Verschlüsselungstrojaner greift Synology-NAS mit Internetzugang an

B

bowman

Aktives Mitglied
Thread Starter
Dabei seit
08.10.2003
Beiträge
3.388
Reaktionspunkte
2.221
...voila: http://www.heise.de/newsticker/meld...ackiert-Synology-Speichersysteme-2282625.html

Dies ist kein typisches Mac-Problem, da aber viele Macuser Synology-NAS nutzen und sich auf der sicheren Seite wähnen, verlinke ich das mal.

Grundsätzlich kann ich jedem, der private Clouddienste (sei es nun von Synology oder Owncloud etc.) nutzen möchte, nur raten, den Dienst nicht auf NAS oder Servern zu betreiben, auf dem wichtige Nutzerdaten liegen. Eine separate Maschine, idealerweise in einem isolierten VLAN, ist in jedem Fall die bessere Lösung.

Ob Backups im o.g. Fall helfen weiss ich nicht, denn es ist durchaus denkbar, dass auch an der Synology gemountete Backuplauwerke verschlüsselt werden...
 
OMG
Nja der beste Schutz ist ja eigentlich keine Dateien öffnen die man per Mail erhält.
Hoffe mal den tR gibt es nur als exe....
Und Synology fixt das ganze schnell!
 
kleinerkathe schrieb:
http://www.heise.de/security/news/f...Heise-gemacht/forum-283657/msg-25597001/read/

http://www.heise.de/security/meldung/Synology-NAS-Geraete-als-Bitcoin-Miner-missbraucht-2113423.html


Sommerloch, die haben, so scheints, einfach was altes wieder ausgegraben -.-
Zum Vergrößern anklicken....

...die von dir genannten Posts haben nichts mit dem Verschlüsselungstrojander zu tun. Damals ging es darum, dass die NAS als Bitcoin-Miner missbraucht wurden, Nutzedaten wurden seinerzeit nicht verschlüsselt (dann wären ja auch die Miner-Bots aufgeflogen). Bitte nicht einfach ungelesen oder unverstanden den Quatsch aus dem Heise-Forum nachplappern...
 
Tobich schrieb:
OMG
Nja der beste Schutz ist ja eigentlich keine Dateien öffnen die man per Mail erhält.
Hoffe mal den tR gibt es nur als exe....
Und Synology fixt das ganze schnell!
Zum Vergrößern anklicken....

...der Infektionsweg scheint noch nicht geklärt zu sein - es deutet aber wohl einiges darauf hin, daß Synologys betroffen sind, die aus dem Internet erreichbar sind bzw. dorthin offene Ports haben. In dem Fall wäre es völlig egal, ob man am Mac oder PC sitzt oder sich irgendwelche ausführbaren Dateien an Land zieht...
 
bowman schrieb:
...die von dir genannten Posts haben nichts mit dem Verschlüsselungstrojander zu tun.
Zum Vergrößern anklicken....
Link Nummer 1 ist ein Kommentar im Heise-Forum zu DEINER verlinkten News. Dort wird auf Link 2 verwiesen, da vmtl. die selbe Lücke ausgenutzt wird.

Link Nummer 3 (denn du vmtl. nicht gesehen hast, da ich den reineditiert hab), ist aus dem Syno-Forum, der die Aussage des Heise-Kommentars nochmals stützt. Und da die dort einen besseren Draht zu Syno haben, seh ich das als relativ zuverlässig an :) Wobei man sich auch dort nicht sicher ist, ob das nun an einer alten DSM-Version liegt oder doch eine neue Lücke ist. Heise schweigt sich dazu (tollerweise -.-) recht schön aus. Aber das fällt mir bei Heise allgemein in letzter Zeit auf, da fehlen Quellen, da fehlen Hintergrundinfos, da fehlen Details ... Die haben auch mal bessere Artikel abgeliefert :( Okay, sie haben geschrieben, man habe aktuell noch keine Infos ... aber hey, "wer" (mit welchen DSM-Versionen) hat das Problem der verschlüsselten HDDs? Woher haben die ihre Infos? usw. ...
 
Wer hat seine NAS offen ohne VPN am Netz?
 
@Kaito
Kann ich das Prüffen den eigentlich brauche ich das NAS nur im Lan zuhause. Und wen ich unterwegs bin kann ich immer noch via VPN über den Router ins Lan und so zugriff zu bekommen.


Edit ich habe da einmal recherchiert und bin auf das gestossen:

14080308236a7eaf14f2c6cfe1.jpg

Als Schutzmaßnahme wird genannt:
Die Ports 5000,5001,22,23 nicht weiterzuleiten so damit sie extern erreichbar sind.
Quick Connect zu deaktivieren
Die Firewall so einstellen damit allerhöchsten nur von dem eigenen Land zugegriffen werden kann. Oder besser momentan auf einen VPN umzusteigen..


Quelle:
 
Kaito schrieb:
Wer hat seine NAS offen ohne VPN am Netz?
Zum Vergrößern anklicken....

Ich sehe ab und zu offene ftp, afp und smb Ports (Tenor: »Für die Kunden ist vpn zu umständlich«).
Da muss man sich nicht wundern.

@Tobich
Einfach an der Firewall alle NAS-betreffenden Ports dichtmachen.
 
Also so könnt ihr das Quick Connect ausschalten:
Quikconect.jpg
Ist hoffentlich selbst erklärend :d

@Olivetti

Was ist jetzt an VPN so schwierig ? Router richtig einstellen am besten eine Fritzbox und gut..
PS bei mir sind alle Port 5001/5000/ 22 / 23 dicht :)

über welchen Port zieht sich die DS die Update's?
 
QuickConnect ist per default gar nicht aktiviert, zumindest bei mir war es das nie. :noplan:
Updates wird sich die DS über eine Standardwebverbindung ziehen, also vermutlich <Random aus 49152–65535> zu 80.
 
@Kaito
Bei der Installation von DSM 5.0 wurde es hinzugefügt und ich habe es da aktiviert.
Hm den irgend wie muss doch der Virus da drauf kommen :confused: :hamma: und das über einen Port der auch offen ist vom unwissenden OTTO normal User....

Ach ja noch ein Tip am Rande: Sollte der virus im gange sein das merkt man an einer hohen CPU last evtl. die DS ausschalten. um den schaden in grenzen zu halten wen der Verschlüsslung's Prozess die Ursache für die Hohe Cpu last war.
und einmal das Backup suchen man wird es Brauchen...!
 
http://www.synology.com/en-us/company/news/article/470

Für die dies noch interessiert. Die Bösewichte haben also, wie anfangs vermutet, eine alte Lücke ausgenutzt ... Wer sein System zumindest nicht halbwegs aktuell hält, sollte es zumindest nicht von aussen erreichbar machen. :)

//EDIT: Auch Heise hat sich, nachdem man sich ordentlich lange Zeit gelassen, dazu herabgelassen endlich klarzustellen, dass NAS-Systeme mit aktuellen DSM-Versionen eben NICHT von dem Problem betroffen sind:
http://www.heise.de/newsticker/meld...eraete-anfaellig-fuer-Ransomware-2287427.html
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten