Synology-Forum.nl

Firmware => Synology DSM algemeen => Topic gestart door: Wim N op 22 maart 2019, 09:27:37

Titel: Gevaar melding (Ongewone taak in de taakplanner)
Bericht door: Wim N op 22 maart 2019, 09:27:37

Ik krijg op mijn DS412+ de melding GEVAAR.

Krijg ik deze melding weg als ik mijn NAS ga resetten zodat de besturingssoftware opnieuw wordt ingesteld.
Als ik dat doe behoudt ik dan ook al mijn bestanden en apps die zijn geïnstalleerd.

Ik heb DSM software 6.2.1.23824

Titel: Re: Gevaar melding
Bericht door: Birdy op 22 maart 2019, 09:45:31

Je bent besmet met waarschijnlijk Coin Miner en waarschijnlijk op te lossen, zie hier. (http://www.mysynology.nl/backdoor-op-je-synology-even-opletten/)

Of, DSM opnieuw installeren: Modus 2: Synology NAS resetten en besturingssysteem DSM opnieuw installeren (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS)

Titel: Re: Gevaar melding
Bericht door: DSGebruiker op 22 maart 2019, 11:07:06

Dit is redelijk verontrustend eigenlijk, hoe is het in godsnaam mogelijk dat deze malware aanpassingen heeft kunnen doen aan je systeem ??
Heb je er een deftig admin-wachtwoord op staan ? Bepaalde gebruikers ook in een admin-groep staan ?

Heb je enigzins zelf een idee hoe dit gekomen is ?

Titel: Gevaar melding
Bericht door: Hofstede op 22 maart 2019, 11:36:17

Dat kun je pas weten als OP aangeeft hoe hij alles heeft geconfigureerd naar internet. Alles in DMZ, UPnP in router aan, admin account nog operationeel met simpel password?

Verbaast me eigenlijk dat deze malware nog actief is na zoveel jaar.

Titel: Re: Gevaar melding (Ongewone taak in de taakplanner)
Bericht door: Briolet op 22 maart 2019, 12:50:14

Ik zie dat hij een hardcoded IP adres gebruikt (46.244.18.176). De Whois record is 26 sept 2018 aangemaakt. Sinds die datum valt dat IP dus onder "Modmc Dublin Ireland" dat in Nederland gevestigd is.

Als ik op dat adres google, dan vind ik ook een tweekers pagina (https://tweakers.net/nieuws/94235/nas-systemen-van-synology-worden-via-lek-misbruikt-voor-minen-bitcoins.html) uit 2014 met waarschuwing over diezelfde miner:

Als dat inderdaad een oude miner is, dan is dat IP adres misschien niet eens meer geldig en heeft een nieuwe eigenaar.

Titel: Re: Gevaar melding (Ongewone taak in de taakplanner)
Bericht door: Briolet op 22 maart 2019, 13:42:39

Ook nog wat info hierover op Reddit (https://www.reddit.com/r/synology/comments/1wnwl3/rogue_coin_miner_on_synology_mineredsynodns/).

Ik zie dat Synology in 2013 in DSM 4.0-2259, code toegevoegd (https://www.synology.com/nl-nl/security/advisory/hotfix_dsm_4_0_2259) heeft om deze miner te detecteren en te verwijderen.

Blijkbaar zit die code er bij dsm 6.2 niet meer in, of dit is een nieuwe versie, met het oude hardcoded IP. Maar dat lijkt me sterk. Als Synology al jaren op deze miner scant, schijf je nieuwe code met aangepaste namen, die door de detectie glippen.

Titel: Re: Gevaar melding (Ongewone taak in de taakplanner)
Bericht door: Wim N op 22 maart 2019, 15:16:29

Iedereen bedankt voor de adviezen.
Ik heb een reset 2 uitgevoerd. Alles is nu weer oke.
Heb alleen de pakketten en de gebruikers er opnieuw op moeten zetten.
Ik had wel de admin inlog aanstaan, maar geen eenvoudig wachtwoord. Er zaten kleine en hoofdletters in, getallen en 2 symbolen.