Wichtige Logs (Protokollierung) via SSH auf der Synology

defmin · 18. Aug 2024

Hallo Zusammen,

wenn der Verdacht besteht das die Synology gehacked wurde, welche logs schaut ihr euch an, bzw. was sind eure Schritte um zu schauen ob die Synology sichert weiter laufen kann? Und on jemand was verändert hat bzw noch im System ist.

Danke vorab!

LG

Anzeige · 18. Aug 2024

Hallo defmin,

Bücher und Hardware zum Thema gibt es bei Amazon: Wichtige Logs (Protokollierung) via SSH auf der Synology

Synchrotron · 18. Aug 2024

Wenn ich den Verdacht hätte, wäre meine erste Maßnahme sofort abschalten.

Erstens um ggf. weitere Datenverluste zu unterbinden, zweitens um mein Netzwerk zu schützen.

defmin · 18. Aug 2024

Danke, das habe ich schon gemacht, Daten sind auch sicher, jetzt ist die Synology in einer Testumgebung, jetzt kommt meine Frage...

LG

Tommes · 18. Aug 2024

Schwer zu beantworten. Ein gut gemachter Hack vermeidet es, Spuren in irgendwelchen Protokollen zu hinterlassen.

Aber man könnte mal einen Blick in die /var/log/messages, /var/log/bash_history.log, /var/log/rm.log, /var/log/syslog.log oder /var/log/systemd.log werfen. Falls du den Ordner /var/log/ nach Suchbegriffen durchforsten möchtest, schau dir mal mein App LogAnalysis an, welche du in meiner Signatur findest.

Tommes · 18. Aug 2024

Du könntest auch mal einen Blick auf den DSM-Sicherheitsberater werfen.

Synchrotron · 18. Aug 2024

Vielleicht wirst du fündig. Meistens aber entweder nicht, oder es is SEHR offensichtlich, weil alle Dateien so einen komischen Zusatz tragen.

Sicher ist eigentlich nur ein Löschen, und aus einem Backup neu aufsetzen.

Zum Glück gibt es m.w. bei einer DS nichts, was einem PC-BIOS-Wurm entspräche. Daher sollten die DS selbst und die Laufwerke problemlos verwendbar sein, wenn man sie mit einem Löschprogramm abgeräumt hat.

Jim_OS · 18. Aug 2024

defmin schrieb:
wenn der Verdacht besteht das die Synology gehacked wurde

Mich würde mal interessieren wodurch dieser Verdacht entsteht, bzw. entstanden ist?

Ich meine es muss ja eigentlich einen Grund geben wie Du darauf kommst und dieser Grund könnte ja dann auch schon ein klares Anzeichen dafür sein das da ggf. jemand am Werke war. Wen dem so wäre würde das

defmin schrieb:
um zu schauen ob die Synology sichert weiter laufen kann?

m.M.n. einer Suche der Nadel im Heuhaufen gleichen, weil Du vermutlich niemals genau feststellen könntest was dieser "jemand" dann wo und wie gemacht hat. D.h. da gebe es m.M.n. kein sicher weiter laufen lassen, sondern nur noch ein kompl. platt machen.

Oder ist das ganz eher eine hypothetische Frage? Was eigentlich nicht sein kann wenn die DS sich jetzt extra in einer Testumgebung befindet.

VG Jim

defmin · 19. Aug 2024

@Tommes Danke dir für deine Hilfreiche Antwort!

defmin · 19. Aug 2024

Hallo @Jim_OS

ich kann da nicht ganz ins Detail gehen, es besteht aber in meinem Fall ein großer Verdacht... Weil ein anderer Server angegriffen wurde und die Synology ganz eng mit den einen Server verbunden war.

Danke aber für deine Anwort!

LG

Synchrotron · 19. Aug 2024

Du hast keine Chance sicher zu erkennen, ob sich jemand eingenistet hat.

Stichwort ist „sicher erkennen“. Entweder mit dem Risiko leben, oder alles platt machen. Nachschauen kannst du, aber ganz sicher ist es trotzdem nicht.

Bei der Entscheidung hilft die Frage, ob im Netzwerk „Zero Trust“-Methoden verwendet wurden. Also keine geteilten User & Passwörter, gegenseitiger Zugriff nur soweit, wie für die Anwendung nötig, und immer mit Einschränkung, interne Firewalls, Backups gesondert und abgeschirmt etc.

Je offener es vorher war, um so leichter pflanzt sich eine Infektion im Heimnetz fort.

Suche

Wichtige Logs (Protokollierung) via SSH auf der Synology

defmin

Benutzer

Anzeige

Synchrotron

Benutzer

defmin

Benutzer

Tommes

Benutzer

Tommes

Benutzer

Synchrotron

Benutzer

Jim_OS

Benutzer

defmin

Benutzer

defmin

Benutzer

Synchrotron

Benutzer

Kaffeautomat