Hallo Allemaal,
Ik draai een 818+ waar vroeger vele gebruikers op zaten, tegenwoordig echter alleen nog voor een globale backup voor een paar onedrive mappen en een surveillance station. (alle gebruikersaccounts zijn verwijderd). Er word geen actief gebruik van de nas gemaakt door mensen van vlees en bloed. Een uitzondering nog voor surveillance station. Het viel een gebruiker gisteren op dat de surveillance app niet meer werkte. Bij nadere inspectie bleek ook het admin account niet actief was (geen admin naam maar een andere admin naam die beheerder heet).
Ik heb de nas daarna fysiek gereset om het standaard admin account te activeren.
Hierna heb ik ingelogd en een nieuw wachtwoord ingesteld voor het gewone admin account. Het viel daarna direct op dat de gehele nas een reset gehad bleek te zijn als in: opnieuw geinstalleerd. Niet door mijn reset maar de dag ervoor. Alle aps waren verdwenen, geen surveillance station meer etc. geen cloud sync geen synology drive client meer. (deze werd ook niet meer gebruikt).
Er bleek een andere admin naam aangemaakt te zijn genaamd admin8888. Uit de synology logs bleek dat op 3 oktober te zijn gebeurd. Alle data is voor het laatst benaderd op 29 september, op deze datum was ook de laatste hyperbackup gemaakt (versleuteld met wachtwoord) naar een externe nas. Daarna niks meer.
Alle logs beginnen nu op 3 oktober 06:15. Daarvoor is er niks meer te vinden in geen enkele log van uit het systeem. het enige wat resteert zijn alle data folders die er voorheen ook op stonden.
Er is dus verder niks versleuteld. Geen meldingen of iets dergelijks, behalve een hele reinstall van de nas... Zou dat bedoeld zijn om sporen te wissen?
het ip adres behorende bij de login van admin8888 was een ip adres uit west juresulam. Israël. Ik kan dus niet actief achterhalen of de bestanden nu allen als laatst zijn benaderd door de cloud sync van onedrive, of dat alles op de 29e er nog af is gekopiëerd.
Mocht iemand erg thuis zijn in het uitlezen van de log bestanden (zoals router.log synobootup.log etc) ben ik heel benieuwd of iemand daar iets uit kan halen.
een van de regels die bijvoorbeeld zijn uitgevoerd in de synoplugin log is
2022-10-03T06:16:56-07:00 DiskStation synoscgi_SYNO.Core.User_1_create[17171]: plugin_action.c:317 synoplugin: [17171][user_set][MAIN] Scripts=[secure_signin_set_user.sh,syno_finder_fileindex_user_set.sh,DRNodeUserSet.sh,home_user_set,personal_updater_user_set.sh,syno_wallpaper_user_set.sh,synocgi-libexec.user_set.sh]; Args=[NITEMS=1,PASSWORD_CHANGE_1=no,UID_1=4294967295,USER_OP_RESULT_1=0x2A00,RESULT=0,USER_NAME_1=Admin8888]
De volgende poorten waren geopend: 5000, 5001, 443 en 6281 en 6690. hyper backup, syno drive client web access en surveillance station. Photo station gebruikte poort 443.
Wat ik niet snap: hoe kan een admin account weer actief worden gezet, hoe kan een 2fa worden gepasseerd als het admin account weer actief is. Het admin account en beheerder account hadden beiden 2fa geactiveerd. Beiden hadden een herstel email account waarna controle de periode rondom de hack niet op is ingelogd.
De nas staat inmiddels voorlopig uit. Als iemand een idee heeft hoe en waarom en wat het doel hiervan is geweest hoor ik dat graag. Ook kan ik wat logs ter beschikking stellen. Daar staat voor mij verder niks bijzonders in maar ik weet niet hoe ik ze moet lezen om te zien wat er nu eigenlijk is gebeurd op 3-10.
Groeten!