SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker

Status
Für weitere Antworten geschlossen.

chmee

Benutzer
Mitglied seit
02. Sep 2008
Beiträge
74
Punkte für Reaktionen
0
Punkte
0
@frogman
..habe sie im nächsten Post doch nachgebessert.. "ports zu schließen".. welche?! Alle bis auf einen? Allein die Frage, ob Port XY geschlossen werden sollte oder zB per https sicher ist, ist keine Hilfe. Wissen wir schon, auf welchem Port, mit welchem Exploit der Zugriff durchgeführt wird? Die einzig anständige Aussage ist doch, alle Ports zu schließen - so blöd es auch klingt, sogar der indirekte Zugriff via Rechner und Webkonsole könnte möglich sein. Man sollte sich nur bewusst sein, dass, wenn es erst passiert ist, die Daten 100%ig weg sind.
 
Zuletzt bearbeitet:

dany

Benutzer
Mitglied seit
31. Mrz 2008
Beiträge
352
Punkte für Reaktionen
0
Punkte
22
Laut heise.de wird in kürze eine News von Synology folgen. Dann wissen wir mehr. Alles andere ist Spekulation wie/wer rein gekommen ist.

Gruss Dany


Update vom 04.08.14, 14:45:
Synology hat uns gegenüber angekündigt, hierzu in Kürze in offizielles Statement zu veröffentlichen
 

diver68

Benutzer
Mitglied seit
07. Nov 2012
Beiträge
401
Punkte für Reaktionen
16
Punkte
18
Wie ich Eingangs schon schrieb. Erst mal Stecker aus der Wand und auf ein offizielles Statement warten. Alles Andere (welche Ports wann wo und wohin) ist reine Spekulation, solange man noch nicht weiß um was/wen es sich handelt.
 

Oceanwaves

Benutzer
Mitglied seit
23. Dez 2013
Beiträge
105
Punkte für Reaktionen
17
Punkte
18
Unglücklich sind solche Zombie-Hosts - dieser "Virus" ist quasi tödlich. Es zerstört die Idee einer Backup-Position - und ganz ehrlich, ich habe kein weiteres Backup neben meinem Raid1 DS212. Es würde mich echt kalt erwischen.
Ein NAS ist ein NAS und kein Backup. Sicher, man könnte es auch als Backup-Medium verwenden, aber dann hat es nichts im Internet verloren.
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Habe im Netz eine mögliche Notlösung für betroffene Maschinen gefunden
1.Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.


Bin da nicht der Urheber aber es klingt halbwegs logisch so vorzugehen. Besser als nichts.
 

chmee

Benutzer
Mitglied seit
02. Sep 2008
Beiträge
74
Punkte für Reaktionen
0
Punkte
0
@Oceanwaves
Nun, willst Du den Kunden vorwerfen, dass sie auf die "eierlegende Wollmilchsau"-PR reinfallen und ihre Syno als Netzplatte, Backup, als VPN-Base und als ftp-Host nutzen? Unnötig, oder?
 
Zuletzt bearbeitet:

e876zh239

Benutzer
Mitglied seit
04. Aug 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
@Iarn:
Die Lösung wurde HIER schon genannt, löst aber auch nicht das Problem der weiterhin verschlüsselten Daten, leider.

Ich hab auch alle Ports im Router geschlossen. Waren bei mir nur 5001 und 6690. Aber sicher ist sicher.
Gruß
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Bin da nicht der Urheber aber es klingt halbwegs logisch so vorzugehen.
Deswegen ist es immer gut bei sowas die Quelle anzugeben, denn so ist es auch kein Zitat (Kopf meets Tischplatte).

MfG Matthieu
 

_Homer_

Benutzer
Mitglied seit
05. Sep 2008
Beiträge
98
Punkte für Reaktionen
0
Punkte
6
und hier eine offizielle Aussage im englischen Forum zu Sofortmaßnahmen (Diskstation abschalten, damit nicht noch mehr Daten verschlüsselt werden und Kontakt mit Synolgy aufnehmen)
 

mysticc

Benutzer
Mitglied seit
26. Mai 2010
Beiträge
136
Punkte für Reaktionen
0
Punkte
0
Syno wurde ausgeschaltet. Was hilft das Grübeln ob dieses oder jenes genug ist - vor allem da man noch nicht weiß über welchen Weg sich Zugang verschafft wurde.
Ausschalten ist definitiv genug.
Und nun warten was von Synology kommt.
 

Dennis-TW

Benutzer
Mitglied seit
31. Mrz 2013
Beiträge
83
Punkte für Reaktionen
10
Punkte
8
Hui .... und sowas wenn man 10.000 km von seiner DS entfernt sitzt :eek:

Zum Glück nichts passiert und jetzt erstmal alle Freigaben deaktiviert. Man gut, dass ich mich vor dem Abflug noch in openVPN eingearbeitet habe.
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.696
Punkte für Reaktionen
2.110
Punkte
829
Und gut, wenn man sich trotz Reise auf dem Laufenden hält. Zeit spielt bei so unerfreulichen Themen wie diesem eine nicht unerhebliche Rolle.
 

süno42

Benutzer
Mitglied seit
29. Nov 2012
Beiträge
224
Punkte für Reaktionen
0
Punkte
0
Moin,

allen hier, deren Daten verschlüsselt wurden, mein Beileid. Man kann es leider nicht oft genug sagen, und es wurde auch schon so oft hier diskutiert: Ein simples NAS gehört einfach nicht ins Internet. Mittlerweile sollte bekannt sein…

  • Im DSM ist ein Haufen veralteter Software vergraben
  • Synology hat es bis heute nicht geschafft, ein ordentliches Patchmanagement auf die Beine zu stellen
  • Updates sind immer noch nicht digital signiert (man möge mich korrigieren, falls es sich doch bereits geändert hat)
  • Dienste laufen unnötigerweise größtenteils mit Root-Rechten (was bei Standard-Linux-Distributionen nicht der Fall ist)
  • Synology hat einige proprietäre Treiber integriert, deren Nutzen nicht immer klar ist bzw. geheim gehalten wird
  • Synology ist durch fest kodierte Standardpaßwörter negativ aufgefallen
  • Synology verlangt im Supportfall Zugriff über Telnet
  • Die Diskstation funkt regelmäßig über HTTP einen Ping-Server in Asien an
  • Softwareaktualisierungen werden ohne Changelog ausgeliefert
  • In der Vergangenheit: diverse Pufferüberläufe, Directory-Traversal-Lücken, … in unterschiedlichen Webdiensten
  • Allseits bekannte Standardlücken von Webanwendungen sind/waren in der Weboberfläche verbaut
  • ...

Meine Wahrnehmung ist, daß Synology aus bereits vergangenen Sicherheitsvorfällen nichts gelernt hat bzw. keine Investitionen in verbesserte Sicherheit tätigen möchte. Sicherheit kostet nun mal Geld. Genauso werden Tips aus Anwenderkreisen nicht umgesetzt. Im Gegenteil, immer neue Funktionen (Verkaufsargument) und halbgare Software scheinen wichtiger zu sein (Billiger. Software reift beim Kunden, wenn sie denn nicht schon vorher anfängt zu schimmeln).

So, wer mag zuerst draufhauen? :D


Viele Grüße,
Süno42
 

dil88

Benutzer
Contributor
Sehr erfahren
Mitglied seit
03. Sep 2012
Beiträge
30.696
Punkte für Reaktionen
2.110
Punkte
829
Deine Argumente sind stichhaltig. Allerdings habe ich schon den Eindruck, dass sich bei Synology bereits etwas geändert hat und dass sich zukünftig noch mehr ändern wird. Es geht etwas langsam, aber ich habe dennoch die Hoffnung, dass da schon Schritt für Schritt ein substantielles Verständnis entsteht. Und das ist - da bin ich vollkommen Deiner Meinung - auch dringend erforderlich. Wir werden sehen, welchen Kurs Synology einschlagen wird.
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
8
Punkte
414
und hier eine offizielle Aussage im englischen Forum zu Sofortmaßnahmen (Diskstation abschalten, damit nicht noch mehr Daten verschlüsselt werden und Kontakt mit Synolgy aufnehmen)
Nun ja - wenn auch nicht offiziell, aber den Hinweis haben andere und ich auch bereits gestern Abend gegeben. Ich find's allerdings schon schade, dass dort von offizieller Seite - wie im Folgenden dann auch von Usern gefragt - nicht auch Hinweise kommen für diejenigen, die (bisher) nicht betroffen sind, wie bspw. Ports schließen.
 

Iarn

Benutzer
Sehr erfahren
Mitglied seit
16. Jun 2012
Beiträge
3.017
Punkte für Reaktionen
428
Punkte
149
Deswegen ist es immer gut bei sowas die Quelle anzugeben, denn so ist es auch kein Zitat (Kopf meets Tischplatte).

MfG Matthieu
Ich hatte es aus dem xpenology Forum. Links auf dieses Forum sind hier normal nicht gerne gesehen.
 

Puppetmaster

Benutzer
Sehr erfahren
Mitglied seit
03. Feb 2012
Beiträge
18.991
Punkte für Reaktionen
629
Punkte
484
Für mein Handy (Android) und mein iPad (WLAN im Hotel im Urlaub) reicht das dicke.

Genau aus dem Grund halte ich VPN eben auch nicht für die eierlegende Wollmilchsau, denn viel zu oft habe ich schon Wochen in einem Hotel mit WLAN aber ohne Möglichkeit, über VPN zuzugreifen, zugebracht.
 

mamuesp

Benutzer
Mitglied seit
28. Jan 2010
Beiträge
3
Punkte für Reaktionen
0
Punkte
0
Moin,
So, wer mag zuerst draufhauen? :D
Warum draufhauen, wenn jemand die Wahrheit sagt? Das muss ja wohl gesagt werden dürfen ...

Allerdings ist ein solcher Home-Server (der Ausdruck "NAS" ist m.E. nicht mehr adäquat) für bestimmte Anwendungen einfach praktisch. Ok, mit entsprechendem Wissen kann ich das Teil innerhalb eines VPNs betreiben, die Firewall dicht machen und nur wenige Dienste öffnen (irgendwie muss ich von außerhalb auch an meine Mails kommen ...). Allerdings sind die von Dir genannten Punkte absolut kontraproduktiv, und solange man noch Basteleien wie Zusatztools über IPKG dazupacken muss, ist die Sache sowieso recht wackelig.

Bloß: was gibt es für Alternativen? Den Riesenvorteil, ein relativ Energie sparendes System für alle benötigten Dienste einsetzen zu können, steht so schon wieder zur Disposition. Oder lässt sich die DSM von der Firmware befreien und eine eigene Lösung wie FreeNAS o.ä. aufspielen? Ok, das ist etwas ketzerisch, aber eine solche Überlegung sollte bei der zweiten großen Attacke in kurzer Zeit (die BitCoin-Heinis haben damals auch auf meinem System rumgeschrubbt ... zu der Zeit hatte ich versäumt, den VPN only Betrieb des NAS auch konsequent durchzuziehen) durchaus legitim sein ...
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat