Auteur Topic: LET OP: NAS HACK: Synolocker actief.  (gelezen 192091 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
LET OP: NAS HACK: Synolocker actief.
« Gepost op: 03 augustus 2014, 22:09:17 »
Zie http://www.synology-forum.nl/synology-dsm-4-3/synolocker/msg119419/#msg119419

Mag aannemen dat dit voor ALLE versies van DSM geldt.

Zie ook: https://twitter.com/MikeEvangelist/status/495970097497128960

Synology is op de hoogte echter, voor zover ik het zie geven ze op dit moment alleen de oplossing om DSM opnieuw te installeren en geen oplossing wanneer het al te laat is.
Bron: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Heppieboeddah

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 36
  • Berichten: 387
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #1 Gepost op: 04 augustus 2014, 02:47:07 »
Vraag mij af of de normale ingebakken standaardbescherming van de NAS voldoende zekerheid geeft om dit te voorkomen. Vooralsnog lijkt mij het alsof het niet bekend is waar dit mee komt. Welke services lopen risico, welke poorten worden er aangevallen?


Vooralsnog vertrouw ik de beveiligingsinstellingen zoals ze nu staan, in afwachting van wat meerdere ervaringen.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #2 Gepost op: 04 augustus 2014, 08:59:49 »
Met zo weinig informatie is het vooralsnog koffiedik kijken, maar heb wel een idee in welke richting het gevaar zou kunnen zitten. Nadenkend zijn er typische services die mensen gebruiken die IMO enorm kwetsbaar zijn om als backdoor te kunnen worden ingezet. Bijv. als men de NAS gebruikt om torrents te downloaden (en daarmee te delen met anderen).

Meestal weet men bij download van torrents totaal niet wat voor data men in huis haalt. Ontzettend vaak besmet met virussen en andere rommel. Eenmaal een klein "hulpprogrammaatje" in huis (op je NAS) zou dat van buitenaf weer benaderd  kunnen worden, en van daaruit de NAS verder kunnen worden overgenomen.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #3 Gepost op: 04 augustus 2014, 09:09:31 »
Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.

Er is onlangs nog een patch uitgebracht voor DSM 4.3 voor een kwetsbaarheid die met die login te maken had.
Het zou dus ook interessant zijn te weten welke DSM versie de slachtoffers draaien.

Maar is afwachten tot er meer details bekend zijn.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #4 Gepost op: 04 augustus 2014, 09:12:33 »
Jammer dat niemand er bij vermeld onder welke DSM versie ze draaien. Het topic hier is in het 4.3 deel gezet. Ook in het internationale forum zag ik in de signatuur staan dat één van de slachtoffers dsm 4.3 draait.

Ik vind één maal de vermelding:
Citaat
We have a small business and use a DS1513+ with DSM 4.3-3810. We could not open any files.
Dus hij draaide niet op de nieuwste versie. Er zijn hierna nog meerdere security patches uitgegeven. Zie release notes

De toegang zou dus kunnen gaan via het bekende lek dat vorig jaar bekend werd en Synology dit voorjaar gepatcht heeft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #5 Gepost op: 04 augustus 2014, 09:48:09 »
Na nog meer links gevolgd te hebben zie ik steeds DSM 4.3 terug komen:

I am on 4.3 with no updates
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Björn

Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #6 Gepost op: 04 augustus 2014, 10:15:46 »
DSM 4.3 had toch ook last van de bitcoin mining hack doordat er een lek zat in de SMB versie of iets dergelijks die erin zat?

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #7 Gepost op: 04 augustus 2014, 10:33:28 »
Klopt, dat lek is eind 2013 ontdekt. Het heeft toen een paar maand geduurd voor er malware geschreven was die dit lek gebruikte. De bitcoin miner was de bekendste. (Het waren geen bitcoins maar een andere digitale valuta). Synology had ten tijde van de infecties al een update uitgevoerd, maar niet iedereen update zijn nas ogenblikkelijk. Als ik nu zie welke versies besmet zijn, denk ik dat het nog steeds om hetzelfde lek gaat.

Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline blackgoku

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 64
  • -Ontvangen: 40
  • Berichten: 542
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #8 Gepost op: 04 augustus 2014, 10:46:45 »
Ik heb net iemand gesproken die dit probleem ook heeft en draait DSM 5 versie 2.
DS1815+ & 2 x DX513   18 x WD30EFRX (Raid-6)DSM 7.0.1-42218 u4 Bestands-server
DS1513+  5 x 1-TB Raid-5 DSM 7.0.1-42218 u4 Download-nas
DS1821+  5 x WD Ultrastar DC HC550 - 16-TB Raid-5 DSM 7.0.1-42661 Download-nas
DS3622XS+  11-TB Vmware DSM 7.0.1-42218 TEST

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #9 Gepost op: 04 augustus 2014, 11:28:59 »
Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.

De door mij gebruikte NAS is er nog niet te vinden (voor zolang het duurt). Als aardigheid gebruik ik voor mijn webbrowser een plugin die een vlag toont die weergeeft waar het domein of IP-adres is gesitueerd.
https://addons.mozilla.org/nl/firefox/addon/flagfox/

Bij de plugin zitten echter nog meer direct bereikbare links naar websites en services die je kunt gebruiken om allerlei testen uit te voeren. Onder andere:
  • Diagnostiek als pings en traceroutes
  • Whois en DNS-informatie
  • Paginacoderingsvalidatie
    en nog veel meer.....

Sta versteld wat een test voor informatie oplevert.
Doe voor de aardigheid eens een test naar je eigen internet IP-adres waarachter je de NAS hebt staan.
(Bijv. middels de bij MyDS Center vastgelegde DDNS hostnaam. IP-adressen ingeven gaat niet):
https://www.ssllabs.com/ssltest/index.html
Wel een vinkje plaatsen bij:   "Do not show the results on the boards"
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #10 Gepost op: 04 augustus 2014, 12:14:39 »
Sta versteld wat een test voor informatie oplevert.

Er zijn gewoon belachelijk veel sites die IP verkeer loggen. Kijk ook maar eens op: http://myip.ms/ 

Het is in elk geval een illusie om te denken dat als je jouw IP niet op een website plaatst, jouw nas niet gevonden wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #11 Gepost op: 04 augustus 2014, 12:38:24 »
Ik maak me geen illusies hoor. Ik had het er alleen over dat die bewuste website die je specifiek noemde de NAS nog niet in de zoekresultaten voorkwam voor zolang het duurt. De NAS is relatief nog maar kort in gebruik, dus dat die nog niet in hun database voorkomt is niet zo verwonderlijk. Niet elke seconde worden alle nieuw voorkomende NAS'sen in de wereld door hen gescand, daar gaat tijd overheen. Het kan morgen anders zijn.

Met de andere aanvullingen die ik gaf (waaronder een whois who IP) is het duidelijk dat informatie bekend is.
-
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #12 Gepost op: 04 augustus 2014, 13:51:38 »
Dag allen,

Bedankt allereerst voor alle reacties. Inmiddels is er ook respons van synology zelf om te kijken wat er aan te doen is.

Details over mijn synology:

DSM 4.3. Updates lukten niet (meer) omdat de partitie te klein was. (bekend probleem)
Poort 5000 stond inderdaad open, evenals de admin account. Helaas stond het blocken van IP's na verkeerde inlogpogingen uit.
De standaard antivirus stond er ook op, maar we hebben niet te maken met een virus.
 
Eigenlijk stond bijna alles default, omdat ik hem hoofdzakelijk gebruik voor SABnzb. Vandaar ook geen backup Maar zo zie je maar, gaandeweg ga je toch meerdere zaken erop zetten en voila.
Echt een ramp qua timing, want vlak voor de vakantie een flashdrive ernaar gekopieerd en leeggemaakt.

GEEN torrents, als laatste was Plex server geinstalleerd.

Mochten er specifieke vragen zijn, laat het me weten. Ik kan niet meer inloggen op de syno zelf, maar ik denk dat me dat vanavond gaat lukken mbv de tips van synology. Ik zal de voortgang hier blijven posten.

Gr,

Ralph

Nog steeds hou ik me aanbevolen voor decryptietips en trucs.


Offline Remy89

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 6
  • Berichten: 61
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #13 Gepost op: 04 augustus 2014, 13:57:46 »
Ik heb mijn NAS voor zolang het nodig is maar even uit gezet. Wil het risico niet lopen dat hij dadelijk ge encrypt word. Ook al heb ik poort 5000 gewijzigd, draai op de laatste versie, automatisch IP block aan en standaard admin account staat uit. Dit nieuws is nog vers en niemand weet er iets van. Synology kennende zijn ze snel met een oplossing. ;)
  • Mijn Synology: DS213J

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #14 Gepost op: 04 augustus 2014, 14:16:16 »
Even een vraagje tussendoor m.b.t. poort 5000
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

NAS blijft actief in netwerk

Gestart door FransentomBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 39
Gelezen: 11196
Laatste bericht 30 november 2016, 16:01:21
door Hutje
Mail-verificatie ingeschakeld maar niet actief?

Gestart door CreatoXBoard Mail Server

Reacties: 0
Gelezen: 727
Laatste bericht 14 februari 2019, 09:03:06
door CreatoX
Drive mapping niet actief na start pc

Gestart door SamzBoard Windows

Reacties: 3
Gelezen: 2667
Laatste bericht 02 januari 2018, 14:01:50
door Robbedoes
Poging tot Hack? (DS niet benaderbaar)

Gestart door FrankBoard NAS hardware vragen

Reacties: 3
Gelezen: 4013
Laatste bericht 22 februari 2007, 21:04:10
door Frank
Download Station actief maar niet zichtbaar

Gestart door jemoetwatBoard Download Station

Reacties: 3
Gelezen: 4044
Laatste bericht 16 augustus 2012, 09:45:44
door zandhaas