Man müsste also die Platte vor einer Sicherung mounten und danach sofort wieder unmounten, damit sie nicht im Dateisystem eingebunden ist.
Das ist die einzige von mir derzeit praktizierte Form des Backup. Ich schließe eine externe Platte an den Strom und die DS an und starte das Backup. Nach dem Backup entferne ich die Platte wieder und stecke USB- und Stromstecker der externen Platte wieder aus. Eine 100% Sicherheit habe ich dadurch natürlich nicht, aber mir reicht das und ständig angesteckt lassen würde ich meine Sicherungsplatten schon alleine wegen der Überspannungsgefahr nicht.
Die allerwichtigsten Dokumente möchte ich noch in einen Cryptocontainer auf meinen WebSpace auslagern, was ich aber schon eine Weile vor mir her schleppe, was sich hoffentlich nicht rächen wird. Diese sind aber im Moment dreifach vorhanden.
Nich gesichert bin ich derzeit gegen totalen Wohnungsbrand, kompletten Diebstahl oder eine derartige elektromagnetische Welle, die auch unangeschlossene Geräte zerstört.
Ich würde keine Platte dauerhaft an der DS lassen und durch irgendeine Automatik ein Backup erstellen lassen. Das schützt ja nur gegen Hardwareausfall und ist mir zu wenig.
Auf der Synology:
- Unter Systemsteuerung - Sicherheit - Firewall die Quell-IPs regional auf Deutschlang beschränken, zus. den internen IP-Bereich 192.x für alles zugelassen (wusste ich noch nicht)
- Unter Systemsteuerung - Sicherheit - Automatische Blockierung aktiviert (hatte ich schon)
- Unter Systemsteuerung - Netzwerk - DSM-Einstellungen HTTPS aktivieren und HTTP auf HTTPS umleiten aktivieren
Die Synology Apps und der Web-Zugriff sollten eigentlich nicht mehr per HTTP funktionieren, nur noch per HTTPS, Passwort sollte
darin nat. nicht gespeichert werden (hatte ich schon)
- Unter Systemsteuerung - Benachrichtigung die EMail-Benachrichtigung aktivieren und unter Erweitert alle Ereignisse aktiviert
damit man über Updates/Systemfehler auch informiert wird (hatte ich schon)
- User-Bezeichnung "admin" auf der NAS geändert (neuen User mit Admin-Rechten anlegen, damit anmelden und den Admin
dann deaktivieren)
Das hätte wahrscheinlich gegen das aktuelle Problem nichts geholfen.
-Die Angriffe wurden wahrscheinlich von einem Botnetz aus geführt und da ist die Wahrscheinlichkeit hoch, dass diese intelligent genug sind die Bots auch den Ländern entsprechend einzusetzen.
- Die automatische Blockierung hilft nur gegen BruteForce und das wird hier nicht angewandt. Die Angreifer kommen über eine Lücke in das System und nicht durch ausprobieren der Passwörter.
- Dann nutzen sie die Lücke eben aus, in dem sie über HTTPS kommunizieren, was ja nur die Übertragung absichert, aber nicht das Verhalten der DS ändert.
- Ich denke die Benachrichtigungen können keine Heuristikanalyse und der Befall hätte keine Benachrichtigung ausgelöst. Was soll da kommen? "Synolock complete encryption started... 1%"?
- Den Admin-Benutzer zu deaktivieren sollte Standard sein, hätte aber hier auch wenig geholfen.
Auf der Fritz.Box:
- User-Bezeichnung "admin" auf der Fritz.Box geändert (hatte ich schon)
Das muss man nur machen, wenn man die Fritz!Box auch per Fernwartung steuern möchte. Ist die Fernwartung deaktiviert, ist auch der Benutzer irrelevant. Wobei ich spontan nicht wüsste, wie man die Bezeichnung des Adminbenutzers bei einer Fritz!Box überhaupt ändert?
Sicher kann man noch mehr machen, auf VPN hab ich aber keinen Bock, zumal hier ja auch Leute betroffen sein sollen, die nur VPN als Zugang genutzt hatten, auch da gibt es sicher Lücken.
Ironischerweise lag das Problem möglicherweise doch direkt im OpenVPN-Server, dessen root-Benutzer ein hardvercodetes Passwort hatte. Jedenfalls habe ich das so den Patchnotes bei Synology so entnommen.
Summasumarum hätte meiner Meinung nach für eine DS, die über einen mir noch unbekannten Dienst, mglw. VPN, aus dem Internet erreichbar ist, nur eines gegen den Befall geschützt: Ein aktuelles DSM.
Alle sonstigen hier genannten Maßnahmen, wie lange Passwörter, Umstellung auf HTTPS etc. sind sehr zu empfehlende Maßnahmen und sollte jeder Synology-Benutzer auch durchführen, hätten für die akute Bedrohung aber wenig gebracht.