SynoLocker TM - Daten auf NAS gecrypted worden durch Hacker
- Ersteller jony
- Erstellt am
- Status
Noch ein Link für dich. Suchst dir am besten einen Port in diesem Bereich aus.
Bei DSM 5 änderst du den Port unter Netzwerk -> DSM Einstellungen. Die DS Firewall wird dann automatisch angepasst. Musst dann nur das Portforwarding deines Routers anpassen.
Oder aber du änderst nicht in der DS und machst ein Destination NAT (hoffentlich ist das der richtige Begriff).
D.h. deine Port Weiterleitung im Router von Port z.B. 65001 auf 5001 bzw. 65000 auf 5000. Letzteres würde ich nicht empfehlen.
Zuletzt bearbeitet:
...ist halt schon ein MORDSAUFWAND eine vorhandene Mitteilung in ENGLISCH auf DEUTSCH und die restlichen angebotenen Sprachen der Internetpräsenz übersetzen zu lassen und einen zusätzlichen, gut SICHTBAREN LINK zu setzen... Muss wahrscheinlich zuerst budgetiert werden...
...und sorry, wenn ein so grosses Unternehmen keine Krisenorganisation aus der Schublade ziehen kann zweifle ich wirklich langsam an dieser Firma!
MEINE MEINUNG!
Gruss
NEMA
Hier findest du viele ansprechende Videos, die deine grundsätzlichen Fragen beantwroten sollten. Hatte mir damals sehr weitergeholfen.
Zuletzt bearbeitet:
Hi Mike,
ich denke, zum Thema Portfreigabe/Portweiterleitung in Routern gibt es schon genug Anleitungen. Zudem sieht das bei jedem Router wieder anders aus.
Bei einer Fritzbox 7270 wählst Du z.B. den Punkt Internet/Freigaben/Portfreigaben und erstellst dann neue Einträge. Als Beispiel hier mal eine Portweiterleitung von (extern) Port 12345 auf den Port 22 (ssh) der DiskStation. Im Feld "an IP-Adresse" muss dann die IP der DiskStation eingetragen werden.
Wichtig ist natürlich, dass man bei einem Verbindungsaufbau von außen dafür sorgen muss, dass keine ssh-Verbindung zu Port 22, sondern zu Port 12345 aufgebaut werden soll. Dies lässt sich aber eigentlich in allen ssh-Clients konfigurieren.
Wenn Du mit einem Browser einen bestimmten Port erreichen willst, dann gibst Du den einfach hinter dem URL ein.
Beispiel: Du möchtest von außen direkt auf die DSM-Oberfläche, und zwar per HTTPS. Dazu müsste normalerweise der Port 5001 von außen erreichbar sein. Wenn Du im Router eine Weiterleitung von z.B. Port 47001 auf Port 5001 eingerichtet hast, dann gibst Du im Browser entsprechend "<URL>:47001" ein. Du sprichst also den Port 47001 an, Dein Router nimmt Deine Anfrage auf diesem Port entgegen und leitet sie intern an Deine DiskStation an Port 5001 weiter.
Zumindest auf der Englischen Synology Seite gibt es ein Statement dazu. http://www.synology.com/en-us/company/news/article/470 Ist auch auf der Englischen Hauptseite unter News zu sehen.
[sorry auch nochmal Offtopic]
Lachhaft, da das gesamte Gebaren dieser Firma von Webseite bis Presseinformation nur auf den Verkauf neuer Einheiten mit noch mehr Features aus ist, statt sich auch um den schon vorhandenen Kunden zu kümmern. Als IT-Firma ist es heute ein absolutes Muss den Securitybereich prominent zu platzieren und aktuell zu halten und einerseits IT-Laien schnell einfache Fixes anzubieten und andererseits IT-Experten tiefergehende Infos zu geben um Abschätzungen vornehmen zu können. Davon ist bei Synology nichts zu sehen, stattdessen werden mit Riesen-Shows Beta Versionen einer 5.1er Version angekündigt wo noch nicht mal die Letzte in allen Bereichen wirklich stabil läuft - naja Zielgruppe ist eben der auf die Featureliste geiernde Privatkunde.
Sorry und wenn die Securityabteilung zu viel zu tun hat, dann fehlt dort Personal - im Marketing haben sie scheinbar genug Manpower.
Ka ob das bei QNAP oder den anderen SOHO-NAS Firmen anders läuft, wahrscheinlich nicht aber die haben alle den Schuß nicht gehört. In der heutigen Nach-Snowden-Zeit könnte man viel Geld mit auf Sicherheit getrimmte Home-Cloud Produkte machen, aber das ist wohl nicht im im Fokus.
[offtopic off und nochmal sorry]
Das ist grundsätzlich richtig. Mir persönlich hat das aber schon sehr geholfen. Ich habe einen Kabelanschluss mit quasi statischer IP (ändert sich vielleicht 1, 2 mal im Jahr) und ich habe einen ssh-Zugang zu meinem PC. PC-seitig ist der schon einigermaßen beschnitten, z.B. kein Login als root erlaubt, nur ein bestimmter Username ist zugelassen und der hat ein komplexes Passwort. Klar könnte man das noch sicherer machen, z.B. Zugang nur noch per Key mit entsprechend komplexer Passphrase.
Aber seitdem ich den Zugang von Port 22 auf einen High Port gelegt habe, habe ich in über 5 Jahren nicht einen Login-Versuch mehr gesehen. Fail2Ban langweilt sich seitdem extrem ;-). Um Fail2Ban zu testen hatte ich mal ein paar Tage Port 22 offen, da kamen dann mehrere Login-Versuche pro Stunde zusammen. War mal ganz lustig zu sehen, von wo die Versuche kamen und womit die Leute versuchten, sich anzumelden. Aber mir ist es lieber, ich sehe erst gar keine Login-Versuche. Und das hat durch das Verstecken des Ports bislang geklappt.
b1tchnow
Benutzer
- Mitglied seit
- 18. Jun 2014
- Beiträge
- 169
- Punkte für Reaktionen
- 0
- Punkte
- 0
Zu 1.
Natürlich gewinnt man keine "Sicherheit" im Sinne einer absoluten Allheilmittelsicherheit, aber es ist doch offensichtlich, dass die Anzahl der Portscans abnimmt und man so ein geringeres Risiko hat, von solchen Massenattacken, die auf Sicherheitslücken in den Services basieren, betroffen zu sein.
Natürlich kann sich der geübte Hacker auch in so eine DS noch reinhacken, aber auch die gewinnorientierten Kriminellen sind faul und hacken sich nicht manuell in jede DS rein. Da laufen gekaperte Botnetze, die Standardports auf Standarddienste scannen und bei positivem Befund die Schwachstelle angreifen. Nach Umlegen der Standardports nimmt nach einhelliger Meinung hier die Anzahl der Portscans dramatisch ab und damit das Risiko einer automatisierten Attacke.
Vor solchen automatisierten Attacken schützt das Umlegen der Ports oder willst Du das Gegenteil behaupten?
Man muss das ganze auch in einen praktischen Kontext setzen und sich mal von der rein akademischen Sicht lösen!
Ich bin mir auch noch nicht sicher, ob das hier unter Security by Obscurity fällt.
Es gibt doch Alternativen. Wenn ich so unzufrieden wäre, dann wäre ich längst weg. Ich würde mich evtl. mit Windows Home Server auseinadersetzen, oder mir einen eigenen Server mieten, oder was es sonst noch so gibt. Keiner zwingt dich die Produkte zu kaufen, oder ist das Marketing doch so gut?!
Ich will das gar nicht diskutieren, dazu ist dieses Forum nicht der richtige Ort.
Was ich nur verhindern möchte ist das dem unbedarften User damit eine Sicherheit vorgegaukelt wird, die er damit nicht erreicht. Und er damit die wichtigen Punkte vernachlässigt.
1. Wirklich nur benötigte Dienste nach außen zu leiten.
2. Ein möglichst komplexes Kennwort für seine Kennungen zu verwenden.
3. IP-Sperrung nach bestimmter Anzahl vergeblichen Anmeldeversuchen.
damit ist aus Sicherheitssicht bei einer DS alles getan. Das durch die Portumbiegung die Anmeldeversuche nicht in den Logfiles auftauchen ist eher ein Nice to have.
b1tchnow
Benutzer
- Mitglied seit
- 18. Jun 2014
- Beiträge
- 169
- Punkte für Reaktionen
- 0
- Punkte
- 0
Du hast meine volle Zustimmung! Das Umlegen ist nur ein kleiner Baustein der DS-Sicherheit und bei weitem nicht der wichtigste! Aber in meinen Augen ist er elementar und nicht nur reine Makulatur der Logdatei.
Es wird hier oft vieles auf BruteForce reduziert, aber gegen eine Lücke in den Diensten - und ich glaube das ist das Einfalltor für den hier diskutierten Hack! - hilft auch die kürzeste Blocklistzeit und das längste Passwort nichts, wenn der Dienst vom Hacker identifiziert wird.
Zuletzt bearbeitet:
Frogman
Benutzer
- Mitglied seit
- 01. Sep 2012
- Beiträge
- 17.485
- Punkte für Reaktionen
- 8
- Punkte
- 414
An dieser Stelle mal ein kleiner Hinweis: gerade auch in diesem Thread fallen mir die häufigen full-quotes auf, auch unmittelbar folgend. Zitiert doch bitte, falls nötig, nur die relevanten Aussagen - das erhöht ungemein die Lesbarkeit.
- das erhöht ungemein die Lesbarkeit.
- Mitglied seit
- 03. Sep 2012
- Beiträge
- 30.443
- Punkte für Reaktionen
- 1.827
- Punkte
- 804
So ist es. Und deshalb ist neben den Dingen, die hopeless aufgeführt hat, das Einspielen von Security-Updates ein weiterer essentieller Punkt.
Waldschrat
Benutzer
- Mitglied seit
- 09. Apr 2014
- Beiträge
- 158
- Punkte für Reaktionen
- 3
- Punkte
- 24
Nein, bin kein Spezialist und auf die Hilfe von Menschen wie Dir angewiesen.
pidof funktioniert, allerdings bei
Rich (BBCode):
/volume1/public> ps -w|grep synosync
26295 root 4712 S /bin/sh ./synosync
26515 root 4712 S sh -c ps -w|grep synosync 2>&1
26517 root 4716 S grep synosync
/volume1/public>Moin!
Es gibt ja eine Liste mit allen Ports, welche die Syno nutzen kann. (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet)
Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.
Ich leite 443 und 5001 weiter, werde aber heute Abend die beiden Ports am Router extern anders darstellen.
Vielleicht ist auch das ein, wenn nicht sogar DAS Problem, warum es eben zu Sicherheitsproblemen kommt, weil viele sich nur unzureichend auskennen.
Wobei mir noch immer nicht klar ist, ob man nun von dem Synolocker betroffen sein kann, wenn man z.B. nur 1 Port offen hatte und diesen auch noch mit einer anderen externen Portnummer versehen hatte?
Es gibt ja eine Liste mit allen Ports, welche die Syno nutzen kann. (http://www.synology-wiki.de/index.php/Zugriff_auf_die_Synology-Dienste_über_Internet)
Aber mir ist (noch immer) nicht bei allen Ports klar, wofür diese nun GENAU benötigt werden und ich denke, so geht es vielen "Hobby"Mini-Admins aka Syno-Nutzer.
Ich leite 443 und 5001 weiter, werde aber heute Abend die beiden Ports am Router extern anders darstellen.
Vielleicht ist auch das ein, wenn nicht sogar DAS Problem, warum es eben zu Sicherheitsproblemen kommt, weil viele sich nur unzureichend auskennen.
Wobei mir noch immer nicht klar ist, ob man nun von dem Synolocker betroffen sein kann, wenn man z.B. nur 1 Port offen hatte und diesen auch noch mit einer anderen externen Portnummer versehen hatte?
Zuletzt bearbeitet:
jahlives
Benutzer
- Mitglied seit
- 19. Aug 2008
- Beiträge
- 18.275
- Punkte für Reaktionen
- 4
- Punkte
- 0
nur so als Einwurf. Was bringt dieses Script? Das schlägt an falls synosync gefunden wird. Glaubt ihr nicht in dem Fall wäre es besser die DS SOFORT abzuschalten, wie auch von Syno empfohlen? Dann ist das Teil ja scheinbar schon verseucht. Das Script sollte sofort runterfahren und nicht den Prozess killen. Denn woher weisst du wo der Aufruf herkommt? Was wenn der Aufruf von ganz woanders herkommt?
- Mitglied seit
- 03. Feb 2012
- Beiträge
- 18.991
- Punkte für Reaktionen
- 628
- Punkte
- 484
Die Regel lautet: wenn du nicht weißt, wozu es gut ist, dann lass lieber die Finger davon! Im Zweifel brauchst du es ohnehin nicht.
Das ist der erste Schritt zur Sicherheit.
- Status
Kaffeautomat
Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.
Als Dankeschön schalten wir deinen Account werbefrei.
