News Trojaner verschlüsselt Synology-NAS-Systeme

[Thomson1981]

Kann es eh nicht verstehen,wer ernsthaft bares Geld dafür zahlt, um gekaperte Computer oder NAS Systeme freizukaufen.

Gerade bei NAS Systemen hat man die identischen Daten doch meistens eh auf dem heimischen PC als Backup und nutzt das NAS nur dafür, um die Daten für alle autorisierten Nutzer eines Haushaltes verfügbar zu machen oder um aus dem Internet auf die Daten zugreifen zu können.

Wenn das NAS oder der PC kompromitiert wird, macht man einfach die Datenträger platt und setzt alles neu auf mit neuen Passwörtern,fertig.

Wenn man auch noch die Daten seines Hauptrechners monatlich oder zumindestens nach jeder größeren neuen Datenansammlung extern offline auf eine HDD sichert durch eine komplette Laufwerksspiegelung, kann einem wirklich auch im schlimmsten Falle gar nichts mehr passieren.

 

[nonimos]

Was hast du beim ersten Eintrag als SourceIP gewählt?


Ports (ist klar): alle

Quell-IP: Specific IP

Hast du dann "Single Host" oder "Subneztz" oder "IP range" gewählt und was genau eingetragen?

Ich vermute Subnetz und dann:

IP-Adresse 192.168.0.0
Subnetz-Maske 255.255.0.0

Ist das so korrekt?

genau, die firewall regeln gehen nach priorität -> oberste am wichtigsten. das heisst ich entsperre mal mein intranet damit ich mich nicht raussperre zu hause und schmeiss dann den country-lock rein. wenn du zb. nur 192.168.0.X nutzt, kannst du subnet auch 255.255.255.0 einstellen.
autoblock habe ich auf 3 failed attempts runtergeschraubt, damit ist bruteforce unmöglich beim eigentlichen router ist dann UPNP ausgeschalten und es sind wirklich nur die paar ports offen die ich brauche.

hoffe es hilft, bei mir sind die login-versuche mittlerweile nur mehr 1x/2 woche, dürfte die "bösen" mittlerweile draussen haben ...

ps: unten ganz wichtig auf DENY klicken, wenn keine regel zutrifft...

Ergänzung (4. August 2014)

Hilft dir nur bedingt, leider kann man da nicht genau nach gehen. Je nachdem wer alles auf die Box zu greifen will geht das dann nicht mehr. Es gibt nach meinen Infos auch deutsche Provider (bzw die die hier ihre Dienste anbieten) die aber gerade die Ip's verteilen die sie frei haben. Das kann von überall auf der Welt sein.
Außerdem gibt es wenn ich mich jetzt nicht stark irre keine klare Länderunterteilung, sondern nur Bereich (bei uns Europe;Asien, Russland). Also einen reinen "deutschen" Ip Adress Raum gibt es nicht.

Zum Thema: Mich wundert es nicht, hatte ein halbes Jahr mein Qnap Nas am Internet um Dropbox abzulösen. Nachdem täglich mindestens 30 IP's gesperrt wurden die per Bruteforce Passwörter durch probiert haben wurde es mir zu dumm. Ich werde wieder was probieren aber diesemal auf dedizierter Hardware mit einer Security Appliance davor.

das mag schon sein, dass einzelne ips an andere länder vergeben werden. es gibt sowohl österreich/deutschland etc. als einzelne länder (seit DSM 5.?) in der FW. auch EU gibt es, allerdings hat sich beim ausprobieren bei mir gezeigt, dass EU nicht funktioniert (macht einfach nichts, zumindest sperre ich mich aus österreich raus, wenn ich nur EU zulasse).

mein tipp wäre:
alles blockieren ausser
1. intranet
2. AT oder DE
3. autoblock ca. ein monat lang ohne expiration date und mit "1 login attempt" einstellen und dann sollten die schlimmsten schon automatisch rausgefiltert bzw. in der block-list sein.
vorweg evtl. ip vom arbeitsplatz und zuhause in die whitelist, damit man sich nicht selbst raussperrt.

 

[JuggernautX]

haut doch auf dem NAS einfach die firewall mit country-lock rein. wenn ihr nicht vom ausland zugreift reicht es völlig, wenn nur IPs aus AT oder DE zugreifen dürfen. Ausserdem ist zu empfehlen "auto-block" unter security einzuschalten (autom. IP-sperre nach z.b. 5 falschen passwörtern, kommt nur aus DE allein ca wöchentlich vor, ohne country-lock alle 5 min angriffe (bin nirgends gelistet))....[/ATTACH]

Wie schaltet man diesen "country-lock" ein? Die IP-Blockieund habe ich auf 5 Login-Versuche innerhalb von 5 min und nach einen Tag wird die Blockierung aufgehoben

Ergänzung (4. August 2014)

mein nas registriert minütlich über port 1900, 445 usw.. von china, russland, thailand, aserbaitschan, norwegen, usa, taiwan usw. unerlaubte zugriffe. deshalb läuft mein nas nur an bestimmten stunden, nur bekannte ip haben zugriff und die standard-ports habe ich allesamt geändert, dieverse dienste sind abgestells und webserver läuft nicht... da-kummst-du-ned-rain..

das ist aber wirklich schon heftig! da könnte ich nicht mehr schlafen

 

[Holt]

Wenn man auch noch die Daten ... extern offline auf eine HDD sichert ..., kann einem wirklich auch im schlimmsten Falle gar nichts mehr passieren.

Daran hapert es aber meist und auch in diesem Artikel hat man wieder einmal versäumt dies zu empfehlen. Vielen ist es einfach nicht klar, dass Backups so wichtig sind.

 

[JuggernautX]

Auto-Block an, Standarduser umbenennen, nur einen Adminuser benutzen und dort langes Passwort mit 2-factor authentication. SSH über Internet deaktivieren.

Neeee, den Admin sollte man ganz deaktivieren, hat man mir im Syno-Forum geraten. Einen neuen Benutzer anlegen und konfogurieren

 

[JamesFunk]

genau, die firewall regeln gehen nach priorität -> oberste am wichtigsten. das heisst ich entsperre mal mein intranet damit ich mich nicht raussperre zu hause und schmeiss dann den country-lock rein. wenn du zb. nur 192.168.0.X nutzt, kannst du subnet auch 255.255.255.0 einstellen.

Danke.
Ich habe in der FritzBox:

IPv4-Adresse . . . 192.168.178.1
Subnetzmaske . . . 255.255.255.0

Was trage ich jetzt im Synology ein?
Ich will mich ja auch nicht aussperren

 

[JuggernautX]

Danke.
Ich habe in der FritzBox:

IPv4-Adresse . . . 192.168.178.1
Subnetzmaske . . . 255.255.255.0

Was trage ich jetzt im Synology ein?
Ich will mich ja auch nicht aussperren

ich gehe davon aus, dass du 192.168.178.1 eintragen musst

Dein NAS hast Du doch sicherlich eine feste IP zugeteilt, oder? Diese IP trägst Du selbstverständlich auch in die Freigabeliste ein.

Meine NAS haben mehrere LAN-Eingänge und jeder Eingang hat eine andere feste IP, ich komme so auf 6 IPs.

Gehört die 255.255.255.0 aber auch in die Freigabeliste?



Edit: 255.255.255.0 gibt eine Fehlermeldung!

 

[C0B]

Mein WinXP SP3 NAS funktioniert weiterhin einwandfrei...

 

[nonimos]

Wie schaltet man diesen "country-lock" ein? Die IP-Blockieund habe ich auf 5 Login-Versuche innerhalb von 5 min und nach einen Tag wird die Blockierung aufgehoben

Ergänzung (4. August 2014)

das ist aber wirklich schon heftig! da könnte ich nicht mehr schlafen

synology DSM 5.0? nötig, dann:
firewall -> create -> source ip: region -> select germany -> save

siehe auch
http://johnalvarez.net/?p=2030
zb

Ergänzung (4. August 2014)

Danke.
Ich habe in der FritzBox:

IPv4-Adresse . . . 192.168.178.1
Subnetzmaske . . . 255.255.255.0

Was trage ich jetzt im Synology ein?
Ich will mich ja auch nicht aussperren

du tragst ein:
firewall->create->source ip: specific ip-> subnet -> ip adress: 192.168.178.0 / subnet mask: 255.255.255.0
damit erlaubst du alle IPs von 192.168.178.0 bis 192.168.178.254
selbst raussperren ist schwierig, synology DSM checkt das und fragt dich da nochmal, ob du dir sicher bist in dem fall

screenshots (wenns anders aussieht DSM-Update machen):

 

[JamesFunk]

ich gehe davon aus, dass du 192.168.178.1 eintragen musst

Dein NAS hast Du doch sicherlich eine feste IP zugeteilt, oder? Diese IP trägst Du selbstverständlich auch in die Freigabeliste ein.

Ja das NAS hat eien feste IP (192.168.178.21).
Warum muss die auch in die Liste?

Greift das NAS über LAn auf sich selber über irgendwelche Ports zu?

@ nonimos: ich mache die Regeln gerade von extern.

 

[Randfee]

Argh, eben geprüft, nix gefunden, hab drei davon, eine als Cloudstation im Netz, dafür sind sie schließlich auch gemacht.
Ohne meine Astaro/Sophos UTM appliance wäre ich aber auch zu paranoid. Kann ich nur jedem empfehlen, selber eine zu bauen. Darüber kann ich wenigstens per IPSec VPN ins heimnetz und hab eine Enterprise Class Firewall für den reinen Hardware Preis <250€.

Das nächste Netzwerkprojekt sind getrennte Sub-LANs mit programmierbarem Switch.

Hoffe synology findet nen fix. Ich hätte nix gegen eine two or three Faktor Authentifizierung für'n Admin, zb per Hardware (USB) stick, falls gewollt. Wäre endlich mal an der Zeit.

 

[JuggernautX]

synology DSM 5.0? nötig, dann:
firewall -> create -> source ip: region -> select germany -> save

siehe auch
http://johnalvarez.net/?p=2030
zb

shit, deshalb.....DSM 5.0!

Der is mir zu KlickiBunti, habe noch DSM 4.3-3827 Update 5 und ja, er ist aktuell gepatcht!

Trotzdem Danke für die Info.



Edit:

Deine Anhänge

431977
431978

funktionieren nicht!

 

[Toby-ch]

mein nas registriert minütlich über port 1900, 445 usw.. von china, russland, thailand, aserbaitschan, norwegen, usa, taiwan usw. unerlaubte zugriffe. deshalb läuft mein nas nur an bestimmten stunden, nur bekannte ip haben zugriff und die standard-ports habe ich allesamt geändert, diverse Dienste sind abgestellt und webserver läuft nicht... da-kummst-du-ned-rain..

Hm da würde ich einmal über eine VPN Verbindung nachdenken und das NAS Dichtmachen so das es nur noch vom LAN aus erreichbar ist...
oder die Automatische Blockierung auf 1 / 1 Setzten

 

[DaBzzz]

kenneth,,,, dafür hat man ja ein offline backup, kostet keine 270 euro (externe festplatte) und ist wöchentlich rettbar.

Doch, ich hab grade geschaut, so eine kostet ziemlich genau 270€

Andererseits müsste der Angreifer sich an meiner Fritz vorbeischmuggeln und parallel die USV einschalten, an der der Solaris-Server exklusiv hängt. Und hochfahren musser ihn natürlich Dann kann er sich aussuchen, ob er das LAN-Kabel an meinen Laptop oder in die Fritz steckt, denn normal sind beide abgesteckt und das Onboard-LAN wird nur zur Installation benutzt, danach läuft der Server komplett internetfrei und in einem eigenen Subnetz, in dem nur der Laptop per zweiter LAN-Karte hängt. Wie auch immer, danach muss nur noch der Pool mit dem >63-stelligen Pool-Passwort (und dem etwas kürzeren root-PW) ungelockt werden und dann kann man die Daten verschlüsseln. Abschließend nur noch alle Snapshots löschen (sonst bleiben die Originaldaten ja erhalten) und den Pool randvoll schreiben (wir wollen wegen Copy on Write ja keine Überlebenden haben). Voilà!

Das sicherste System ist es wenn keiner weiß wie es funktioniert.

Ich korrigiere mal auf "Das unbeliebteste System für den profitorientierten Bösewicht läuft mit spärlich verbreiteter Software, deren Konfiguration fernab von den Standardwerten ist" - denn warum auch nur eine Minute für ein einzelnes fehlkonfiguriertes Nischensystem aufwenden, wenn man in 10 Minuten tausend Windowskisten abräumen kann. Von deren "Herrchen" auch noch ein nennenswerter Anteil zahlen wird, während der Hard- und Softwarefreak mit der Spezialkiste einfach sein letztes Backup drüberbügelt und das Einfallstor zumacht...

 

[Prisoner.o.Time]

Ich finds genial. Sogar zum todlachen

Da bin ich umso froher, dass ich ein Zyxel NAS habe. Gut, vermutlich könnten die Täter auch hier etwas bewirken, daber da die Userzahl dieser bei weitem geringer ist als bei Qnap oder Synlogy, glaube ich nicht mir Sorgen machen zu müssen.

 

[xmarsx]

haut doch auf dem NAS einfach die firewall mit country-lock rein. wenn ihr nicht vom ausland zugreift reicht es völlig, wenn nur IPs aus AT oder DE zugreifen dürfen. Ausserdem ist zu empfehlen "auto-block" unter security einzuschalten (autom. IP-sperre nach z.b. 5 falschen passwörtern, kommt nur aus DE allein ca wöchentlich vor, ohne country-lock alle 5 min angriffe (bin nirgends gelistet)). wenn's dann noch gekapert wird ist offenbar ein virus/keylogger am pc, von dem aus zugegriffen wird...Anhang anzeigen 431902

Bei mir finden sich seit Jahren keine versuchten Zugriffe in der Logdatei, obwohl auch bei mir die automatische Blacklist aktiv ist....ich hatte mich nur schon selber damit ausgesperrt....so ist das halt wenn man mit als eine Diskstation im Einsatz hat und nicht überall das gleiche Kennwort nutzt.

Ich habe nur SFTP und HTTPS aktiviert, wobei ich den HTTPS gerade auch noch geschlossen habe solange nicht klar ist, wo ggf. die aktuelle Lücke liegt.
Der HTTPS Zugriff läuft hier nicht über den Standard Port, den Synology vorschlägt, sondern über einen anderen. Das ist zwar keine absolute Sicherheit, da man die offenen Ports schnell ermitteln kann, aber offenbar reicht es den Angreifern schon diese kleine Hürde in den Weg zu stellen, da ja die übrigen 99% (nach der Pi*Daumen Methode geschätzt) der Synology Nutzer bei den Standard Ports bleiben.

Da ich von extern auch via VPN (nicht das OpenVPN der Diskstation) auf mein Heimnetz und damit das Webinterface der Diskstation zugreifen kann, gibt es abgesehen von einem kleinen Performance Einbruch keinen nennenswerten Nachteil der Sperrung des Direktzugriffs.

 

[iDont_Know]

Vor paar Monaten hatte ich immer 10 geblockte ips pro Monat.

Nachdem in syno neu aufgesetzt habe 0

Ganz komisch

 

[Eggcake]

Neeee, den Admin sollte man ganz deaktivieren, hat man mir im Syno-Forum geraten. Einen neuen Benutzer anlegen und konfogurieren

Das meinte ich - habe mich falsch ausgedrückt.
Also Standarduser komplett deaktivieren und NEUEN Adminuser mit anderem Namen erstellen. Passwort am besten ein sehr langes, komplexes und wenn möglich nur von zu Hause aus den Account benutzen.

2-Factor Authentication kann schon einiges bringen, leider greift diese nur über den Weblogin. Also nicht fälschlicherweise in Sicherheit wiegen wenn z.B. SSH o.ä. gleichzeitig offen ist.


Ich persönlich hatte allerdings noch keine einzigen unbekannten Zugriffe. Hoffe das bleibt so

 

[M@rsupil@mi]

Kann es eh nicht verstehen,wer ernsthaft bares Geld dafür zahlt[...]meistens eh auf dem heimischen PC als Backup

Viele haben eben KEIN Backup. Das ist aufwendig, mühselig und kostet extra (Geld und Zeit).

 

[kokiman]

man sollte auf keinen Fall bezahlen, ist völlig klar.
Aber gibt es dokumentierte Fälle bei denen nach Bezahlung die Daten tatsächlich verfügbar waren?

Was für ein Unfug.. natürlich sollte man zahlen wenn die Daten mehr Wert sind als die Forderungssumme. Und ja du kriegst deine Daten danach zurück.