Wichtige Logs (Protokollierung) via SSH auf der Synology

defmin

Benutzer
Mitglied seit
05. Jan 2024
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Hallo Zusammen,

wenn der Verdacht besteht das die Synology gehacked wurde, welche logs schaut ihr euch an, bzw. was sind eure Schritte um zu schauen ob die Synology sichert weiter laufen kann? Und on jemand was verändert hat bzw noch im System ist.

Danke vorab!

LG
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.100
Punkte für Reaktionen
2.067
Punkte
259
Wenn ich den Verdacht hätte, wäre meine erste Maßnahme sofort abschalten.

Erstens um ggf. weitere Datenverluste zu unterbinden, zweitens um mein Netzwerk zu schützen.
 
  • Like
Reaktionen: defmin

defmin

Benutzer
Mitglied seit
05. Jan 2024
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Danke, das habe ich schon gemacht, Daten sind auch sicher, jetzt ist die Synology in einer Testumgebung, jetzt kommt meine Frage...

LG
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.673
Punkte für Reaktionen
1.573
Punkte
314
Schwer zu beantworten. Ein gut gemachter Hack vermeidet es, Spuren in irgendwelchen Protokollen zu hinterlassen.

Aber man könnte mal einen Blick in die /var/log/messages, /var/log/bash_history.log, /var/log/rm.log, /var/log/syslog.log oder /var/log/systemd.log werfen. Falls du den Ordner /var/log/ nach Suchbegriffen durchforsten möchtest, schau dir mal mein App LogAnalysis an, welche du in meiner Signatur findest.
 

Tommes

Benutzer
Sehr erfahren
Maintainer
Mitglied seit
26. Okt 2009
Beiträge
9.673
Punkte für Reaktionen
1.573
Punkte
314
Du könntest auch mal einen Blick auf den DSM-Sicherheitsberater werfen.
 
  • Like
Reaktionen: defmin

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.100
Punkte für Reaktionen
2.067
Punkte
259
Vielleicht wirst du fündig. Meistens aber entweder nicht, oder es is SEHR offensichtlich, weil alle Dateien so einen komischen Zusatz tragen.

Sicher ist eigentlich nur ein Löschen, und aus einem Backup neu aufsetzen.

Zum Glück gibt es m.w. bei einer DS nichts, was einem PC-BIOS-Wurm entspräche. Daher sollten die DS selbst und die Laufwerke problemlos verwendbar sein, wenn man sie mit einem Löschprogramm abgeräumt hat.
 

Jim_OS

Benutzer
Sehr erfahren
Mitglied seit
05. Nov 2015
Beiträge
5.068
Punkte für Reaktionen
2.259
Punkte
259
wenn der Verdacht besteht das die Synology gehacked wurde
Mich würde mal interessieren wodurch dieser Verdacht entsteht, bzw. entstanden ist? :) Ich meine es muss ja eigentlich einen Grund geben wie Du darauf kommst und dieser Grund könnte ja dann auch schon ein klares Anzeichen dafür sein das da ggf. jemand am Werke war. Wen dem so wäre würde das
um zu schauen ob die Synology sichert weiter laufen kann?
m.M.n. einer Suche der Nadel im Heuhaufen gleichen, weil Du vermutlich niemals genau feststellen könntest was dieser "jemand" dann wo und wie gemacht hat. D.h. da gebe es m.M.n. kein sicher weiter laufen lassen, sondern nur noch ein kompl. platt machen.

Oder ist das ganz eher eine hypothetische Frage? Was eigentlich nicht sein kann wenn die DS sich jetzt extra in einer Testumgebung befindet.

VG Jim
 

defmin

Benutzer
Mitglied seit
05. Jan 2024
Beiträge
7
Punkte für Reaktionen
1
Punkte
3
Hallo @Jim_OS

ich kann da nicht ganz ins Detail gehen, es besteht aber in meinem Fall ein großer Verdacht... Weil ein anderer Server angegriffen wurde und die Synology ganz eng mit den einen Server verbunden war.

Danke aber für deine Anwort!

LG
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.100
Punkte für Reaktionen
2.067
Punkte
259
Du hast keine Chance sicher zu erkennen, ob sich jemand eingenistet hat.

Stichwort ist „sicher erkennen“. Entweder mit dem Risiko leben, oder alles platt machen. Nachschauen kannst du, aber ganz sicher ist es trotzdem nicht.

Bei der Entscheidung hilft die Frage, ob im Netzwerk „Zero Trust“-Methoden verwendet wurden. Also keine geteilten User & Passwörter, gegenseitiger Zugriff nur soweit, wie für die Anwendung nötig, und immer mit Einschränkung, interne Firewalls, Backups gesondert und abgeschirmt etc.

Je offener es vorher war, um so leichter pflanzt sich eine Infektion im Heimnetz fort.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Tommes und Ulfhednir


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat