SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[F0x123]

@Siutsch: Mit dem Paket autorun geht ein manuelles Backup sehr bequem und schnell, wenn die Hardware nicht limitiert.

Wie würde denn ein sinnvolles Backup-Konzept aussehen? Ich habe eine DS110j momentan mit externer HDD und einem Backup pro Woche. Für den nicht IT Experten ist das nicht soooo einfach. Außerdem müsste man noch alle Clients im Haushalt auf das NAS sichern.

 

[Puppetmaster]

Ja, sorry, hatte Deinen letzten Satz "Wenn die Platte ohnehin ständig an der DS hängt, wäre sie vermutlich mit encrypted worden, also wertlos." irgendwie überlesen.

Das ist ja auch genau einer dieser Gründe, weswegen wir hier immer wieder herunterbeten, dass auch eine permanent an die DS angeschlossene externe Platte kein Backup darstellen kann. Die Daten er externen Platte werden im Zweifel genauso kompromittiert wie das Hauptsystem.

 

[b1tchnow]

Man müsste also die Platte vor einer Sicherung mounten und danach sofort wieder unmounten, damit sie nicht im Dateisystem eingebunden ist.

Das ist die einzige von mir derzeit praktizierte Form des Backup. Ich schließe eine externe Platte an den Strom und die DS an und starte das Backup. Nach dem Backup entferne ich die Platte wieder und stecke USB- und Stromstecker der externen Platte wieder aus. Eine 100% Sicherheit habe ich dadurch natürlich nicht, aber mir reicht das und ständig angesteckt lassen würde ich meine Sicherungsplatten schon alleine wegen der Überspannungsgefahr nicht.
Die allerwichtigsten Dokumente möchte ich noch in einen Cryptocontainer auf meinen WebSpace auslagern, was ich aber schon eine Weile vor mir her schleppe, was sich hoffentlich nicht rächen wird. Diese sind aber im Moment dreifach vorhanden.

Nich gesichert bin ich derzeit gegen totalen Wohnungsbrand, kompletten Diebstahl oder eine derartige elektromagnetische Welle, die auch unangeschlossene Geräte zerstört.

Ich würde keine Platte dauerhaft an der DS lassen und durch irgendeine Automatik ein Backup erstellen lassen. Das schützt ja nur gegen Hardwareausfall und ist mir zu wenig.

Auf der Synology:

- Unter Systemsteuerung - Sicherheit - Firewall die Quell-IPs regional auf Deutschlang beschränken, zus. den internen IP-Bereich 192.x für alles zugelassen (wusste ich noch nicht)

- Unter Systemsteuerung - Sicherheit - Automatische Blockierung aktiviert (hatte ich schon)

- Unter Systemsteuerung - Netzwerk - DSM-Einstellungen HTTPS aktivieren und HTTP auf HTTPS umleiten aktivieren
Die Synology Apps und der Web-Zugriff sollten eigentlich nicht mehr per HTTP funktionieren, nur noch per HTTPS, Passwort sollte
darin nat. nicht gespeichert werden (hatte ich schon)

- Unter Systemsteuerung - Benachrichtigung die EMail-Benachrichtigung aktivieren und unter Erweitert alle Ereignisse aktiviert
damit man über Updates/Systemfehler auch informiert wird (hatte ich schon)

- User-Bezeichnung "admin" auf der NAS geändert (neuen User mit Admin-Rechten anlegen, damit anmelden und den Admin
dann deaktivieren)

Das hätte wahrscheinlich gegen das aktuelle Problem nichts geholfen.

-Die Angriffe wurden wahrscheinlich von einem Botnetz aus geführt und da ist die Wahrscheinlichkeit hoch, dass diese intelligent genug sind die Bots auch den Ländern entsprechend einzusetzen.
- Die automatische Blockierung hilft nur gegen BruteForce und das wird hier nicht angewandt. Die Angreifer kommen über eine Lücke in das System und nicht durch ausprobieren der Passwörter.
- Dann nutzen sie die Lücke eben aus, in dem sie über HTTPS kommunizieren, was ja nur die Übertragung absichert, aber nicht das Verhalten der DS ändert.
- Ich denke die Benachrichtigungen können keine Heuristikanalyse und der Befall hätte keine Benachrichtigung ausgelöst. Was soll da kommen? "Synolock complete encryption started... 1%"?
- Den Admin-Benutzer zu deaktivieren sollte Standard sein, hätte aber hier auch wenig geholfen.

Auf der Fritz.Box:

- User-Bezeichnung "admin" auf der Fritz.Box geändert (hatte ich schon)

Das muss man nur machen, wenn man die Fritz!Box auch per Fernwartung steuern möchte. Ist die Fernwartung deaktiviert, ist auch der Benutzer irrelevant. Wobei ich spontan nicht wüsste, wie man die Bezeichnung des Adminbenutzers bei einer Fritz!Box überhaupt ändert?

Sicher kann man noch mehr machen, auf VPN hab ich aber keinen Bock, zumal hier ja auch Leute betroffen sein sollen, die nur VPN als Zugang genutzt hatten, auch da gibt es sicher Lücken.

Ironischerweise lag das Problem möglicherweise doch direkt im OpenVPN-Server, dessen root-Benutzer ein hardvercodetes Passwort hatte. Jedenfalls habe ich das so den Patchnotes bei Synology so entnommen.

Summasumarum hätte meiner Meinung nach für eine DS, die über einen mir noch unbekannten Dienst, mglw. VPN, aus dem Internet erreichbar ist, nur eines gegen den Befall geschützt: Ein aktuelles DSM.

Alle sonstigen hier genannten Maßnahmen, wie lange Passwörter, Umstellung auf HTTPS etc. sind sehr zu empfehlende Maßnahmen und sollte jeder Synology-Benutzer auch durchführen, hätten für die akute Bedrohung aber wenig gebracht.

 

[yep_DD]

Ich möchte auch noch mal kurz meinen Senf abgeben und muss @Frogman zustimmen. Wir stehen hier erst am Anfang und Synology hat es getroffen, wegen der großen Zahl an "unwissenden" Kunden, weil genau die die Zielgruppe waren. IT ist und bleibt ein schwieriges Thema, mit heise.de und golem.de lesen ist es nicht getan.

Ich selbst bin embedded Software Ingenieur (Linux) und habe nur flaches Wissen was IT-Sicherheit angeht. Warum? Weil ich mit Hardware Treibern und GUI / HMI Implementierungen auseinandersetze. Allerdings habe ich das Bedürfnis, berufsbedingt, zu lernen, im Gegensatz zu vielen Endkunden (verständlicherweise).

Ich möchte noch was in den Raum werfen, wo einem Angst und Bange werden kann:
- schaut mal auf http://en.wikipedia.org/wiki/Shodan_(website) da wird mir schlecht, wenn man mal die Suche anwirft mit "title:Synolocker" oder mal nach IP Cams sucht, ganz viele sind unverschlüsselt oder benutzen Standard Passwörter (admin/admin, admin/1234, blablabla)
- Da ist alles zu finden was halt zu dem neuen "Internet Of Things" gehört, von Kühlschränken, bis hin zu Verkehrskameras (laut Webseite), Verkehrsnetzen man kommt sich da vor wie in WatchDogs

Will sagen: Andere Firmen und Nutzer haben auch (noch) nicht gelernt. Diese clicki-bunti Mentalität sorgt hier für einen Clash von zwei Welten wo plötzlich jeder denkt, er wäre IT Profi und kann einen Server aufsetzen in dem er Apps installiert. Ohne Zweifel: Jeder hat irgendwo angefangen, aber man sollte auch nicht aufhören wollen zu lernen und man darf es auch nicht.

Wo liegt der Fehler?
A) Firmen die zu lasche Ausgangskonfigurationen ermöglichen (Passwörter, Firewall)
B) Firmen die Updates zu spät nachschieben und featuregetrieben sind
C) Die User die Updates vernachlässigen
D) Die User die Konfigurationen nicht verstehen

?

Grüße

 

[Adrian-S]

Zur Abwchslung mal wieder etwas, was nicht OT ist:

Gerade bei Heise.de gefunden, anscheinend gibt es also auch eine nicht kostenpflichtige Rettung:

Webdienst befreit CryptoLocker-Opfer aus der Geiselhaft

http://www.heise.de/newsticker/meld...elhaft-2287100.html?wt_mc=rss.ho.beitrag.atom

 

[jahlives]

Außerdem funktioniert der Dienst nur bei Opfern der Originalversion von CryptoLocker, nicht bei den unzähligen Varianten des Schädlings.

freu dich nicht zu früh

 

[Adrian-S]

Nein nein, das ganz sicher nicht, aber immerhin gibt es auch außerhalb Synolgy Bemühungen, um der Lage halbwegs Herr zu werden.

 

[dil88]

Wie würde denn ein sinnvolles Backup-Konzept aussehen? Ich habe eine DS110j momentan mit externer HDD und einem Backup pro Woche. Für den nicht IT Experten ist das nicht soooo einfach. Außerdem müsste man noch alle Clients im Haushalt auf das NAS sichern.

Bitte schau Dir in diesem Zusammenhang diesen Thread an, der viele gute Ideen und Konzepte enthält.

 

[Adrian-S]

Sagt mal, wie kann ich denn eigentlich phpMyAdmin von außen über DynDNS nicht mehr erreichbar machen? Ich brauche aber die PhotoStation über extern (Portweiterleitung von XXXXX zu 443 in der FritzBox) falls das damit irgendwie zusammen hängt.

 

[Starcraftler]

ist jetzt von Synology schon ne Lösung für das Problem raus / nen Update ?

würde gerne mal wieder normal arbeiten können .....

 

[Erwe]

Da ich hier jetzt viele Male gelesen habe, man soll nur diese oder jene Ports weiterleiten wollte ich mal wissen, was denn nun wirklich offen ist bei mir. Kann man den Online-Portscannern trauen? Die melden nämlich alle, daß alle Ports bei meinem Router zu sind. ALLE.
Bei meinem Router sind die Einstellungen etwas, nennen wir es komisch. Nach meinem Minimalwissen wären bei diesen Einstellungen alle Ports zu bis auf 2 (Port 9 und 51399, beide werden auf eine IP weitergeleitet, die nicht benutzt wird) geschlossen. Und das konnte ich nicht glauben.
Das NAS ist nicht angeschlossen, aber wenn ich es anschließe, wie geht das dann wenn die Ports zu sind? Und ja, es hat mit genau dieser Einstellung funktioniert...

 

[Frogman]

Wenn bei einem weitergeleiteten Port nicht geantwortet wird (weil bspw. auf eine nicht verwendete IP weitergeleitet wird oder auf diesem Port kein Dienst reagiert), erscheint der Port nach außen hin als geschlossen! Geschlossen heißt ja nur, dass der Router die darauf ankommenden Pakete verwirft, wenn sie nicht zuvor angefragt wurden - und das unterscheidet sich nicht davon, wenn die Pakete im LAN versacken.

 

[Erwe]

Wenn bei einem weitergeleiteten Port nicht geantwortet wird (weil bspw. auf eine nicht verwendete IP weitergeleitet wird oder auf diesem Port kein Dienst reagiert), erscheint der Port nach außen hin als geschlossen! Geschlossen heißt ja nur, dass der Router die darauf ankommenden Pakete verwirft, wenn sie nicht zuvor angefragt wurden - und das unterscheidet sich nicht davon, wenn die Pakete im LAN versacken.

Irgendwie geht meine Lernkurve nach unten
Wenn ich am NAS keinen Dienst habe, der den Port XXX verwendet, wozu muß ich ihn dann am Router auch sperren?

 

[F0x123]

Bitte schau Dir in diesem Zusammenhang diesen Thread an, der viele gute Ideen und Konzepte enthält.

Danke

 

[Frogman]

Wenn ich am NAS keinen Dienst habe, der den Port XXX verwendet, wozu muß ich ihn dann am Router auch sperren?

Müssen, müssen... - 'Müssen' müssen wir nur atmen und auf's Klo... - es empfiehlt sich aus zusätzlicher Sicherheit. Manchmal laufen auf bestimmten Ports Dienste, von denen Du gar nichts weißt (schau mal in die Syno-Liste im Wiki ). Schaden kann es eben nicht...

 

[b1tchnow]

Das NAS ist nicht angeschlossen, aber wenn ich es anschließe, wie geht das dann wenn die Ports zu sind? Und ja, es hat mit genau dieser Einstellung funktioniert...

Was hat mit genau dieser Einstellung funktioniert? Und verwendest Du vielleicht Quickconnect von Synology?

 

[Benares]

Kann man den Online-Portscannern trauen?

Schau dir mal den "Netzwerkcheck" bei Heise (Zeitschrift c't) an. Da kann man ganze Bereiche aber auch bestimmte Ports prüfen.

 

[Erwe]

Was hat mit genau dieser Einstellung funktioniert? Und verwendest Du vielleicht Quickconnect von Synology?

Nein kein Quickconnect. z.B. komme ich von extern auf den DSM zu.

 

[b1tchnow]

Nein kein Quickconnect. z.B. komme ich von extern auf den DSM zu.

Ich stelle fest:

- Du hast in der Freigabe zwei Porst freigegeben, die auf eine nicht mehr verwendete interne IP-Adresse verweisen.
- Du mit dieser Konfiguration Zugriff von außen auf die Diskstation?

Welchen Router verwendest Du? Auf welche Anwendungen der Diskstation kannst Du zugreifen?

 

[Erwe]

Welchen Router verwendest Du? Auf welche Anwendungen der Diskstation kannst Du zugreifen?

Technicolor TC7200U. Zugriff auf alles was läuft. DSM, PhotoStation, Alle Systemeinstellungen. Als ob ich zu Hause davor sitzen würde.