten Kriminellen sind faul und hacken sich nicht manuell in jede DS rein. Da laufen gekaperte Botnetze, die Standardports auf Standarddienste scannen und bei positivem Befund die Schwachstelle angreifen. Nach Umlegen der Standardports nimmt nach einhelliger Meinung hier die Anzahl der Portscans dramatisch ab und damit das Risiko einer automatisierten Attacke.
Vor solchen automatisierten Attacken schützt das Umlegen der Ports oder willst Du das Gegenteil behaupten?

Man muss das ganze auch in einen praktischen Kontext setzen und sich mal von der rein akademischen Sicht lösen!

Ich bin mir auch noch nicht sicher, ob das hier unter Security by Obscurity fällt.

 

[snowbeachking]

[sorry auch nochmal Offtopic]

Lachhaft, da das gesamte Gebaren dieser Firma von Webseite bis Presseinformation nur auf den Verkauf neuer Einheiten mit noch mehr Features aus ist, statt sich auch um den schon vorhandenen Kunden zu kümmern. Als IT-Firma ist es heute ein absolutes Muss den Securitybereich prominent zu platzieren und aktuell zu halten und einerseits IT-Laien schnell einfache Fixes anzubieten und andererseits IT-Experten tiefergehende Infos zu geben um Abschätzungen vornehmen zu können. Davon ist bei Synology nichts zu sehen, stattdessen werden mit Riesen-Shows Beta Versionen einer 5.1er Version angekündigt wo noch nicht mal die Letzte in allen Bereichen wirklich stabil läuft - naja Zielgruppe ist eben der auf die Featureliste geiernde Privatkunde.

Sorry und wenn die Securityabteilung zu viel zu tun hat, dann fehlt dort Personal - im Marketing haben sie scheinbar genug Manpower.

Ka ob das bei QNAP oder den anderen SOHO-NAS Firmen anders läuft, wahrscheinlich nicht aber die haben alle den Schuß nicht gehört. In der heutigen Nach-Snowden-Zeit könnte man viel Geld mit auf Sicherheit getrimmte Home-Cloud Produkte machen, aber das ist wohl nicht im im Fokus.

[offtopic off und nochmal sorry]

Es gibt doch Alternativen. Wenn ich so unzufrieden wäre, dann wäre ich längst weg. Ich würde mich evtl. mit Windows Home Server auseinadersetzen, oder mir einen eigenen Server mieten, oder was es sonst noch so gibt. Keiner zwingt dich die Produkte zu kaufen, oder ist das Marketing doch so gut?!

 

[hopeless]

Man muss das ganze auch in einen praktischen Kontext setzen und sich mal von der rein akademischen Sicht lösen!

Ich will das gar nicht diskutieren, dazu ist dieses Forum nicht der richtige Ort.
Was ich nur verhindern möchte ist das dem unbedarften User damit eine Sicherheit vorgegaukelt wird, die er damit nicht erreicht. Und er damit die wichtigen Punkte vernachlässigt.

1. Wirklich nur benötigte Dienste nach außen zu leiten.
2. Ein möglichst komplexes Kennwort für seine Kennungen zu verwenden.
3. IP-Sperrung nach bestimmter Anzahl vergeblichen Anmeldeversuchen.

damit ist aus Sicherheitssicht bei einer DS alles getan. Das durch die Portumbiegung die Anmeldeversuche nicht in den Logfiles auftauchen ist eher ein Nice to have.

 

[b1tchnow]

Das durch die Portumbiegung die Anmeldeversuche nicht in den Logfiles auftauchen ist eher ein Nice to have.

Du hast meine volle Zustimmung! Das Umlegen ist nur ein kleiner Baustein der DS-Sicherheit und bei weitem nicht der wichtigste! Aber in meinen Augen ist er elementar und nicht nur reine Makulatur der Logdatei.
Es wird hier oft vieles auf BruteForce reduziert, aber gegen eine Lücke in den Diensten - und ich glaube das ist das Einfalltor für den hier diskutierten Hack! - hilft auch die kürzeste Blocklistzeit und das längste Passwort nichts, wenn der Dienst vom Hacker identifiziert wird.

 

[Frogman]

An dieser Stelle mal ein kleiner Hinweis: gerade auch in diesem Thread fallen mir die häufigen full-quotes auf, auch unmittelbar folgend. Zitiert doch bitte, falls nötig, nur die relevanten Aussagen - das erhöht ungemein die Lesbarkeit.

 

[dil88]

Es wird hier oft vieles auf BruteForce reduziert, aber gegen eine Lücke in den Diensten - und ich glaube das ist das Einfalltor für den hier diskutierten Hack! - hilft auch die kürzeste Blocklistzeit und das längste Passwort nichts, wenn der Dienst vom Hacker identifiziert wird.

So ist es. Und deshalb ist neben den Dingen, die hopeless aufgeführt hat, das Einspielen von Security-Updates ein weiterer essentieller Punkt.

 

[Waldschrat]

Du weißt aber schon, was Du da tust, ja?

Nein, bin kein Spezialist und auf die Hilfe von Menschen wie Dir angewiesen.

pidof funktioniert, allerdings bei

/volume1/public> ps -w|grep synosync
26295 root      4712 S    /bin/sh ./synosync
26515 root      4712 S    sh -c ps -w|grep synosync 2>&1
26517 root      4716 S    grep synosync
/volume1/public>

kann pidof nur das 'sh' korrekt finden. Das './synosync' wird nicht gefunden.

 

[Karup]

Moin!

Es gibt ja eine Liste mit allen Ports, welche die Syno nutzen kann. (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet)
Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.
Ich leite 443 und 5001 weiter, werde aber heute Abend die beiden Ports am Router extern anders darstellen.

Vielleicht ist auch das ein, wenn nicht sogar DAS Problem, warum es eben zu Sicherheitsproblemen kommt, weil viele sich nur unzureichend auskennen.

Wobei mir noch immer nicht klar ist, ob man nun von dem Synolocker betroffen sein kann, wenn man z.B. nur 1 Port offen hatte und diesen auch noch mit einer anderen externen Portnummer versehen hatte?

 

[jahlives]

nur so als Einwurf. Was bringt dieses Script? Das schlägt an falls synosync gefunden wird. Glaubt ihr nicht in dem Fall wäre es besser die DS SOFORT abzuschalten, wie auch von Syno empfohlen? Dann ist das Teil ja scheinbar schon verseucht. Das Script sollte sofort runterfahren und nicht den Prozess killen. Denn woher weisst du wo der Aufruf herkommt? Was wenn der Aufruf von ganz woanders herkommt?

 

[snowbeachking]

Moin!

Es gibt ja eine Liste mit allen Ports, welche die Syno nutzen kann. (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet)
Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.

Schau dir dieses Video an.

 

[Puppetmaster]

Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.

Die Regel lautet: wenn du nicht weißt, wozu es gut ist, dann lass lieber die Finger davon! Im Zweifel brauchst du es ohnehin nicht.
Das ist der erste Schritt zur Sicherheit.