Toggle sidebar

SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.
@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.

@all was mache ich, wenn mein Mailserver darauf läuft, meine NAS ist aktuell vom Netz getrent, aber SMTP und wenigstens Zarafa würde ich gern nutzen wollen (wnn auch nur über 237 also SSL ActiveSync)
 
TheGardner schrieb:
Ich würde niemals die "blanken" Syno Ports nach aussen öfffnen, sondern immer irgendwelche hohen Portnummern! 5000 und 5001 sollten immer nach außen (oder von aussen) 55000 oder 55001 sein! Das sind doch alles Sachen, die man nur selbst benötigt!
Dass ein FTP Port (21) oder http/s (80/443) so zu bleiben haben, ist verständlich, da ja die Masse darauf zugreift - aber der Rest? Wenn ich FTP nur für mich allein benutze, dann würde ich selbst dort auf 50021 oder 55521 gehen oder mir irgendwas anderes ausdenken!

Telnet (23) würde ich mit SSH einrichten und dort dann nicht Port 22 sondern 922 oder was anderes....




Machen Leute!!!!! Das ist doch nun nicht so schwer!
Zum Vergrößern anklicken....
Bei einem PortScanner bringt dir das absolut garnicht. Ist für den Angreifer nur minimal mehr Aufwand.
...aber besser wie nichts
 
Stinka schrieb:
Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?
Zum Vergrößern anklicken....

wenn Du nur selbst sie nutzt - Verschleier sie doch! Nimm beim Aussenport einfach bei 548 50408 und ändere das im Router und den nötigen Programmen um! Weiss nicht, ob das beim 6690 auch geht! Mal in der CloudStation gucken, ob man den Port dort in den Einstellungen manuell ändern kann!

Die Portscanner glotzen nicht bis in den 5-stelligen Bereich hoch! Soviel Zeit hat kein Schwein! Bei der Aktuellen Bedrohung geh ich sowieso nur davon aus, dass alles "auf Synology" zugeschnitten wurde! D.h. aktuelle Ports, welche in jedem Wiki zu Synology Maschinen stehen! 5000, 5001, die 7000er, die 5006er, 21, 22, 23, 80, 443 usw....
 
Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...
 

Anhänge

  • Bildschirmfoto 2014-08-04 um 14.27.39.png
    Bildschirmfoto 2014-08-04 um 14.27.39.png
    91,9 KB · Aufrufe: 431
GUT die Frage ist nun folgende.
Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?
 
Der ssh-Port wird generell stark gescannt.
 
Zeyda2 schrieb:
GUT die Frage ist nun folgende.Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?
Zum Vergrößern anklicken....
Ich will Dich nicht auf den Arm nehmen - aber den Weg kannst Du Dir beim besten Willen sparen... (siehe meine Anmerkung oben).
 
Hab fast das Gefühl, dass die über 5000/5001 kommen!
 
@Frogman ich glaube auch, dass du mich nicht auf den Arm nehmen willst und befürchte das auch glauben zu müssen nichts mehr machen zu können.
 
yep_DD schrieb:
@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.
Zum Vergrößern anklicken....

Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.
 
@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. Stell dir vor, was da gerade vorgeht im Kopf. Im englischen Synology Forum hat wohl der ein oder andere bezahlt und es wurde entsperrt.

KlausKaa schrieb:
Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.
Zum Vergrößern anklicken....
 
Stinka schrieb:
Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...
Zum Vergrößern anklicken....
Nein, wenn ssh auf Port 23 nach außen frei gegeben ist, dann muss man da mit Login-Versuchen im Minutentakt rechnen. Aber man muss ssh ja von außen nicht über Port 23 freigeben. Der Router unterstützt eine Portweiterleitung, also z.B. nach außen Port 41571 (oder sonst eine schöne 5stellige Zahl < 65535) wählen und über den Router dann intern auf Port 23 weiterleiten.

Mein PC ist auch per ssh zu erreichen, allerdings nicht über Port 23. Hatte probeweise mal 23 aufgemacht, file2ban hat dann ständig IP-Adressen wegen fehlerhafter Logins gesperrt. Nach der Umstellung auf einen 5stelligen Port habe ich in 5 Jahren bislang 0 (Null) Login-Versuche gehabt. Port-Scanning scheint den meisten zu aufwendig zu sein...

Eigentlich sollte jeder ssh-Client in der Lage sein, die Verbindung über einen frei konfigurierbaren Port aufzubauen.
 
Die sollten die Passworte mal vergleichen! Manchmal ists in den ersten Stunden immer der gleiche V-Key gewesen!
 
Wenn man hier aber Backup´s anhand von extern angeschlossenen USB Festplatten vornimmt dann können diese sicher auch davon betroffen sein.
Nur in dem Fall wenn man sie nicht ständig angeschlossen hat ist das hilfreich.
 
yep_DD schrieb:
@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. .
Zum Vergrößern anklicken....
ähm... räusper räusper... gerade die sollten ein Backup haben! Oder sollen die ihren Kunden erklären, dass ihre Aufträge flöten sind... Ganz ehrlich - wer so dienstleistet, sollte sich überlegen, ob er den richtigen Job hat. Aber das wird jetzt hier offtopic...
 
Hihi, da hab ich -unabsichtlich- bei mir aus Genervt-Sein etwas verändert! Ich habe mir selbst (und dem Admin) nämlich den Zugriff/Sichtbarkeit der Backup-Laufwerke/Ordner gesperrt!
Ich will die nicht sehen - der Backup-Vorgang läuft in der Nacht trotzdem, weil wohl der Systemuser da Zugriff drauf hat!
 
Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?
Betrifft diese Änderung nur den Admin Account, oder müssen sich meine registrierten Benutzer auch eine App aufs Handy laden?
 
Darkdevil schrieb:
Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?
Zum Vergrößern anklicken....
Das ist nicht sicher. Es ist unklar, ob hier mit "erbeuteten" Admin-Zugangsdaten agiert wird oder über eine Schwachstellen im DSM. Du solltest Dich nicht auf den 2-Factor verlassen!
 
@Frogman, ich suche es gerade, muss zu meiner Schande gestehen, dass ich es nicht finde (vielleicht habe ich mich nur verlesen, ich suche aber weiter)

Bin aber auf das hier gestoßen: http://www.kb.cert.org/vuls/id/534284 Prinzipiell geht es um ein hardgecodedes openVPN Passwort, was nicht geändert werden kann, betroffen sind alls DS 4.3 3810 Update 1 und vorher (ich kannte diese CVE nicht)
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten