Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 95770 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #30 Gepost op: 25 juli 2019, 20:59:37 »
Ik zou jullie raad graag willen opvolgen en dus uitvoeren, echter zou ik niet weten hoe daaraan te beginnen.

Er zijn door Synology uitgebreide hulpbronnen, help-files, handleidingen en video tutorials uitgegeven.
Kleine zoekactie met Google en je vindt ze.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1380
  • -Ontvangen: 7963
  • Berichten: 43.941
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #31 Gepost op: 25 juli 2019, 21:10:30 »
@Menneke In Reactie #7 staat een handige link hiervoor, maar goed, lees dit dan maar.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806     RT2600ac  SRM 1.2.5-8227-11
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.2.5-8227-11

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #32 Gepost op: 25 juli 2019, 21:14:54 »
Bedankt mensen.

@Birdy ... daar was ik net mee bezig, morgen ga ik het grondig doorlezen en als ik het aandurf uitvoeren.

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1455
  • Berichten: 6.094
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #33 Gepost op: 25 juli 2019, 21:15:11 »
Begin als eerste met het uitvoeren van de Security advisor in DSM. Die controleert een aantal basiszaken.

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #34 Gepost op: 25 juli 2019, 21:17:23 »
Dat doe ik regelmatig, ik zag daar ergens dat mijn ww sterk is ... maar het kan blijkbaar beter / veiliger.

Offline eentje

  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 9
  • Berichten: 155
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #35 Gepost op: 25 juli 2019, 21:42:49 »
bij het uitzoeken waarom mijn nas sinds gisteren niet meer in slaapstand ging er achter gekomen dat ze bij mij ook druk san brute forcen zijn. heb admin account wel aanstaan nog met een 28 char pasword dus niet bang dat ze binnenkomen. wel vervelend nu met die hitte. ding word flink warm zo. maar hopen dat ze snel klaar zijn

  • Mijn Synology: DS1512+
  • HDD's: 2x3 1x4 1x6
There EENT no place like ://home

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2667
  • Berichten: 16.537
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #36 Gepost op: 25 juli 2019, 22:17:58 »
Aan een sterk wachtwoord heb je niets als je PC b.v. met een keylogger besmet raakt. Voor zo'n programma maakt het niet uit of iets sterk of zwak is. Voor een admin account zou ik dat altijd een factor 2 authenticatie gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #37 Gepost op: 25 juli 2019, 23:16:45 »
Deskundige uitleg / advies.
Zullen een aantal mensen zeker iets aan hebben. Zelf begrijp ik er geen jota van maar dat is mijn probleem.

Ben even bezig geweest via de tips die ik hier intussen heb gekregen.
Ik zie nu dat ik inmiddels 3 accounts heb ...
Een "admin" genaamd.
Nog eentje als "guest"
En dan een derde aangemaakt op "mijn naam".

Echter, wanneer ik nu op "admin" klik zie ik aangegeven "sterk wachtwoord maar bij bevestiging ww staat er een korter ww.
Wanneer ik dan op ok klik krijg ik melding "een aantal van uw instellingen zijn onjuist, vul deze opnieuw in"

Bij het account "guest" ziet het er goed uit.

Het derde account (op mijn naam) geeft zelfde resultaat als bij "admin".

Ik zal er maar eens een IT er moeten gaan bijhalen denk ik. 

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 117
  • Berichten: 1.693
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #38 Gepost op: 26 juli 2019, 06:56:50 »
ah is dat het.....

pffff, ik ben kennelijk ook de beer...
admin account kan ik niet meer in....

apart ik had gister mijn pc aan plotseling kreeg ik een ding van ransomware bla bla bla met een piep...
via de taskmanager heb ik die melding verwijderd, en direct de pc een deepscan gedaan, en malwarebytes... er werd niets gevonden.

De nas:

meldingen rechts om het uur een melding dat de admin account is beveiligd
admin account kan ik niet meer in.
ik heb gelukkig een gebruikers account met admin rechten... kon er zo bij
bestanden bekeken voor zover ik kan zien werkt alles..
Beveiligingscentrum laten draaien, alles groen...
Logcenter: om de paar minuten doen ze nu een poging... steeds andere ip nummers...Elke keer gaat dat niet door, user admin ip ..... failed due to autherization..

paar vragen:

het account admin kan ik niet meer in... toch proberen ze steeds in te loggen wat kennelijk mislukt... Hoe kan dat ze konden toch dat admin account aanpassen????? Of is dat juist de hack en zijn ze nog niet verder?

kan ik die admin account gewoon weg gooien?

Zijn mijn bestanden nu besmet?





Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

Life is like a box of chocolates......

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 117
  • Berichten: 1.693
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #39 Gepost op: 26 juli 2019, 07:00:55 »
ps. ik heb de admin account eerst maar uitgeschakeld... geen meldingen meer nu.
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

Life is like a box of chocolates......

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #40 Gepost op: 26 juli 2019, 07:27:21 »
Dat is ook precies de bedoeling voor een meer "veilige" NAS, dat je je normale admin account uitschakelt,
en alleen inlogt met een afwijkende gebruikersnaam met adminrechten.

Omdat de "admin" naam de meest gebruikelijke inlognaam is (= standaard), en de meeste mensen dat niet aanpassen,
wordt juist op die naam geprobeerd in te loggen.
Men hoeft dan alleen nog maar een wachtwoord te raden. Als dat niet al te lang is, is men echt zo binnen.
Dat proberen gebeurt volledig geautomatiseerd met een wachtwoord generator.  Net zo lang tot er een match is.
In dit geval zelfs met een gefingeerde IP-adres wisseling, zodat men het blokken van IP-addressen omzeilt.

Bij gebruik van een andere gebruikersnaam, zijn er twee velden te "raden".
Gebruikersnaam en wachtwoord. De combinatie van die twee is praktisch eigenlijk nauwelijks te doen.
(Als je voor die twee velden geen voor de hand liggende woorden gebruikt, en voldoende "vreemde" karakters).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline wopper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 52
  • Berichten: 424
    • http://www.robdehoog.nl
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #41 Gepost op: 26 juli 2019, 07:38:09 »
Wat ik gedaan heb. Is het gebruik van GEO firewall, ik gebruik een aantal diensten van mijn NAS tijdens mijn kantooruren. Het is voor mij fijn als ik er gewoon bij kan vanaf het internet, maar de aanvallers natuurlijk niet.

Het standaard Synology lijstje + de volgende zaken.

-Ik gebruik quickconnect, de connect cloud van synology. Een hoop klanten zetten tegenwoordig hun gastennetwerken dicht en dan is deze cloud de enige manier om bij mijn nas te komen. Na de hack, lang geleden, op deze cloud. Neemt synology security erg serieus. Voordat ze mij aanvallen zullen ze eerst mijn quickid moeten achterhalen, voor ze gericht kunnen aanvallen op mijn NAS.
-Ik heb wel een aantal porten open staan, bv ssh op 5522 en DSM nog wel op de standaard poort. Maar ik heb daar een GEO filewall regel op gezet, alleen Nederlandse IP's mogen erbij. (Vanavond maar de DSM port wijzigen naar een niet standaard poort.)
-In die GEO acl regels heb ik ook een aantal lijnen voor de Top10 hackende landen (google) en die mogen helemaal niets, alles is geblokkeerd vanuit die landen.
-2FA is ook een goede optie
-admin account staat vanzelfsprekend uit, maar dat staat ook in het standaard lijstje van synology.



Je ziet vaak dat de randsomware of echte hacker een aantal zaken probeert welke heel standaard zijn; port 22, port 5001 en dan altijd de gebruiker admin. Als je de combinatie van deze set voorkomt ben ja een forse stap veiliger + een goed wachtwoord.
  • Mijn Synology: 916+

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 117
  • Berichten: 1.693
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #42 Gepost op: 26 juli 2019, 07:50:52 »
vraag, ik heb die admin uitstaan... nu...
komen geen meldingen meer binnen van buiten af...

alles werkt...
securiti advisor gaf geen vreemde zaken aan...

melding centrum rechts geeft steeds aan, dat admin beveiligd is...( doet die nas dat?)
kon zelf niet meer inloggen met dat wachtwoord...

ik had wel dat ding draaien naam ff kwijt, maar als ze dan een snelle portscan doen dan gooit hij hem er af....

krijg via logcenter steeds meldingen van inloggen failed via dat en dat ip nummer due to auterization....

zijn ze nu wel binnen geweest of niet??????
zweet me de pleuris van het weer en dit :) .... moet ik me nu zorgen maken, of heb ik mazzel?

bvd
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

Life is like a box of chocolates......

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 88
  • -Ontvangen: 117
  • Berichten: 1.693
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #43 Gepost op: 26 juli 2019, 07:59:45 »
ps ik heb admin uitstaan nu... pfff wist niet dat dit moest :P

krijg nog steeds meldingen dat ze proberen in te loggen...

hele account verwijderen???
Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

Life is like a box of chocolates......

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 898
  • -Ontvangen: 1477
  • Berichten: 7.918
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #44 Gepost op: 26 juli 2019, 09:16:16 »
Admin account is niet te verwijderen, alleen uit te schakelen.

Als je nog steeds meldingen krijgt van inlogpogingen, heb je de rest mogelijk niet goed ingesteld in je firewall?
Zoals de eerdere genoemde "GEO" (regio) blocking, of eerder gezegd, alleen Nederland toelaten, de rest uitsluiten.

Wil je meer over firewall regels weten, kijk dan eens bij de Synology "router" sectie van het forum.
Daar staat een sticky hoe firwall regels in te stellen: < HIER >
Nu geldt die beschrijving specifiek voor de Synology routers, waar een aantal mogelijkheden meer in zitten dan bij een NAS.
Het principe is echter hetzelfde.  Met een aantal basisregels die daar worden uitgelegd, kun je dat voor een NAS ook instellen.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....


 

DNSCrypt op de Synology ?

Gestart door hetregentbuitenBoard Overige software

Reacties: 0
Gelezen: 2550
Laatste bericht 01 februari 2012, 09:29:06
door hetregentbuiten
WDTV live en synology

Gestart door frontcodeBoard FTP, NFS and Samba Server

Reacties: 8
Gelezen: 6291
Laatste bericht 15 april 2012, 14:42:19
door Goner
Synology blijft uit hibernate komen

Gestart door TohnmeisterBoard NAS hardware vragen

Reacties: 2
Gelezen: 2886
Laatste bericht 16 juni 2012, 19:41:15
door Tohnmeister
Synology als PVR

Gestart door bassie21Board Algemeen

Reacties: 46
Gelezen: 47399
Laatste bericht 22 november 2013, 22:08:50
door Stephan296
(tiime)Backup van Synology naar Playon

Gestart door strikkieBoard Data replicator & overige backupsoftware

Reacties: 0
Gelezen: 1893
Laatste bericht 13 oktober 2012, 11:54:02
door strikkie