gehacked maar toch niet gehacked?

[Timmeh1981]

Hallo Allemaal,

Ik draai een 818+ waar vroeger vele gebruikers op zaten, tegenwoordig echter alleen nog voor een globale backup voor een paar onedrive mappen en een surveillance station. (alle gebruikersaccounts zijn verwijderd). Er word geen actief gebruik van de nas gemaakt door mensen van vlees en bloed. Een uitzondering nog voor surveillance station. Het viel een gebruiker gisteren op dat de surveillance app niet meer werkte. Bij nadere inspectie bleek ook het admin account niet actief was (geen admin naam maar een andere admin naam die beheerder heet).

Ik heb de nas daarna fysiek gereset om het standaard admin account te activeren.

Hierna heb ik ingelogd en een nieuw wachtwoord ingesteld voor het gewone admin account. Het viel daarna direct op dat de gehele nas een reset gehad bleek te zijn als in: opnieuw geinstalleerd. Niet door mijn reset maar de dag ervoor. Alle aps waren verdwenen, geen surveillance station meer etc. geen cloud sync geen synology drive client meer. (deze werd ook niet meer gebruikt).

Er bleek een andere admin naam aangemaakt te zijn genaamd admin8888. Uit de synology logs bleek dat op 3 oktober te zijn gebeurd. Alle data is voor het laatst benaderd op 29 september, op deze datum was ook de laatste hyperbackup gemaakt (versleuteld met wachtwoord) naar een externe nas.  Daarna niks meer.

Alle logs beginnen nu op 3 oktober 06:15. Daarvoor is er niks meer te vinden in geen enkele log van uit het systeem. het enige wat resteert zijn alle data folders die er voorheen ook op stonden.

Er is dus verder niks versleuteld. Geen meldingen of iets dergelijks, behalve een hele reinstall van de nas... Zou dat bedoeld zijn om sporen te wissen?
het ip adres behorende bij de login van admin8888 was een ip adres uit west juresulam. Israël. Ik kan dus niet actief achterhalen of de bestanden nu allen als laatst zijn benaderd door de cloud sync van onedrive, of dat alles op de 29e er nog af is gekopiëerd.

Mocht iemand erg thuis zijn in het uitlezen van de log bestanden (zoals router.log synobootup.log etc) ben ik heel benieuwd of iemand daar iets uit kan halen.

een van de regels die bijvoorbeeld zijn uitgevoerd in de synoplugin log is
2022-10-03T06:16:56-07:00 DiskStation synoscgi_SYNO.Core.User_1_create[17171]: plugin_action.c:317 synoplugin: [17171][user_set][MAIN] Scripts=[secure_signin_set_user.sh,syno_finder_fileindex_user_set.sh,DRNodeUserSet.sh,home_user_set,personal_updater_user_set.sh,syno_wallpaper_user_set.sh,synocgi-libexec.user_set.sh]; Args=[NITEMS=1,PASSWORD_CHANGE_1=no,UID_1=4294967295,USER_OP_RESULT_1=0x2A00,RESULT=0,USER_NAME_1=Admin8888]


De volgende poorten waren geopend: 5000, 5001, 443 en 6281 en 6690. hyper backup, syno drive client web access en surveillance station. Photo station gebruikte poort 443.

Wat ik niet snap: hoe kan een admin account weer actief worden gezet, hoe kan een 2fa worden gepasseerd als het admin account weer actief is. Het admin account en beheerder account hadden beiden 2fa geactiveerd. Beiden hadden een herstel email account waarna controle de periode rondom de hack niet op is ingelogd.

De nas staat inmiddels voorlopig uit. Als iemand een idee heeft hoe en waarom en wat het doel hiervan is geweest hoor ik dat graag. Ook kan ik wat logs ter beschikking stellen. Daar staat voor mij verder niks bijzonders in maar ik weet niet hoe ik ze moet lezen om te zien wat er nu eigenlijk is gebeurd op 3-10.

Groeten!

[Birdy]

Tja, iemand heeft je RS818+ reset, Modus 2: Synology NAS resetten en DSM opnieuw installeren (gebruikers data blijft bestaan) of via DSM: terug naar fabrieksinstellingen.

Voor de Modus 2 reset moet die persoon bij de NAS geweest zijn, voor terug naar fabrieksinstellingen, moet je inloggen van binnen of van buiten af (VPN op de Router?).
In beide gevallen moet wel b.v. Synology Assistant zijn gebruikt om DSM opnieuw te kunnen installeren.

Als de Gedeelde mappen nog wel aanwezig zijn dan is Modus 2 uitgevoerd.

Is er soms iemand ontslagen die als gebruiker, met admin rechten. op de de NAS kon komen ? Dan zou ik denken dat dit een wraak actie was anders moet moet het een hacker geweest zijn.

[Birdy]

Wat ik niet snap: hoe kan een admin account weer actief worden gezet, hoe kan een 2fa worden gepasseerd als het admin account weer actief is. Het admin account en beheerder account hadden beiden 2fa geactiveerd.

DSM is toch opnieuw geïnstalleerd ?

[Timmeh1981]

Dat klopt. Alleen om dsm opnieuw te installeren is toch toegang nodig door iemand via een account. En daar schiet ik tekort want er stonden slechts enkele op waarvan de admin al was uitgeschakeld.

Er was 1 gebruiker die heette camera en had alleen User rechten in surveillance station zonder 2fa.

In de logs van 3-10 is nog te zien dat iemand aanmeld onder het admin accounts na het opnieuw instellen van dsm. Maar dat account was daarvoor uitgeschakeld.

Ik blijf het zo vreemd vinden dat er een ander admin account word gemaakt en daarna verder geen data word gekopieerd of versleuteld.

[Timmeh1981]

Tsja. Er zijn geen medewerkers of ontslagen medewerkers met kennis in huis om bij deze nas te komen. En hij zit in een patchkast waar ik alleen toegang tot heb.

Het enige wat ik heb zijn de log bestanden van gisteren waarin van alles gebeurd en scripts worden uitgevoerd.

[Briolet]

Je zou nog

Code: [Selecteer]

sudo cat /var/log/bash_history.log
kunnen doen. Dan zie je alles wat recent via de terminal ingetikt is. Op zich mogen daar alleen dingen in staan die je zelf ingevoerd hebt.

(Een goede hacker zet natuurlijk eerst bash logging uit, maar dan wordt dat commando nog wel gelogd. Een nog betere hacker edit deze regel ook uit de logfile, voordat hij logging weer aanzet. Dus foolproof is deze check ook niet.)

[Hofstede]

Welke DSM versie was er geïnstalleerd op de NAS? En welke versie Surveillance Station en Photo Station?

Vooral de laatste maanden zijn er een boel updates uitgebracht voor DSM en ook Photo Station met veel security fixes, NASsen die via internet te benaderen zijn en die recente security fixes niet hebben zijn dan gemakkelijke doelwitten. Vooral als je dan ook nog de standaard poorten zoals 5000, 5001 en 443 gebruikt.