Auteur Topic: gehacked maar toch niet gehacked?  (gelezen 603 keer)

Offline Timmeh1981

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 8
gehacked maar toch niet gehacked?
« Gepost op: 05 oktober 2022, 00:27:33 »
Hallo Allemaal,

Ik draai een 818+ waar vroeger vele gebruikers op zaten, tegenwoordig echter alleen nog voor een globale backup voor een paar onedrive mappen en een surveillance station. (alle gebruikersaccounts zijn verwijderd). Er word geen actief gebruik van de nas gemaakt door mensen van vlees en bloed. Een uitzondering nog voor surveillance station. Het viel een gebruiker gisteren op dat de surveillance app niet meer werkte. Bij nadere inspectie bleek ook het admin account niet actief was (geen admin naam maar een andere admin naam die beheerder heet).

Ik heb de nas daarna fysiek gereset om het standaard admin account te activeren.

Hierna heb ik ingelogd en een nieuw wachtwoord ingesteld voor het gewone admin account. Het viel daarna direct op dat de gehele nas een reset gehad bleek te zijn als in: opnieuw geinstalleerd. Niet door mijn reset maar de dag ervoor. Alle aps waren verdwenen, geen surveillance station meer etc. geen cloud sync geen synology drive client meer. (deze werd ook niet meer gebruikt).

Er bleek een andere admin naam aangemaakt te zijn genaamd admin8888. Uit de synology logs bleek dat op 3 oktober te zijn gebeurd. Alle data is voor het laatst benaderd op 29 september, op deze datum was ook de laatste hyperbackup gemaakt (versleuteld met wachtwoord) naar een externe nas.  Daarna niks meer.

Alle logs beginnen nu op 3 oktober 06:15. Daarvoor is er niks meer te vinden in geen enkele log van uit het systeem. het enige wat resteert zijn alle data folders die er voorheen ook op stonden.

Er is dus verder niks versleuteld. Geen meldingen of iets dergelijks, behalve een hele reinstall van de nas... Zou dat bedoeld zijn om sporen te wissen?
het ip adres behorende bij de login van admin8888 was een ip adres uit west juresulam. Israël. Ik kan dus niet actief achterhalen of de bestanden nu allen als laatst zijn benaderd door de cloud sync van onedrive, of dat alles op de 29e er nog af is gekopiëerd.

Mocht iemand erg thuis zijn in het uitlezen van de log bestanden (zoals router.log synobootup.log etc) ben ik heel benieuwd of iemand daar iets uit kan halen.

een van de regels die bijvoorbeeld zijn uitgevoerd in de synoplugin log is
2022-10-03T06:16:56-07:00 DiskStation synoscgi_SYNO.Core.User_1_create[17171]: plugin_action.c:317 synoplugin: [17171][user_set][MAIN] Scripts=[secure_signin_set_user.sh,syno_finder_fileindex_user_set.sh,DRNodeUserSet.sh,home_user_set,personal_updater_user_set.sh,syno_wallpaper_user_set.sh,synocgi-libexec.user_set.sh]; Args=[NITEMS=1,PASSWORD_CHANGE_1=no,UID_1=4294967295,USER_OP_RESULT_1=0x2A00,RESULT=0,USER_NAME_1=Admin8888]


De volgende poorten waren geopend: 5000, 5001, 443 en 6281 en 6690. hyper backup, syno drive client web access en surveillance station. Photo station gebruikte poort 443.

Wat ik niet snap: hoe kan een admin account weer actief worden gezet, hoe kan een 2fa worden gepasseerd als het admin account weer actief is. Het admin account en beheerder account hadden beiden 2fa geactiveerd. Beiden hadden een herstel email account waarna controle de periode rondom de hack niet op is ingelogd.

De nas staat inmiddels voorlopig uit. Als iemand een idee heeft hoe en waarom en wat het doel hiervan is geweest hoor ik dat graag. Ook kan ik wat logs ter beschikking stellen. Daar staat voor mij verder niks bijzonders in maar ik weet niet hoe ik ze moet lezen om te zien wat er nu eigenlijk is gebeurd op 3-10.

Groeten!
  • Mijn Synology: Rs818+
  • HDD's: 4x iron wulf
  • Extra's: 16gb ram

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: gehacked maar toch niet gehacked?
« Reactie #1 Gepost op: 05 oktober 2022, 11:31:25 »
Tja, iemand heeft je RS818+ reset, Modus 2: Synology NAS resetten en DSM opnieuw installeren (gebruikers data blijft bestaan) of via DSM: terug naar fabrieksinstellingen.

Voor de Modus 2 reset moet die persoon bij de NAS geweest zijn, voor terug naar fabrieksinstellingen, moet je inloggen van binnen of van buiten af (VPN op de Router?).
In beide gevallen moet wel b.v. Synology Assistant zijn gebruikt om DSM opnieuw te kunnen installeren.

Als de Gedeelde mappen nog wel aanwezig zijn dan is Modus 2 uitgevoerd.

Is er soms iemand ontslagen die als gebruiker, met admin rechten. op de de NAS kon komen ? Dan zou ik denken dat dit een wraak actie was anders moet moet het een hacker geweest zijn.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: gehacked maar toch niet gehacked?
« Reactie #2 Gepost op: 05 oktober 2022, 11:36:26 »
Citaat
Wat ik niet snap: hoe kan een admin account weer actief worden gezet, hoe kan een 2fa worden gepasseerd als het admin account weer actief is. Het admin account en beheerder account hadden beiden 2fa geactiveerd.
DSM is toch opnieuw geïnstalleerd ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Timmeh1981

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 8
Re: gehacked maar toch niet gehacked?
« Reactie #3 Gepost op: 05 oktober 2022, 11:47:16 »
Dat klopt. Alleen om dsm opnieuw te installeren is toch toegang nodig door iemand via een account. En daar schiet ik tekort want er stonden slechts enkele op waarvan de admin al was uitgeschakeld.

Er was 1 gebruiker die heette camera en had alleen User rechten in surveillance station zonder 2fa.

In de logs van 3-10 is nog te zien dat iemand aanmeld onder het admin accounts na het opnieuw instellen van dsm. Maar dat account was daarvoor uitgeschakeld.

Ik blijf het zo vreemd vinden dat er een ander admin account word gemaakt en daarna verder geen data word gekopieerd of versleuteld.
  • Mijn Synology: Rs818+
  • HDD's: 4x iron wulf
  • Extra's: 16gb ram

Offline Timmeh1981

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 8
Re: gehacked maar toch niet gehacked?
« Reactie #4 Gepost op: 05 oktober 2022, 11:59:06 »
Tsja. Er zijn geen medewerkers of ontslagen medewerkers met kennis in huis om bij deze nas te komen. En hij zit in een patchkast waar ik alleen toegang tot heb.

Het enige wat ik heb zijn de log bestanden van gisteren waarin van alles gebeurd en scripts worden uitgevoerd.
  • Mijn Synology: Rs818+
  • HDD's: 4x iron wulf
  • Extra's: 16gb ram

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: gehacked maar toch niet gehacked?
« Reactie #5 Gepost op: 05 oktober 2022, 13:51:19 »
Je zou nog

sudo cat /var/log/bash_history.log
kunnen doen. Dan zie je alles wat recent via de terminal ingetikt is. Op zich mogen daar alleen dingen in staan die je zelf ingevoerd hebt.

(Een goede hacker zet natuurlijk eerst bash logging uit, maar dan wordt dat commando nog wel gelogd. Een nog betere hacker edit deze regel ook uit de logfile, voordat hij logging weer aanzet. Dus foolproof is deze check ook niet.)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.095
Re: gehacked maar toch niet gehacked?
« Reactie #6 Gepost op: 05 oktober 2022, 19:55:53 »
Welke DSM versie was er geïnstalleerd op de NAS? En welke versie Surveillance Station en Photo Station?

Vooral de laatste maanden zijn er een boel updates uitgebracht voor DSM en ook Photo Station met veel security fixes, NASsen die via internet te benaderen zijn en die recente security fixes niet hebben zijn dan gemakkelijke doelwitten. Vooral als je dan ook nog de standaard poorten zoals 5000, 5001 en 443 gebruikt.


 

DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all

Gestart door JGBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 6
Gelezen: 10089
Laatste bericht 26 oktober 2015, 00:05:47
door Babylonia
gehacked....

Gestart door Maurice_69Board Web Station

Reacties: 12
Gelezen: 2161
Laatste bericht 05 juli 2017, 23:18:52
door Maurice_69
Een Synology nas gehacked tijdens de jaarlijkse PWN2OWN hackwedstrijd

Gestart door BrioletBoard The lounge

Reacties: 5
Gelezen: 2035
Laatste bericht 09 november 2020, 10:55:45
door DSGebruiker