SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

[yep_DD]

@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.

@all was mache ich, wenn mein Mailserver darauf läuft, meine NAS ist aktuell vom Netz getrent, aber SMTP und wenigstens Zarafa würde ich gern nutzen wollen (wnn auch nur über 237 also SSL ActiveSync)

 

[WebBuddha]

Ich würde niemals die "blanken" Syno Ports nach aussen öfffnen, sondern immer irgendwelche hohen Portnummern! 5000 und 5001 sollten immer nach außen (oder von aussen) 55000 oder 55001 sein! Das sind doch alles Sachen, die man nur selbst benötigt!
Dass ein FTP Port (21) oder http/s (80/443) so zu bleiben haben, ist verständlich, da ja die Masse darauf zugreift - aber der Rest? Wenn ich FTP nur für mich allein benutze, dann würde ich selbst dort auf 50021 oder 55521 gehen oder mir irgendwas anderes ausdenken!

Telnet (23) würde ich mit SSH einrichten und dort dann nicht Port 22 sondern 922 oder was anderes....




Machen Leute!!!!! Das ist doch nun nicht so schwer!

Bei einem PortScanner bringt dir das absolut garnicht. Ist für den Angreifer nur minimal mehr Aufwand.
...aber besser wie nichts

 

[TheGardner]

Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?

wenn Du nur selbst sie nutzt - Verschleier sie doch! Nimm beim Aussenport einfach bei 548 50408 und ändere das im Router und den nötigen Programmen um! Weiss nicht, ob das beim 6690 auch geht! Mal in der CloudStation gucken, ob man den Port dort in den Einstellungen manuell ändern kann!

Die Portscanner glotzen nicht bis in den 5-stelligen Bereich hoch! Soviel Zeit hat kein Schwein! Bei der Aktuellen Bedrohung geh ich sowieso nur davon aus, dass alles "auf Synology" zugeschnitten wurde! D.h. aktuelle Ports, welche in jedem Wiki zu Synology Maschinen stehen! 5000, 5001, die 7000er, die 5006er, 21, 22, 23, 80, 443 usw....

 

[Stinka]

Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...

 

[Zeyda2]

GUT die Frage ist nun folgende.
Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?

 

[dil88]

Der ssh-Port wird generell stark gescannt.

 

[Frogman]

GUT die Frage ist nun folgende.Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?

Ich will Dich nicht auf den Arm nehmen - aber den Weg kannst Du Dir beim besten Willen sparen... (siehe meine Anmerkung oben).

 

[TheGardner]

Hab fast das Gefühl, dass die über 5000/5001 kommen!

 

[Zeyda2]

@Frogman ich glaube auch, dass du mich nicht auf den Arm nehmen willst und befürchte das auch glauben zu müssen nichts mehr machen zu können.

 

[KlausKaa]

@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.

Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.

 

[yep_DD]

@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. Stell dir vor, was da gerade vorgeht im Kopf. Im englischen Synology Forum hat wohl der ein oder andere bezahlt und es wurde entsperrt.

Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.

 

[Oceanwaves]

Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...

Nein, wenn ssh auf Port 23 nach außen frei gegeben ist, dann muss man da mit Login-Versuchen im Minutentakt rechnen. Aber man muss ssh ja von außen nicht über Port 23 freigeben. Der Router unterstützt eine Portweiterleitung, also z.B. nach außen Port 41571 (oder sonst eine schöne 5stellige Zahl < 65535) wählen und über den Router dann intern auf Port 23 weiterleiten.

Mein PC ist auch per ssh zu erreichen, allerdings nicht über Port 23. Hatte probeweise mal 23 aufgemacht, file2ban hat dann ständig IP-Adressen wegen fehlerhafter Logins gesperrt. Nach der Umstellung auf einen 5stelligen Port habe ich in 5 Jahren bislang 0 (Null) Login-Versuche gehabt. Port-Scanning scheint den meisten zu aufwendig zu sein...

Eigentlich sollte jeder ssh-Client in der Lage sein, die Verbindung über einen frei konfigurierbaren Port aufzubauen.

 

[TheGardner]

Die sollten die Passworte mal vergleichen! Manchmal ists in den ersten Stunden immer der gleiche V-Key gewesen!

 

[luddi]

Wenn man hier aber Backup´s anhand von extern angeschlossenen USB Festplatten vornimmt dann können diese sicher auch davon betroffen sein.
Nur in dem Fall wenn man sie nicht ständig angeschlossen hat ist das hilfreich.

 

[Frogman]

@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. .

ähm... räusper räusper... gerade die sollten ein Backup haben! Oder sollen die ihren Kunden erklären, dass ihre Aufträge flöten sind... Ganz ehrlich - wer so dienstleistet, sollte sich überlegen, ob er den richtigen Job hat. Aber das wird jetzt hier offtopic...

 

[TheGardner]

Hihi, da hab ich -unabsichtlich- bei mir aus Genervt-Sein etwas verändert! Ich habe mir selbst (und dem Admin) nämlich den Zugriff/Sichtbarkeit der Backup-Laufwerke/Ordner gesperrt!
Ich will die nicht sehen - der Backup-Vorgang läuft in der Nacht trotzdem, weil wohl der Systemuser da Zugriff drauf hat!

 

[Frogman]

.... Im englischen Synology Forum hat wohl der ein oder andere bezahlt und es wurde entsperrt.

Kannst Du diese Aussage bitte einmal mit einem Link unterlegen?

 

[Darkdevil]

Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?
Betrifft diese Änderung nur den Admin Account, oder müssen sich meine registrierten Benutzer auch eine App aufs Handy laden?

 

[Frogman]

Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?

Das ist nicht sicher. Es ist unklar, ob hier mit "erbeuteten" Admin-Zugangsdaten agiert wird oder über eine Schwachstellen im DSM. Du solltest Dich nicht auf den 2-Factor verlassen!

 

[yep_DD]

@Frogman, ich suche es gerade, muss zu meiner Schande gestehen, dass ich es nicht finde (vielleicht habe ich mich nur verlesen, ich suche aber weiter)

Bin aber auf das hier gestoßen: http://www.kb.cert.org/vuls/id/534284 Prinzipiell geht es um ein hardgecodedes openVPN Passwort, was nicht geändert werden kann, betroffen sind alls DS 4.3 3810 Update 1 und vorher (ich kannte diese CVE nicht)