SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

raimuell

Benutzer
Mitglied seit
18. Mrz 2011
Beiträge
66
Punkte für Reaktionen
0
Punkte
6
Stimmt, besser ich mache dazu einen extra Fred auf.
 

Malaka69

Benutzer
Mitglied seit
06. Aug 2013
Beiträge
85
Punkte für Reaktionen
0
Punkte
6
So, gerade nochmal ein Backup gemacht, weitergeleitete Ports geprüft (nun nur noch 5001, 443 und 80) und die DS wieder ans Internet gehängt. DSM 4.3-3827 Update5 war schon installiert :)
 

maDDin_1338

Benutzer
Mitglied seit
23. Apr 2012
Beiträge
823
Punkte für Reaktionen
0
Punkte
0
hier gehts ja rund...

wenn man keine ports offen hat, ist man auch nicht betroffen, wa ? :D
 

Syn_Master

Benutzer
Mitglied seit
25. Mai 2011
Beiträge
635
Punkte für Reaktionen
5
Punkte
44
da ist Sie wieder, die Angst, das "Jemand" auf die Own-Cloud zugreifen könnte.
Bis jetzt hab ich Glück gehabt, und schon einen Neuen Admin angelegt, aber welche Ports soll ich freigeben? Ich weiß, so wenig wie möglich...
Aber ein Tipp von Euch würde mir helfen. 5000, 5001, 21 und 23 werde ich jetzt mal sperren.
 

pumpupthejam

Benutzer
Mitglied seit
23. Jul 2014
Beiträge
11
Punkte für Reaktionen
0
Punkte
1
Technicolor TC7200U. Zugriff auf alles was läuft. DSM, PhotoStation, Alle Systemeinstellungen. Als ob ich zu Hause davor sitzen würde.

Unitymedia-Kunde nehme ich an? Bei dem Schrottgerät lässt sich die Firewall nur komplett ein- oder ausschalten. Ein bedeutet: Keine Ports offen. Aus bedeutet: ALLE Ports offen. Im inoffiziellen Unitymediaforum gibt es sehr viele Infos zu dem Gerät.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
..., aber welche Ports soll ich freigeben? Ich weiß, so wenig wie möglich....
Welche Ports? Hey, das steht ja nun dutzendfach auf den Seiten zuvor... nur diejenigen, die unbedingt benötigt werden, von Dir selbst oder als Angebot für andere. Es gibt hier kein Standardrezept! Welche Ports für welche Dienste notwendig sind, findet sich im Wiki in der Syno-Portliste.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.159
Punkte für Reaktionen
912
Punkte
424
@pumpupthejam - es stimmt zwar, dass sich UM hier nicht gerade ne Sahneschnitte geleistet hat mit dem TC7200U, aber so pauschal wie du es ausdrückst erweckt es vielleicht doch ein falsches Bild. Es stimmt zwar, dass die eingebaute Firewall nur ganz oder gar nicht geht, aber das ist nicht gleichbedeutend mit ALLE Ports offen. Es heißt nur, dass diese nicht mehr durch einen Filter gehen, wenn Verkehr auf den Ports anfällt. Wenn ein Gerät dahinter erreichbar sein soll muß trotzdem noch eine Portweiterleitung eingerichtet sein. Ansonsten ist das Gerät auch erstmal zu, also Dienste im internen Netz nicht direkt erreichbar.
Einzige Situation die ich mir vorstellen könnte in der aller Verkehr direkt an die DS geht, wenn diese in einer DMZ als exposed Host laufen würde. Ob das mit der TC7200U überhaupt möglich wäre bzw. auch was Erwe für eine Setup hat habe ich jetzt gerade auch nicht parat.
 

wo_2012

Benutzer
Mitglied seit
01. Jan 2013
Beiträge
7
Punkte für Reaktionen
0
Punkte
1
Was soll dass denn ? Bleibt doch bitte beim Thema.
Und nun zu folgender Aussage:
Wie gesagt, Angriff erfolgt nicht über VPN Ports. "vermutlich zu schwache Passwörter"? ....
Dir ist aber schon bekannt, dass es im VPN Umfeld der Synology eine schwerwiegende Passwort Schwachstelle in den Versionen DSM 4.3-3810 und älter gegeben hat, die Synology mit den Updates im Februar geschlossen hat nachdem diese Lücke aktiv zum Bitcoin-Mining ausgenutzt worden ist ?

Nun fordert Synology erneut alle Anwender auf, das Upgrade durchzuführen. Ist es nun so unwahrscheinlich, dass genau diese Lücke erneut ausgenutzt wurde, wenn Anwender ihre Firmware danach nicht aktualisiert haben ?

Die Anwender, die hier beklagen Synology würde sich nicht um die Probleme kümmern sollten mal überlegen, wie verantwortungsvoll sie selber mit den Information umgegangen sind, die Synology veröffentlicht hat.
 
Zuletzt bearbeitet:

Darkdevil

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
507
Punkte für Reaktionen
1
Punkte
0
Nach dem letzten Statement von Synology auf heise.de waren anscheinend doch nur Diskstations betroffen, die seit längerem nicht upgedated worden sind.

http://www.heise.de/newsticker/meld...eraete-anfaellig-fuer-Ransomware-2287427.html

Wer nach dem Bitcoining Einbruch nicht sein System up-to-date gebracht hat ist wahrlich selber schuld.

Daher denke ich, dass sich 90% der Leute hier wieder beruhigen können ;-)

Aufgrund dessen, habe ich meine Diskstation auch wieder ins Netz gehängt. Aktuellstes DSM 4.3 Update 5 ist ja eh schon drauf und
zusätzlich habe ich noch die 2-Stufen-Authentifierzung aktiviert.

Ich denke, das müsste genügen.
 

b1tchnow

Benutzer
Mitglied seit
18. Jun 2014
Beiträge
169
Punkte für Reaktionen
0
Punkte
0
zusätzlich habe ich noch die 2-Stufen-Authentifierzung aktiviert.

Ich denke, das müsste genügen.

Nochmal: Gegen diese hier verwendete Lücke im System nutzen alle Sicherheitsmaßnahmen nix. Die Angreifer haben sich über die VPN-Anmeldung als root Zugriff verschafft. Auf der Ebene wird kein 2-Wege-Auth verwendet.
Gegen diesen Angriff hat nur eines geholfen: ein aktuelles System!
 

Perry2000

Benutzer
Mitglied seit
05. Nov 2012
Beiträge
829
Punkte für Reaktionen
16
Punkte
44
Also meine DS412+ und DS413 sind schon immer am Netz mit 4.3 Update 5.
Bis jetzt keine Probleme :)
 

P4ddy

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
461
Punkte für Reaktionen
1
Punkte
16

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.217
Punkte für Reaktionen
69
Punkte
114

P4ddy

Benutzer
Mitglied seit
26. Okt 2009
Beiträge
461
Punkte für Reaktionen
1
Punkte
16
Schande über mein Haupt,
sorry ich hatte die letzten Seiten nur überflogen und hab das nicht gesehen. Dachte könnte ja jemandem helfen wenn es klappt. Naja, dann scheinbar leider nicht.
Hab nix gesagt :)
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.217
Punkte für Reaktionen
69
Punkte
114
Schon OK! ;) Wollte es nur kundtun, dass du nicht der Erste bist!

Thread ist mittlerweile viel zu groß und unübersichtlich ;)
Da kann man leicht was übersehen...
 
Mitglied seit
07. Aug 2014
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
.......
Wer nach dem Bitcoining Einbruch nicht sein System up-to-date gebracht hat ist wahrlich selber schuld.
........
Ich denke, das müsste genügen.

Nicht jeder hat Zeit ständig Newsticker zu lesen, und ja....... ich hab davon gar nichts mitbekommen.
Andererseits sind auch Firmware-Updates nicht immer ganz unproblematisch.
Das von dem Du denkst, es müsste genügen, könnte beim nächsten Mal genau das sein, worüber die Bösewichte an Deine Daten kommen.

Wie empfohlen, werde ich jetzt das Update machen, nur hab ich z.Z. nirgends genügend Volumen um ein vollständiges Backup meiner Daten, die auf der DS sind, zu machen.
Ich betreibe die DS212j im Raid 1 Modus.
Ist es also eine gute Idee, eine Platte zu entfernen, während ich update, damit, falls was schiefgeht mit dem Update, die Daten wenigstens noch auf einer Platte sind?

Oder geht das Update nur, wenn beide Platten eingebaut sind?
 

Macflieger

Benutzer
Mitglied seit
06. Nov 2010
Beiträge
181
Punkte für Reaktionen
0
Punkte
16
Ich habe auf meiner DS 209 die aktuellste Version laufen (4.2-3250) und hatte nur den Port 443 nach außen offen (aktuell abgestellt).

Jetzt steht in der Mitteilung von Synology, dass nur "4.3-3810 oder älter soll betroffen" sind und dass man auf "Version 4.2-3243 oder neuer" updaten sollte.

Hmmm, bezieht sich das "oder älter" also auf das Veröffentlichungsdatum der Firmware und ich bin mit 4.2-3250 sicher? Anders herum ("oder älter" bezieht sich auf die Versionsnummer) wäre ein Update kleinerer Versionsnummer sicher vernünftig, aber würde in diesem Fall nicht helfen.

Gibt es definitive Hinweise darauf, welcher Dienst angegriffen wurde? Von OpenVPN ist hier öfters die Rede. Ist das sicher oder weiter Vermutung?
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat