SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.

@all was mache ich, wenn mein Mailserver darauf läuft, meine NAS ist aktuell vom Netz getrent, aber SMTP und wenigstens Zarafa würde ich gern nutzen wollen (wnn auch nur über 237 also SSL ActiveSync)
 

WebBuddha

Benutzer
Mitglied seit
05. Apr 2009
Beiträge
88
Punkte für Reaktionen
0
Punkte
6
Ich würde niemals die "blanken" Syno Ports nach aussen öfffnen, sondern immer irgendwelche hohen Portnummern! 5000 und 5001 sollten immer nach außen (oder von aussen) 55000 oder 55001 sein! Das sind doch alles Sachen, die man nur selbst benötigt!
Dass ein FTP Port (21) oder http/s (80/443) so zu bleiben haben, ist verständlich, da ja die Masse darauf zugreift - aber der Rest? Wenn ich FTP nur für mich allein benutze, dann würde ich selbst dort auf 50021 oder 55521 gehen oder mir irgendwas anderes ausdenken!

Telnet (23) würde ich mit SSH einrichten und dort dann nicht Port 22 sondern 922 oder was anderes....




Machen Leute!!!!! Das ist doch nun nicht so schwer!
Bei einem PortScanner bringt dir das absolut garnicht. Ist für den Angreifer nur minimal mehr Aufwand.
...aber besser wie nichts
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Kann ich Port 548 und 6690 offen lassen oder soll ich erstmal komplett dicht machen?

wenn Du nur selbst sie nutzt - Verschleier sie doch! Nimm beim Aussenport einfach bei 548 50408 und ändere das im Router und den nötigen Programmen um! Weiss nicht, ob das beim 6690 auch geht! Mal in der CloudStation gucken, ob man den Port dort in den Einstellungen manuell ändern kann!

Die Portscanner glotzen nicht bis in den 5-stelligen Bereich hoch! Soviel Zeit hat kein Schwein! Bei der Aktuellen Bedrohung geh ich sowieso nur davon aus, dass alles "auf Synology" zugeschnitten wurde! D.h. aktuelle Ports, welche in jedem Wiki zu Synology Maschinen stehen! 5000, 5001, die 7000er, die 5006er, 21, 22, 23, 80, 443 usw....
 

Stinka

Benutzer
Mitglied seit
27. Jan 2012
Beiträge
38
Punkte für Reaktionen
0
Punkte
6
Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...
 

Anhänge

  • Bildschirmfoto 2014-08-04 um 14.27.39.png
    Bildschirmfoto 2014-08-04 um 14.27.39.png
    91,9 KB · Aufrufe: 431

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
GUT die Frage ist nun folgende.
Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.703
Punkte für Reaktionen
2.113
Punkte
829
Der ssh-Port wird generell stark gescannt.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
GUT die Frage ist nun folgende.Wie nimmt man mit denen Kontakt auf, wenn die NAS mit den gehackten Platten nicht mehr bootet und man dadurch auch nicht mehr auf die Erpresserseite kommt?
Ich will Dich nicht auf den Arm nehmen - aber den Weg kannst Du Dir beim besten Willen sparen... (siehe meine Anmerkung oben).
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Hab fast das Gefühl, dass die über 5000/5001 kommen!
 

Zeyda2

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
8
Punkte für Reaktionen
0
Punkte
0
@Frogman ich glaube auch, dass du mich nicht auf den Arm nehmen willst und befürchte das auch glauben zu müssen nichts mehr machen zu können.
 

KlausKaa

Benutzer
Mitglied seit
08. Feb 2011
Beiträge
100
Punkte für Reaktionen
0
Punkte
0
@Zeyda Ich glaube, ich würde es probieren. Die Daten sind u.U. mehr Wert als die $300 und wie immer bei solchen Sachen, ist es sicher so, dass die ja das Feedback im Netz verbreiten wollen, dass gezahlt wird um so an möglichst noch mehr Kohle ranzukommen.

Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. Stell dir vor, was da gerade vorgeht im Kopf. Im englischen Synology Forum hat wohl der ein oder andere bezahlt und es wurde entsperrt.

Ich finde solche Aussagen extrem gefährlich - damit macht man den Betroffenen unnötig falsche Hoffnungen. Die machen auch so schon genug Kohle !
Das einzige, was hier hilft, ist ein Backup der Daten.
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Auf einer DS 213air mir aktueller DSM 5 Update 5 habe ich via SSH viele Loginversuche, hat das damit etwas zu tun? Habe insgesamt 3 DS am laufen ...
Nein, wenn ssh auf Port 23 nach außen frei gegeben ist, dann muss man da mit Login-Versuchen im Minutentakt rechnen. Aber man muss ssh ja von außen nicht über Port 23 freigeben. Der Router unterstützt eine Portweiterleitung, also z.B. nach außen Port 41571 (oder sonst eine schöne 5stellige Zahl < 65535) wählen und über den Router dann intern auf Port 23 weiterleiten.

Mein PC ist auch per ssh zu erreichen, allerdings nicht über Port 23. Hatte probeweise mal 23 aufgemacht, file2ban hat dann ständig IP-Adressen wegen fehlerhafter Logins gesperrt. Nach der Umstellung auf einen 5stelligen Port habe ich in 5 Jahren bislang 0 (Null) Login-Versuche gehabt. Port-Scanning scheint den meisten zu aufwendig zu sein...

Eigentlich sollte jeder ssh-Client in der Lage sein, die Verbindung über einen frei konfigurierbaren Port aufzubauen.
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Die sollten die Passworte mal vergleichen! Manchmal ists in den ersten Stunden immer der gleiche V-Key gewesen!
 

luddi

Benutzer
Sehr erfahren
Mitglied seit
05. Sep 2012
Beiträge
3.259
Punkte für Reaktionen
601
Punkte
174
Wenn man hier aber Backup´s anhand von extern angeschlossenen USB Festplatten vornimmt dann können diese sicher auch davon betroffen sein.
Nur in dem Fall wenn man sie nicht ständig angeschlossen hat ist das hilfreich.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
@KlausKaa ich gebe dir 100000%ig recht, aber wenn es um Firmenanwender geht, die einfahc kein BackUp haben oder einen Fotografen, ist die Denkweise anders. .
ähm... räusper räusper... gerade die sollten ein Backup haben! Oder sollen die ihren Kunden erklären, dass ihre Aufträge flöten sind... Ganz ehrlich - wer so dienstleistet, sollte sich überlegen, ob er den richtigen Job hat. Aber das wird jetzt hier offtopic...
 

TheGardner

Benutzer
Mitglied seit
30. Nov 2012
Beiträge
1.845
Punkte für Reaktionen
56
Punkte
74
Hihi, da hab ich -unabsichtlich- bei mir aus Genervt-Sein etwas verändert! Ich habe mir selbst (und dem Admin) nämlich den Zugriff/Sichtbarkeit der Backup-Laufwerke/Ordner gesperrt!
Ich will die nicht sehen - der Backup-Vorgang läuft in der Nacht trotzdem, weil wohl der Systemuser da Zugriff drauf hat!
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414

Darkdevil

Benutzer
Mitglied seit
08. Feb 2013
Beiträge
507
Punkte für Reaktionen
1
Punkte
0
Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?
Betrifft diese Änderung nur den Admin Account, oder müssen sich meine registrierten Benutzer auch eine App aufs Handy laden?
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
Wenn man die vorher angesprochene 2 Wege Authentifizierung aktiviert, wäre man dann vor diesem Angriff sicher?
Das ist nicht sicher. Es ist unklar, ob hier mit "erbeuteten" Admin-Zugangsdaten agiert wird oder über eine Schwachstellen im DSM. Du solltest Dich nicht auf den 2-Factor verlassen!
 

yep_DD

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
20
Punkte für Reaktionen
0
Punkte
0
@Frogman, ich suche es gerade, muss zu meiner Schande gestehen, dass ich es nicht finde (vielleicht habe ich mich nur verlesen, ich suche aber weiter)

Bin aber auf das hier gestoßen: http://www.kb.cert.org/vuls/id/534284 Prinzipiell geht es um ein hardgecodedes openVPN Passwort, was nicht geändert werden kann, betroffen sind alls DS 4.3 3810 Update 1 und vorher (ich kannte diese CVE nicht)
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat