Synology geeft waarschuwing voor ransomware aanval.

[Briolet]

De malware heet niet Qnas maar Qsnatch en lijkt alleen voor nassen van het merk Qnap geschreven te zijn.

Ik lees overigens liever de beschrijving op security.nl. Tweakers weet blijkbaar al dat het een virus betreft, terwijl de experts nog niet eens weten hoe het op de nas komt. rara. waar haalt twaekers die kennis vandaan? Het kan b.v. ook een trojan zijn die zelf geïnstalleerd wordt met een besmet pakket of de malware wordt via remote aanvallers op de nas gezet.

Lees ook dit: Qsnatch verwijderingstool

[maikell]

wat moet ik dan doen om mijn nas beter tebeveiligen kan ik zo maar een wacht woord veranderen zonder in problemen te komen

[Briolet]

Beter dan een nog sterker wachtwoord is het aanzetten van 2-factor authenticatie. Sterke wachtwoorden kunnen ook door keyloggers onderschept worden. Bij 2FA heeft de 'inbreker' ook nog je extra device nodig.

[Birdy]

kan ik zo maar een wacht woord veranderen zonder in problemen te komen

Uiteraard kan dat..... en lees ook:
Hoe de beveiliging van uw Synology NAS verbeteren.

[J.Einmahl]

Hoi,

Een tijdlang heb ik ook last gehad van die BruteForce aanvallen. Zie bijlage.
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.
Weet jij waar ik die functie zit ?

Alvast bedankt

Groet Jos

[Babylonia]

Opschonen zou ik dan juist NIET doen.  Weet je mogelijk waar vandaan.
Want je hebt kennelijk je beveiliging slecht geregeld.

Kijk eens naar het volgende onderwerp en aanbevelingen daarin:
https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574

[J.Einmahl]

Ik begrijp je reactie. Dat mijn beveiliging slecht geregeld was, was idd zo.
Maar dat is inmiddels al meer dan 7 maanden geleden opgelost.
Vandaar dat ik die lijst met meer dan 11000 meldingen toch eens zou willen opschonen 

[Briolet]

En wat stellen die 11.000 meldingen nu voor? Voor een logbestand is dat peanuts. Mailserver maakt bij mij elke paar maand een logbestand met 30.000 entries.
Is maar 30 MB groot en als je archieven gecomprimeerd opslaat is dit 0,6 MB (Tekst is sterk te comprimeren). Qua opslagcapaciteit stelt het niets voor.

Opschonen is misschien belangrijk bij bedrijven die een een AVG moeten voldoen. Dan kan het zijn dat je bepaalde etries maar 6, 12 of 24 maand mag bewaren. (Maar van die regels heb ik geen kaas gegeten)

Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.

De locatie heb je zelf opgegeven en kunnen wij dus ook niet weten.

[Birdy]

Volgens mij worden die meldingen uit het Log Center gehaald.
Daar kun je opschonen.

[Briolet]

Nee, dit staat los van Log Center. Het wordt ook in een ander formaat opgeslagen. Wat dat betreft maakt Synology er een rommeltje van door niet alles op een consistente plek te loggen.

Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor. En zolang je de logboeken kunt lezen, zal dat pad ook nog correct zijn.

[Birdy]

Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor.

TS laat zien Security Advisor > Aanmeldanalyse, dat is wat anders dan het laten zien van een Rapport opgeslagen in Raportinstellingen > Opslaglocatie.

Ik heb getest, een aantal keren fout ingelogd, SA laat zien dit dan ook zien:


In het Log Center:


Als ik nu in het Log Center > Logboeken > verbinding kies en op Wissen klik, dan zijn alle verbindings- meldingen weg.
Echter, als ik SA weer laat scannen, dan blijft de melding bestaan in Security Advisor > Aanmeldanalyse.

Ben verder gaan testen en zoeken en wat blijkt, de data wordt uiteindelijk opgeslagen in /volume1/@database/synologan/alert.sqlite

Code: [Selecteer]

Mbrute_force_attackBruteForceAttack2020/05/16 10:17:28{"attempt_count":10,"country_code_list":[],"has_any_public_src_ip":false,"protocol_list":["DSM"],"src_ip_list":["192.168.1.7"],"thresh_minutes":5,"user":"test"}

Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...

Opschonen kan dus niet, tenzij je met SQL die regels verwijdert uit die database maar, daar zou ik dus zeker niet aan beginnen.

[Briolet]

Helemaal snappen doe ik die aanmeld analyse niet. Er staan bij mij slechts 37 entries over de periode december 2018 t/m januari 2020. Via logboeken zie ik er heel veel meer staan en de meldingen uit de analyser mis ik er juist. 

[Birdy]

Ben toch even een stapje verder gegaan maar, als je die meldingen toch wilt verwijderen, dan kan je de Database verwijderen in PuTTY:

Code: [Selecteer]

rm /volume1/@database/synologan/alert.sqliteJe moet natuurlijk wel root zijn.

REBOOT de NAS en de Database wordt opnieuw gemaakt, dus de meldingen zijn daarmee weg.

[pappa123]

Hallo ik weet niet of ik hier goed zit, maar ik ben gehackt met ransomware in mijn nas.
Al mijn bestanden zijn encrypted.
wat te doen nu?

[André PE1PQX]

In geen geval betalen!

Als je een remote backup hebt, dan de geraakte NAS resetten en opnieuw installeren, en backup terug zetten.