Auteur Topic: LET OP: NAS HACK: Synolocker actief.  (gelezen 189908 keer)

Offline Mister13

  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 0
  • Berichten: 18
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #60 Gepost op: 04 augustus 2014, 23:30:46 »
Ben beetje een leek maar kan je ook gehackt worden als je geen portforwarding hebt aanstaan?
  • Mijn Synology: DS411J

Offline blackgoku

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 40
  • Berichten: 542
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #61 Gepost op: 04 augustus 2014, 23:34:28 »
Je bedoelt in dit scherm?

En in welk opzicht moet je dit veranderen in de apps?
Die gebruiken toch allemaal een eigen poort?

Ja die staat standaard 5000 heb er wat anders van gemaakt.

En bij DS file moet je dat nummer in vullen. Dat hoeft volgens mijn niet als hij standaard op 5000 staat

Webdav is 5005 en via https 5006
DS1815+ & 2 x DX513   18 x WD30EFRX (Raid-6)DSM 7.0.1-42218 u4 Bestands-server
DS1513+  5 x 1-TB Raid-5 DSM 7.0.1-42218 u4 Download-nas
DS1821+  5 x WD Ultrastar DC HC550 - 16-TB Raid-5 DSM 7.0.1-42661 Download-nas
DS3622XS+  11-TB Vmware DSM 7.0.1-42218 TEST

Offline Petrovski

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #62 Gepost op: 04 augustus 2014, 23:34:33 »
Ben beetje een leek maar kan je ook gehackt worden als je geen portforwarding hebt aanstaan?

Dat is nog niet bekend. Er zijn in theorie een aantal manieren om DSM te hacken. Toegang via internet is wel de meest waarschijnlijke. Mijn mening: als je DS niet via internet bereikbaar is en je installeert geen niet-officiele packages is het risico laag. Paranoide modus: direct je DS uitschakelen tot de aanvalsvector bekend is.
  • Mijn Synology: DS213j
  • HDD's: 2x WD Red 2TB

Offline Robbedoes

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 67
  • -Ontvangen: 88
  • Berichten: 612
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #63 Gepost op: 04 augustus 2014, 23:59:10 »
Yep. Buiten poort 5000 naar intern 'nieuw poortnummer'

Ehm, dit moet je dus juist niet doen. Dan heeft het wijzigen van je poort geen nut, want je router zet zo de oude poort door naar de nieuwe.

Andersom heeft wel nut.
DS620slim [6x Samsung SSD 870 EVO (TLC) 4TB], 2x8GB Ram, Btrfs - DSM 7.2
met 1 pool SHR-1 (netto 18TB en 1 schijf fouttolerantie)
DS124 [1x Samsung SSD 870 QVO (QLC) 8TB] (back-up NAS) - DSM 7.2
DS214play [2x Seagate NAS HDD 4TB] (ST4000VN000) - DSM 6.2
DS115J      [1x Western Digital Red 4TB] (WD40EFRX) - DSM 6.2

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #64 Gepost op: 05 augustus 2014, 00:03:49 »
Ik vraag me af of de aanval wel uitgaat van poort 5000 en 5001 ?

Per dag krijg ik een "straatje" aan meldingen met ip-adressen die van buitenaf proberen in te loggen, waarbij de toegang in mijn geval geweigerd wordt. Als ik de log-bestanden bekijk komen relatief weinig gebruikersnamen voor met admin. En een paar fancy namen van "hobbyisten". Wat echter in bijzondere mate opvalt is dat bij het merendeel de gebruikersnaam "root" wordt gebruikt. Misschien bij 90-95% van de gevallen.

Dat zou kunnen duiden dat men probeert binnen te komen via poort 22 en het SCP protocol ???
Daarbij gebruik je specifiek de gebruikersnaam "root" voor je default admin gebruikers login. Het gebruikers inlog account admin heb ik om veilheidsredenen echter uitgeschakeld. Dus die stap werkt dan niet. Zou het wel ingeschakeld zijn, hoeft men alleen een wachtwoord te genereren om binnen te komen, geen gebruikersnaam.

Wil je zelf op root-niveau je NAS benaderen kan dat op die wijze bijv. met WinSCP of vergelijkbaar.
-
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline blackgoku

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 40
  • Berichten: 542
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #65 Gepost op: 05 augustus 2014, 00:07:59 »
Ik snap wat je bedoeld ik heb dit zelf ook voorbij zien komen, alleen als ze het proberen via poort 22 zie ik de melding in het log dat de gebruiker ''root'' een poging heeft gedaan via SSH.
Vaak word er specifiek aangeduid waar op geprobeerd werd in te loggen.

Dit was trouwens bij een nas van een kennis van me waar ik ook vaak op inlog.

Ik had deze soortgelijke meldingen vroeger ook maar sinds ik een nieuwe router heb (Netgear R700) heb ik dit niet een keer mee gehad   
DS1815+ & 2 x DX513   18 x WD30EFRX (Raid-6)DSM 7.0.1-42218 u4 Bestands-server
DS1513+  5 x 1-TB Raid-5 DSM 7.0.1-42218 u4 Download-nas
DS1821+  5 x WD Ultrastar DC HC550 - 16-TB Raid-5 DSM 7.0.1-42661 Download-nas
DS3622XS+  11-TB Vmware DSM 7.0.1-42218 TEST

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #66 Gepost op: 05 augustus 2014, 00:08:37 »
Volgens mij weet niemand op dit moment precies hoe men binnenkomt, zelfs Synology niet. Anders zouden ze niet aangeven dat je voorlopig alle poorten vanaf het internet dicht moet zetten.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #67 Gepost op: 05 augustus 2014, 00:17:30 »
Ik snap wat je bedoeld ik heb dit zelf ook voorbij zien komen, alleen als ze het proberen via poort 22 zie ik de melding in het log dat de gebruiker ''root'' een poging heeft gedaan via SSH.

Inderdaad via SSH, maar dat kan toch specifiek de bedoeling zijn van degene die dat willen proberen ??
(Ik dacht dat ik de poorten voor de gewone verbindingsmode heb gesloten).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline blackgoku

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 40
  • Berichten: 542
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #68 Gepost op: 05 augustus 2014, 00:20:27 »
Ik moet zeggen dat ik eigenlijk ook nooit poort 22 open heb staan in mijn router en de nas, mocht ik willen inloggen via ssh dan zet ik alleen de poort in de nas weer even open en zet ik een vonkje bij de dienst zelf.
DS1815+ & 2 x DX513   18 x WD30EFRX (Raid-6)DSM 7.0.1-42218 u4 Bestands-server
DS1513+  5 x 1-TB Raid-5 DSM 7.0.1-42218 u4 Download-nas
DS1821+  5 x WD Ultrastar DC HC550 - 16-TB Raid-5 DSM 7.0.1-42661 Download-nas
DS3622XS+  11-TB Vmware DSM 7.0.1-42218 TEST

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #69 Gepost op: 05 augustus 2014, 00:21:22 »
Volgens mij weet niemand op dit moment precies hoe men binnenkomt, zelfs Synology niet. Anders zouden ze niet aangeven dat je voorlopig alle poorten vanaf het internet dicht moet zetten.

Maar op zichzelf is de binnenkomst via poort 22 "begrijpelijk". Er hoeft in dat geval slechts een wachtoord gegenereerd worden, geen gebruikersnaam. Vanuit "hack"-overwegingen een logische gedachte die mogelijk eerder succesvol zou kunnen zijn dan via een andere omweg een gebruikersnaam met daarbij een wachtwoord, waarbij je dan ook nog niet eens in de root zit ?

Maar goed, we wachten de berichten wel af.
Ga wat poorten dichtgooien denk ik, plus services inperken. Kijken wat dat oplevert in de login-pogingen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline whoopi

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 7
  • Berichten: 88
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #70 Gepost op: 05 augustus 2014, 08:16:05 »
Mijn nasje heb ik maar even helemaal uitgeschakeld.  Wel lastig ivm mijn mailserver.

Je kunt wel allerlei poorten wijzigen, maar als je niet weet waar het lek zit, dan ben je van alles aan het aanpassen en ben je straks toch nog het haasje

Ik ben benieuwd of er in de loop van de dag een update komt.  Deze topic houd ik in iedergeval in de gaten.

Succes allen ::) ::)
  • Mijn Synology: DS118
  • HDD's: + DS111

Offline CHIWI

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 1
  • Berichten: 45
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #71 Gepost op: 05 augustus 2014, 08:36:11 »
Ik heb hem uitgezet en contact opgenomen met security afdeling van Synology.

Hoop snel op een oplossing grrrr
  • Mijn Synology: DS214+
  • HDD's: 2

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #72 Gepost op: 05 augustus 2014, 08:45:07 »
Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.

Maar dan moet je wel zeker weten dat de bug niet in het VPN deel zit, anders open je juist deuren. Dit voorjaar werd b.v. bekend dat in de OpenVPN implementatie van Synology een hardcoded root wachtwoord zat. Met 'root' en 'synopass' kreeg je toegang tot het netwerk. (In elk geval onder DSM 4.3)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Eddiexbmw

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 71
  • -Ontvangen: 42
  • Berichten: 361
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #73 Gepost op: 05 augustus 2014, 08:58:19 »
in welke log kan ik zien welke inlognaam wordt "aangevallen"
  • Mijn Synology: DS920+
  • HDD's: 4 x WD40EFRX
  • Extra's: RT2600 + 3 x MR2200

Offline RAT

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1007
  • -Ontvangen: 31
  • Berichten: 986
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #74 Gepost op: 05 augustus 2014, 09:34:10 »
De zaak waar ik hem heb gekocht, stuurde ook een waarschuwings mail...wel netjes van ze :-)

dit stond er oa in:

Wat moet u doen? NAS is nog niet geïnfecteerd:
Omdat nu nog niet bekend is hoe de ransomware op de NAS terechtkomt raden wij aan om te zorgen dat de NAS op geen enkele manier via internet bereikt kan worden. Dit kunt u doen door bestaande portforwards te verwijderen, of door de NAS uit te zetten etc.
Wacht vervolgens op nieuws vanuit Synology over te verder te volgen stappen indien van toepassing.


Ik wil niet aan de poorten gaan zitten rommelen, want ik ben daar ook maar een leek in, en ik ben dan bang dat ik het later nooit meer goed krijg..

Is het in dat geval dan maar beter de NAS echt uit te zetten, totdat Synology een oplossing heeft ?
ik kan eigenlijk geen dag zonder, want alles wat ik op tv kijk, is door de NAS gedownload via de newsgroepen.

Is in het verleden wel eens vaker zoiets als dit voorgekomen, en zoja, hoe lang duurde het toen totdat Synology een oplossing had ?
  • Mijn Synology: DS923+
  • HDD's: WD Red 2x6TB 2x12TB
  • Extra's: 7.2.1-69057 Update 3


 

NAS blijft actief in netwerk

Gestart door FransentomBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 39
Gelezen: 11008
Laatste bericht 30 november 2016, 16:01:21
door Hutje
Mail-verificatie ingeschakeld maar niet actief?

Gestart door CreatoXBoard Mail Server

Reacties: 0
Gelezen: 719
Laatste bericht 14 februari 2019, 09:03:06
door CreatoX
Drive mapping niet actief na start pc

Gestart door SamzBoard Windows

Reacties: 3
Gelezen: 2621
Laatste bericht 02 januari 2018, 14:01:50
door Robbedoes
Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 3989
Laatste bericht 22 februari 2007, 21:04:10
door Frank
melding twee routers actief

Gestart door phoogmoedBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 2
Gelezen: 1232
Laatste bericht 06 mei 2020, 11:43:34
door Briolet