Wie stellt Ihr sicher dass Ransomware Eure Hyperbackups nicht verschuesseln?

framp

Benutzer
Mitglied seit
19. Feb 2016
Beiträge
969
Punkte für Reaktionen
103
Punkte
69
Interessant zu sehen dass dieses ein Viele interessierendes Thema ist. Ich habe den Thread gestartet mit Sorge um die Syno und seine Backups. Aber mir ist durch die vielen Beitraege klar geworden dass auch die Clients die ihre Daten auf der Syno ablegen durch Randsomeware betroffen sein koennen. Genaugenommen müsste man den Thread nun teilen .'
 
  • Like
Reaktionen: sofakissen

nas_stephan

Benutzer
Mitglied seit
28. Aug 2013
Beiträge
249
Punkte für Reaktionen
6
Punkte
18
Noch billiger kommt man weg wenn - sofern man sie schon besitzt - eine Raspberry nimmt und darauf einen rsync Server installiert ;)

Und meine Backup-HDD kommt dann an den Raspi?

Und irgendwo kam hier doch kurz die Frage auf: Kann HB erkennen, dass es gerade dabei ist, verschlüsselte Dateien zu sichern? Bzw., kann die Syno erkennen, dass gerade der gesamte Bilderbestand verschlüsselt wird? Immerhin ändern sich ja auch die Dateiendungen?

Wird die, für Privatnutzer, so viel empfohlene 3-2-1 Backup Strategie, von mir aus erweitert auf x-x-3-2-1 und Snapshots, dieser Problemstellung überhaupt gerecht?

Wenn ich z.B. 3 PCs und ein NAS im Haushalt habe, wie viele externe HDDs soll ich mir denn dann hinlegen für die ganzen Sicherungen???
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.099
Punkte für Reaktionen
2.067
Punkte
259
Reden wir über den Privatbereich. Das ist deshalb wichtig, weil in „lohnenden Netzen“ die Infektion tatsächlich „schläft“. Das scheint aber daran zu liegen, dass zumindest einige der „Benutzer“ dieser netten Programme inzwischen die infizierten Netze erst auskundschaften, bevor sie entscheiden, wie sie vorgehen. Das lohnt sich bei Firmen oder anderen großen Netzen, weil auch die Lösegeldforderungen entsprechend hoch sind. Also „schläft“ der Trojaner nicht, sondern wird dann aktiviert, wenn man die Vorgehensweise festgelegt, passende Schadsoftware nachgeladen und parametriert hat.

Bei Privatanwendern ist das eher nicht zu erwarten, weil es sich schlicht nicht lohnt. Da läuft es bisher wohl eher klassisch ab: Trojaner wird installiert (durch den User ...), lädt andere Programme nach, verschlüsselt, meldet sich mit Geldforderung. In dem Szenario helfen Backups tatsächlich.

Und nein, HB erkennt nicht, was es da sichert. Das Programm ist ein Allesfresser. Acronis wirbt für seine Backup-Lösung mit einer Erkennung, dass ein Prozess Daten verschlüsselt, und ihn stoppt. Verlassen würde ich mich darauf eher nicht ...

Bei mir sieht die Kaskade so aus: Von den Clients (PC, Mac) auf meine Syno, jeweils mit client-spezifischen Programmen. Von der Syno auf USB-Laufwerke mit HB, rotierte Sicherung, eine ausgelagert.
 

r000633

Benutzer
Mitglied seit
29. Aug 2013
Beiträge
52
Punkte für Reaktionen
0
Punkte
6
Ich bin begeistert über diese Diskussion, die mich nochmal intensiver über meine bisherigen Backup-Strategien nachdenken lässt.
Bitte helft mir mal zu verstehen, was unter "nicht routingfähigem Protokoll" zu verstehen ist.
Ich verwende rsync bisher ausschliesslich in scripts die Dateien von einem auf einen anderen platz "spiegeln" - ob lokal , oder auf ein smb / nfs share ist dabei eigentlich egal, da es quasi nur ein anderes Kopierprogramm ist. Damit habe ich sozusagen eigentlich nichts gewonnen, wenn ich einen Befall habe, da die GarstigWare das auch kann und somit alles erreichbare verichtet wird.

Was ich jetzt glaube verstanden zu haben:
* mittels Hyperbackup spreche ich einen entfernten dienst entweder über rsync oder einen dort installierten Hyperbackup Vault Dienst an, dessen Datenverzeichnisse im besten Falle weder als NFS noch als FTP oder gar SMB share erreichbar sind.
--> das habe ich aus einem Youtube tutorial: https://www.youtube.com/watch?v=PCiz6f7yO5U
--> bzw. https://www.youtube.com/watch?v=WUuCvuUFgHA

* ein potentielles Desaster Recovery geht aus diesem Backup wiederum nur über Hyperbackup, wenn mann den Server neu aufgesetzt und wieder per rsync bzw hyperbackup vault verbunden hat.

* solange dieses backup nicht auf andere Weise angesprochen wird , sind die Daten dort sicher aufbewahrt, da es ein prorietäres Format ist.

Problematisch wäre jetzt hier nur der garstig krasse Fall, dass man sich auf diesem "RSYNC Provider" / bzw Hyperbackup Vault beim Update irgend etwas "Eintritt"

Garstig wäre jetzt auch noch der Fall, dass ein Schädling rsync als "Protocol" angreift oder Synology-spezifisch ein Biest verteilt, der Hybperbackup veranlasst, die Sicherungsaufgaben und die Ziele zu löschen ...
Gegen diesen hoffentlich unwahrscheinlichen Fall würde dann nur ein separates manuelles Backup auf einer USB-Platte als letzte Notfall-Lösung helfen.

Hab ich das richtig verstanden ?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Und "völlig egal" wäre es, wenn man es so macht, wie ich es schon mehrfach gesagt habe: das letzte Backup in der Kette wird "geholt", dann hat da nämlich nix und niemand Zugriff drauf (egal wie), nehmen wir das in Bezug auf Deine Aussage:

"spreche ich einen entfernten dienst entweder über ...oder ... an" genau das eben "nicht". Läuft in der Praxis zwar zu 99% genau SO ab, bringt aber eben alle vorherigen genannten Probleme mit sich. "Vernünfig" würde es ungefähr so aussehen:

Backupquelle ---Zugriff auf---> Backupziel -> Nein. ("Push")
Backupziel ---Zugriff auf---> Backupquelle -> Ja. ("Pull")

In der Regel ist der Push aber schneller abgearbeitet, weswegen man auch gerne einen Zwischenschritt macht:

Quelle ---Push---> 1. Backupziel (z.B. nur tagesaktuell)<--Pull-- 2. Backupziel (z.B. inkl. Versionierung)

Somit wird nämlich auch das Protokoll egal... Im Falle eines richtigen Befalls wären damit die Quelle und mit ziemlicher Sicherheit auch direkt das 1. Backupziel befallen (Quelle muss ja den Zugang zum 1. Backupziel kennen). Beim Pull ist es allerdings so, dass nur das 2. Ziel den Zugang zum 1. Ziel kennt und nicht anderherum. Das wäre aber auch das "Sorgenfrei"-Paket und wäre mit entsprechenden Mehrkosten verbunden. Grundsätzlich kann man auch Platten wechseln und irgendwo eine Monats-HDD oder so in einen Schrank o.ä. werfen :eek:

EDIT: Grade nochmal quer gelesen, natürlich spricht man auch einen entsprechend Dienst an, wenn man die Backups holt, aber die Richtung ist eben eine andere.
 
Zuletzt bearbeitet:

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
@r000... Du hast das richtig verstanden. Deswegen würde ich ein zusätzliches Backup auf externe HD auch immer nur am Backup Server ziehen.

Ich habe das von mir beschriebene Konstrukt mit Synos als Datei- und Backup-Server schon seit gut einem Jahr absolut zufriedenstellend mehrfach am Laufen, in einem Fall sogar aus einem HA Cluster über eine Stand VPN Verbindung zu einer anderen Liegenschaft. Ein mal wöchentlich wird am Backupserver eine externe HD angeschlossen und mit Knopfdruck ein USB-Backup gezogen. Die HD wandert dann in den Safe.
Logisch, dass die Backup Syno per Firewall bis hin zur Vorgabe erlaubter IPs komplett zugemacht wurde. Mehr als DSM und Vault läuft darauf nicht. Zusätzlich schaltet sie nur zu festgelegten Zeiten an und geht nach dem Backup auch wieder schlafen. Das lässt sich mit den Synos genial einfach lösen.
Meine Empfehlung bleibt aber zumindest die unternehmenskritischen Daten zusätzlich in der Cloud verschlüsselt abzulegen.
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Quelle ---Push---> 1. Backupziel (z.B. nur tagesaktuell)<--Pull-- 2. Backupziel (z.B. inkl. Versionierung)
@blurrrr
Das würde doch auch klappen, wenn das 1.Backupziel kein Backup, sondern eine Synchronisation darstellt?
Welches Programm nutzt du für das Pull-Backup?
Dem Grund nach will ich so etwas nachbauen, mir fällt jedoch nur UltimateBackup als Lösung für ein PullBackup ein.
Da werden die Dateien jedoch "klar" abgelegt. Holt man sich damit nicht die Probleme ins Backup, wenn es nicht datenbankbasiert ist?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Die Quelle kann doch eine Sicherung machen wie sie lustig ist. Mit dem 2. Backup-Weg "holst" Du ja nur das, was sowieso schon als Sicherung (verschlüsselt/komprimiert oder nicht) auf dem 1. Backup-Ziel vorliegt (quasi eine Kopie/Sicherung des eigentlichen Backups). Es bleibt dann ja (mehr oder minder) bei "einer" Sicherung, nur wird diese dann an verschiedenen Orten gelagert und ist teils nicht zugreifbar für die Quelle. Es geht ja primär nur darum, dass die Quelle nicht an das eigene Backup kann (für den Fall der Fälle).

Grundsätzlich holt man sich weniger Probleme ins Haus, wenn etwas nicht datenbankbasiert ist, da - ganz grob formuliert - dann einfach eine Fehlerquelle/ein Dienst weniger im Spiel ist ist. Mit einem Datenbank-gestütztem Backup kann man i.d.R. auch nicht viel anfangen, wenn die DB selbst kaputt ist (auf der anderen Seite hat sowas natürlich auch Vorteile, keine Frage).

Die Frage nach einem "Programm" ist so eine Sache.. der Markt ist "ziemlich" groß und viele setzen trotz allem die gleichen Unterbauten ein (als Beispiel sei hier mal "rsync" erwähnt, ist bei Synology ja auch so). Pauschal irgendwas in den Raum werfen, wird bei diesem Thema vermutlich "niemals" richtig sein, dafür sind die Optionen einfach zu vielfältig... Ich versuche aber trotzdem mal zu antworten: Grundlegend habe ich "kaum" etwas, was so divers gesichert werden muss, bzw. repliziere (sync) ich meine "wichtigen" Daten einfach an div. Standorte und lasse dort jeweils nochmal eine lokale Sicherung laufen (Hyperbackup auf ext. HDD - in unterschiedlichen Zeitabständen - somit ist immer noch irgendwas greifbar), zusätzlich wird von einem Standort dann eben noch eine Kopie des Backups (ABB) gezogen.

Theoretisch könnte man sich auch einfach so eine Kopie einsacken:

scp -r <username>@<host>:</remote/directory/> </local/directory/>

Wobei das eine reine Kopie wäre... der Punkt ist halt einfach der, dass dies auf einem remote-System ausgeführt wird, wo die Quelle eben keinerlei Zugriffe/Rechte hat, sondern der Vorgang wird von "extern" eingeleitet. Ein weiterer Punkt ist natürlich ebenso, dass man auch nicht hingehen sollte und "ständig" das gleiche Backup überschreiben sollte. Also o.g. Befehl z.B. jede Stunde - wäre ziemlich daneben... im günstigsten Fall hat man das ganze 2x laufen aber mit unterschiedlichen Zielen (kommt aber auch immer auf die Datenmengen an), falls bei einem Job schon der Mist drin ist, hat man dann im Notfall eben noch den anderen Datenbestand (mag dann vllt etwas älter sein, aber besser so als garnicht). Andere gehen halt auch hin und legen Monatsbänder bei der Bank in ein Schliessfach... (oder den inhouse-safe). Kann man alles machen wie man lustig ist, sofern man sich "ausreichend" mit den möglichen Problemen/Folgen beschäftigt hat und - im Zweifel - auch hinter seinem Konzept steht (auch wenn es voll in die Hose gegangen ist) ?

Ist auch immer eine Frage, ob man eine "Sicherung" der Sicherung macht, oder eben nur eine Kopie, oder ggf. eine eigenständige remote-Sicherung des reinen Datenbestandes (die ganzen "Apps" wird man "so" eher nicht mitnehmen können)... alternativ könnte man die Datenbanken der Quelle vorher via Script dumpen, so dass die als sicherungsfähige Datei dann noch irgendwo mit rum liegen (so kriegt man die Datenbanken dann auch bei einer reinen Dateisicherung auch mit gesichert).

So wie ich das sehe, bist Du mit Deinen Gerätschaften aber sowieso schon recht eingeschränkt. Wie genau hast Du Dir das denn da so vorgestellt bzw. wie läuft die Sicherung bisher? Laut Deiner Signatur sind es ja 2 Synos...? :)
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Danke für die Ausführlichkeit! Ich brauche aber ein bissl Zeit um deinen Ausführungen zu folgen.
In einem anderen Thread versuche ich gerade eine Backup Strategie zu entwickeln - HIER
Da fehlt es mir aber noch an Input. Ausserdem bin ich durch Lesen auf weitere Ideen gekommen, die ich unten ausführe.
Und ja, die derzeitige Hardware ist dazu nicht geeignet. Aber der nächste Black Friday steht vor der Tür :cool:

Mir ist jedoch noch unklar wie Ransomware konkret verschlüsselt.

Client infiziert sich -> sieht das NAS und verschlüsselt dort die Daten -> sieht dort eine Verbindung zum entfernten NAS (Backup-NAS) und verschlüsselt dort ebenfalls die Daten <---- 2. Backupziel holt sich die verschlüsselten Daten UND JETZT WAS ICH NICHT BEGREIFE: DURCH DIE "INFIZIERTEN" DATEN, BEFINDET SICH DAS DIE RAMSOMWARE AUCH AUF DEM 2.BACKUPZIEL? und verschlüsselt auch dort alles?

Falls das nicht der Fall ist und nur die "neuen" geholten Datensätze verschlüsselt werden, dann dürfte es keine Rolle spielen ob ich am 2.Backup-Server ein datenbankbasiertes oder eben keins schreibe!?


Stand jetzt soll die Backup-Strategie so laufen:
DS220+ (Standort1) <- Synology-Drive (Versionierung nur die Richtung Standort 1) -> DS220+ (Standort2 -LAN im Heimnetz 192.XXX.200.200) hierdurch Schutz vor Festplattendefekten, Brand, Diebstahl und unbewusstem Löschen von Daten am Standort 1
DS1xx? (Standort2 - LAN 192.XXX.300.400) <--holt via UltimateBackup versioniert alle Daten -- DS220+ (Standort2 - LAN2 192.XXX.300.300 ) hierdurch Schutz vor Ransomware und unbewusstem Löschen
DS1xx? -- schreibt das zuvor versionierte Backup als 1zu1 Kopie --> externe Festplatte das ist wahrscheinlich nicht zwingend notwendig, befriedet aber den inneren Monk und macht die Daten auch ohne NAS zugänglich

Klingt das für dich sinnig und ausreichend vor Gefahren geschützt?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Deswegen ggf. auch zeitversetzt oder 2x um noch genügend Zeit für eine Reaktion zu haben - ist wieder so ein Fall wo Automatisierung auch ein Feind sein kann...??
 

Huibuu

Benutzer
Mitglied seit
15. Mrz 2015
Beiträge
90
Punkte für Reaktionen
0
Punkte
6
Also besteht beim oben aufgezeigten weiterhin die Gefahr, dass Ransomware auch das 2.Backupziel befällt und die Daten komplett (auf allen Servern in allen Versionen) verschlüsselt sind?
 

blurrrr

Benutzer
Sehr erfahren
Mitglied seit
23. Jan 2012
Beiträge
6.204
Punkte für Reaktionen
1.104
Punkte
248
Es ist eben mitunter hilfreich, bei einer Vollautomatisierung, eben auch zeitliche Unterbrechungen einzubauen, damit nicht direkt alles sofort hin ist. Bsp: 1x Kopie täglich, 1x Kopie wöchentlich... schaffste es nicht rechtzeitig, ist die tägliche vllt hin, aber die wöchentliche ist noch unangetastet.
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
5.099
Punkte für Reaktionen
2.067
Punkte
259
Wie schafft die Ransomware den Zugriff ?

Wenn die Quelle die Zugangsdaten abgespeichert hat für das Backupziel, dann auf diesem Weg. Das macht die Push-Backups anfällig. Ransomware wie Emotet ist dafür bekannt, gezielt nach Backups zu suchen. Diese werden dann zuerst angegriffen, weil man damit rechnet, dass das weniger auffällt als verschlüsselte aktive Dateien.

Beim Pull-Backup können bereits verschlüsselte Dateien abgezogen werden, plus natürlich auch Schadsoftware. Aber sie wird nicht ausgeführt, so lange sie in die Backupumgebung eingebettet ist. Wenn man inkrementell sichert, kann ein Befall des Quellsystems z.B. dadurch auffallen, dass das Backup plötzlich viel länger läuft - weil es lauter neue (weil verschlüsselte) Dateien sind. Wenn das Backup versioniert ist, dann kann man es abbrechen und auf einen früheren, vermutlich nicht betroffenen Stand zurück greifen.
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Ransomware kann nicht auf den Port der Datensicherung von Hyperbackup zu Hyperbackup Vault zugreifen. Zumindest Stand heute.
Die einzige Gefahr bei Push liegt darin, dass durch Emotet Schadsoftware nachgeladen werden könnte, welche den Adminzugriff auf das NAS ermöglicht. Jetzt könnte der Eindringling das Backup auf dem Ziel NAS einfach löschen.
Um diesem Scenario zu entgehen kann man am Ziel-Nas zeitgesteuerte Vollbackups der Hyperbackup DB ziehen. 7 Stück in einer Woche in 7 verschiedene Verzeichnisse. Wer dann noch nicht gemerkt hat, dass Emotet im Hause ist.....
 
  • Like
Reaktionen: Meza100

wace

Benutzer
Mitglied seit
22. Apr 2016
Beiträge
125
Punkte für Reaktionen
31
Punkte
28
7 Stück in einer Woche in 7 verschiedene Verzeichnisse.
das beduetet aber doch auch ein 7 fach höherer Speicherplatzbedarf.
Würde ein Pull-Backup vom Haupt auf das Target - NAS vorziehen, dass vom Target-NAS initiert wird. Weiss leider nur nicht genau wie man das mit rsync, o.ä realisieren kann.
 

kev.lin

Benutzer
Mitglied seit
17. Jul 2007
Beiträge
624
Punkte für Reaktionen
42
Punkte
48
Um diesem Scenario zu entgehen kann man am Ziel-Nas zeitgesteuerte Vollbackups der Hyperbackup DB ziehen. 7 Stück in einer Woche in 7 verschiedene Verzeichnisse. Wer dann noch nicht gemerkt hat, dass Emotet im Hause ist.....
Das würde ich auch gerne etwas genauer verstehen? Kann ich die Datenbank von HyperBackup irgendwo abgreifen und abspeichern? Falls diese kompakt genug ist, wäre das Ganze denkbar. Allerdings muss ich diese Datenbank-Kopie ja ausserhalb des Ziel-NAS bringen, da die DB auf der Ziel-NAS liegend ebenfalls verschlüsselt wird, oder nicht?
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Die DB von HB ist eine ganz normale Datei die du beliebig kopieren kannst.
 

ds211user

Benutzer
Mitglied seit
27. Sep 2011
Beiträge
160
Punkte für Reaktionen
19
Punkte
18
Alles nicht so einfach....
Nur gut, daß Daten niemals einfach nur bei der Übertragung oder bei der Lagerung beschädigt werden. ;)
 

NSFH

Benutzer
Sehr erfahren
Mitglied seit
09. Nov 2016
Beiträge
4.096
Punkte für Reaktionen
571
Punkte
194
Bei Übertragung QUARK! In 30 Jahren IT ist mir das nicht ein einziges mal vorgekommen! Derartige Vorkommnisse liegen im Promillebereich, statistisch nahezu nicht erfassbar.
Lagerung könnte das einzige Problem sein, wobei das eher auf DVD etc zutrifft als auf HDs, die korrekt gelagert werden.
 

synfor

Benutzer
Sehr erfahren
Mitglied seit
22. Dez 2017
Beiträge
9.031
Punkte für Reaktionen
1.614
Punkte
308
Also ich hatte da schon wiederholt mit bei Übertragung beschädigten Dateien zu kämpfen. Bei Übertragungen übers Internet, lag das meist an überlasteten Servern. Ansonsten hatte ich so etwas hauptsächlich bei USB wegen grottiger Hardware.
 


 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat