Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 97840 keer)

Offline Weerz

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 16
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #60 Gepost op: 26 juli 2019, 15:49:37 »
Wat voor mij heeft gewerkt (werd nu sinds 3 dagen gebashed en continue meldingen) is de firewall rules instellen op NAS.
Daarin heb ik alleen aangegeven vanuit welke landen ik toegang wil hebben.

Bijv:
Ports all -> Source IP (keuze Netherlands) -> Allow
Ports all -> Source IP all -> Deny

In die volgorde ook als opbouw.

Security Advisor had om de 2 min logs ivm met brute force attacks.
Nu de laatste 20 min, geen  ;)

Voor mij werkt het in ieder geval en heb dit remote uitgevoerd op de NAS.
Dus als ik een foutje had gemaakt,, dan had ik dat gelijk gemerkt  8)
  • Mijn Synology: DS418j
  • HDD's: 2x HDN4TB 1x ST4TB
Gr,
Weerz

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #61 Gepost op: 26 juli 2019, 17:45:59 »
Met die regels kom je er ook alleen remote in. Thuis kun je het schudden.  :P (Tenzij je thuis natloopback gebruikt i.v.p. een lokaal IP)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline a.m.j.janssen

  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1
  • Berichten: 142
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #62 Gepost op: 26 juli 2019, 21:50:19 »
Hoe weet je trouwens wanneer de aanvallen voorbij zijn en je alles weer 'normaal' kunt instellen?
Anders weet je dus niet eens dát je wordt aangevallen.
?
  • Mijn Synology: DS414
  • HDD's: 4x WD20EZRX-22D8PB0

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #63 Gepost op: 27 juli 2019, 00:28:57 »
Er is geen "normaal instellen na de aanval". Het betreft instellingen die ook zonder de aanval verstandig zijn, want een aanval gebeurd constant. In elk geval moet je er bij de beveiliging vanuit gaan dat de aanval permanent is en dat de instellingen zo zijn dat dit geen kwaad kan.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline OutintheBlue

  • Bedankjes
  • -Gegeven: 33
  • -Ontvangen: 4
  • Berichten: 114
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #64 Gepost op: 27 juli 2019, 00:58:53 »
Ik begrijp wat je zegt, @Briolet, maar dit is een gerichte aanval door één iemand/organisatie.
Dit kan toch niet tot in de euewigheid doorgaan, zeg maar. Wij zetten de boel wel op slot (hopelijk), maar heeft bv. een internetprovider of Synology hier ook nog een rol in om deze specifieke aanval stop te zetten?
Het gaat immers maar door... Dit heb ik zo nog niet eerder meegemaakt, de afgelopen vijf jaar met mijn NAS...

  • Mijn Synology: DS213+
  • HDD's: 2x ST3000DM001

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #65 Gepost op: 27 juli 2019, 02:36:54 »
Die aanvallen komen meestal vanuit "Verweggistan".
Een "abuse" melding naar netwerkbedrijven gelegen in "Verweggistan" van waaruit die lieden opereren haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Wil je echt dat de lieden die dat doen ermee ophouden en juridisch worden aangepakt,
zul je via juridische weg in dat "Verweggistan" je heil moeten zoeken.
Mag je hopen dat je niet alsnog in een doolhof terecht komt van overheden en juridische afdelingen van bedenkelijke reputatie.

Onbegonnen werk, en kost enorm veel tijd en geld.

Gewoon je NAS een week of twee weken, van het internet afhalen, is mogelijk effectiever?
Omdat de animo om ermee door te gaan getemperd wordt, als men merkt dat er geen verbinding is met een apparaat.

Zelf heb ik jaren terug in een "SPAM loop" gezeten van berichten in mijn mailbox., toen ik op vakantie was.
Ik had een automatische "responder" ingesteld dat ik op vakantie was. Omdat die door de server van de versturende partij
niet werden aangenomen, werd vanaf daar ook weer een automatisch bericht terug gestuurd.

Had toen in enkele dagen 27.000 mails. Door gewoon de mailbox twee weken dicht te gooien, was het hersteld.
(De tegenpartij zat in ieder geval ook met 27.000 tegenberichten op hun server,
en zullen het proces mogelijk om die reden uiteindelijk ook hebben stop gezet ??).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #66 Gepost op: 27 juli 2019, 08:14:12 »
In een ideaal Internet zou de provider verantwoordelijkheid moeten opnemen en ervoor zorgen vb dat elke eindpunt op het netwerk enkel verkeer kan verzenden met z'n officieel toegekende IP-adres om alvast "spoofing" een stuk lastiger te maken.
Echter met miljarden verbonden devices blijkt dit helemaal geen sucess.
De techniek is er hoor. Dat zijn bepaalde features die je op de ISP-netwerk apparatuur dient op te zetten.

Verder moet je er niet teveel van wakker liggen. Als je dan toch devices/services bloot gaat stellen rechtstreeks op Internet kan je dit verwachten. Het kan al helpen om niet standaard poorten te gebruiken (indien mogelijk)

Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Ofwel moet je die mail/alarmen afzetten en verder niet van wakker liggen, ofwel moet je in je firewall vb reeds een filter zetten. Ik filter bijvoorbeeld alle NIET "BE" (Belgie) IP's voor sommige van m'n services weg. Daarmee heb ik gelijk 99.9% van rommel eruit. Je moet een beetje afwegen hoe of wat. De "prefixes" van alle landen zijn op bepaalde sites gewoon "up-to-date" te vinden.

Niet alle firewalls kunnen dit natuurlijk. Ik beschouw mezelf dan ook niet echt als "standaard gebruiker"

Uiteraard altijd de standaard "admin" gebruiker disabled zetten. Net zoals je op Windows machines ook standaard de "Administrator" nooit gebruikt (en zelfs disabled zet) maar aan een andere gebruikernaam admin-rechten gaat koppelen. Dit soort ingrepen maakt het een stuk veiliger allemaal.
En complexe passwords natuurlijk (en 2FA waar mogelijk met je smartphone)


Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #67 Gepost op: 27 juli 2019, 08:30:25 »
Als ik de logs op m'n firewall zie dan heb ik duizenden "hits" per dag van vreemde IP's die allerlei poorten proberen om te zien of er toch maar niets aan het luisteren is ; 80,443,8080,22,23,53,3389,8888 etc, de lijst gaat eindeloos door.

Dan heb je relatief je netwerk erg "open" en herkenbaar voor de buitenwereld opgezet.
Via de logs hier (in de router van de ISP), kom ik slechts aan een handjevol vreemde IP's die bepaalde poorten aandoen, waarvan de meeste poorten waar ze op sniffen ik niet eens in gebruik heb.
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline stapper

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 91
  • -Ontvangen: 119
  • Berichten: 1.728
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #68 Gepost op: 27 juli 2019, 08:37:11 »
Nas en pc allemaal niks aan de hand gelukkig...
Dat grapje is nu een paar dagen geleden op die pc, alles gescanned met meerdere scanners, vonden niks.
Meer kun je niet doen denk ik?
Admin een heel lang wachtwoord in gezet, met allemaal tekens Hoofdletters ect... en uitgezet.
Gebruiker met admin rechten, dat werkt allemaal.

Ze kloppen daar nog wel steeds om de haverklap aan, maar ik neem aan dat dit nu verder geen kwaad kan?
ik krijg nog steeds die melding in het berichtencentrum rechts dat die admin beveiligd is, omdat ze steeds aan de achterdeur aankloppen daar... is dat ook uit te zetten?

Ik heb die firewall van die nas maar vast aangezet, dan ga ik dat vanmiddag eens rustig lezen met die regels.
Nog een vraagje... HTTPS, staat bij mij ook niet aan, das ook niet slim natuurlijk.
Is er ook ergens een goede uitleg, hoe ik dat activeer?

BVD

Mijn Synology: ds920+
HDD's: 2*8TB, 1*4TB
Router: Synology RT2600ac
UPS: APC Back-UPS 750VA BX750MI-GR
Back-up Full: WD Elements 10TB
Back-up Indispensable Data: WD Elements 1TB

'Let's eat Grandma!' or, 'Let's eat, Grandma!'. Punctuation saves lives.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #69 Gepost op: 27 juli 2019, 09:28:46 »
Is er ook ergens een goede uitleg, hoe ik dat activeer?

Je vraagt wel erg naar de bekende weg:

Gebruiksaanwijzing (PDF) - Help files van de NAS - online Tutorials van Synology - Video filmpjes.

https://www.synology.com/nl-nl/support
https://www.youtube.com/results?search_query=Synology+NAS+http+vs+https
Google search (en klik voor de aardigheid ook eens "afbeeldingen" aan).
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.175
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #70 Gepost op: 27 juli 2019, 09:31:49 »
HTTPS heeft niets te maken met aanvallen, het geeft je alleen de zekerheid dat het adres waar je naar toe gaat, het juiste adres is middels een certificaat.
Lees hier voor meer info, daarin staat ook een tutorial link hoe je HTTPS moet opzetten.

Overigens, had je reactie #7 ook gelezen, dan was je uiteindelijk ook op die link uitgekomen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #71 Gepost op: 27 juli 2019, 09:35:11 »
Alleen als @stapper daarbij ook alleen gebruik maakt om via http van buitenaf zelf in te loggen, is dit "vragen" om moeilijkheden.

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #72 Gepost op: 27 juli 2019, 09:36:33 »
Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan. Je kan vb ook kiezen voor een eenvoudig profiel zodat alles qua poorten < 1024 reeds op de firewall van de ISP (niet op het kastje thuis dus maar echt in het ISP netwerk) tegen gehouden zal worden. Dat scheelt een hoop, maar je kan vb dan ook geen interne servers op poort 80 of 443 draaien etc alsook geen SSH op 22 etc,etc.

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #73 Gepost op: 27 juli 2019, 09:54:31 »
Mijn "profiel" bij de ISP is dan ook zo opgezet dat alle poorten op staan.

Geen wonder bij alles open (65.535 poorten), dat je dan zoveel aandacht krijgt door lieden, waar je dat liever niet van wilt hebben?

Ik laat juist alle poorten "dicht" met uitzondering van het handjevol poorten die ik zelf achterliggend gebruik.
En dan tevens zodanig ingesteld dat die poorten alleen voor de regio Nederland open staan.
Probeer zelf zo min mogelijk op te vallen en "anoniem" te zijn (voor zover mogelijk), door bijv. ook ICMP uit te schakelen, zodat lieden die in eerste instantie een IP-adres pingen geen respons terug krijgen. Daarmee is de animo om dan nog daadwerkelijk verder te sniffen al tot een minimum beperkt. (Dat blijkt dus een erg goede methode te zijn gebleken afgelopen jaren).

Deze keuze was bewust. Ik heb dan ook een redelijk stevige firewall staan met veel mogelijkheden.

Erg logische keus vind ik het niet.
Eerst alles doorlaten zodat je maar vooral veel aandacht krijgt door ongenode gasten.
Om dan vervolgens al die lieden met zwaar geschut alsnog te gaan tegenhouden.

Doet me denken aan die "per ongeluk" openbare uitnodiging via Facebook voor een "verjaardagsfeestje" enkele jaren terug.
https://www.rtlnieuws.nl/nieuws/artikel/2866091/beeld-facebookfeestje-loopt-compleet-uit-de-hand
DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.581
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #74 Gepost op: 27 juli 2019, 10:21:21 »
…haalt meestal niet zoveel uit. Temeer daar ze van gefingeerde IP-addressen gebruik schijnen te maken. De werkelijke afkomst mogelijk veel moeilijker is te achterhalen.

Als ik de mail van Synology interpreteer, gaat het niet om gespoofde adressen, maar echte adressen die onderdeel uitmaken van een botnet. Sommige ISP's blokkeren de internettoegang van dergelijke gebruikers wel resoluut en andere ISP's vinden dat niet klantvriendelijk (De veroorzakers van de ellende zijn hun klanten en niet de slachtoffers).

Daarom vind ik het goed dat er blocklists zijn die niet alleen individuele IP adressen op zo'n lijst zetten, maar ook lijsten die het hele IP block van een provider erop zetten als ze niets tegen dit soort misbruik doen. Op die manier wordt een ISP toch gedwongen actie te ondernemen en hun klanten te manen hun PC's vrij van virussen te houden.

Zelf gebruik ik de regio blokkade al sinds die in DSM zit. Alleen poort 25 moet wereldwijd open staan. (ik dacht dat ik maar twee landen expliciet blokkeer) omdat je nooit weet via welke omweg een regulier mailtje verstuurd wordt. Via poort 25 zie ik dagelijks grote hoeveelheden inbraakpogingen in de hoop een server te vinden om spam mee te kunnen versturen.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac


 

netwerkfout Synology RT1900AC

Gestart door fotograafBoard Synology Router

Reacties: 32
Gelezen: 6760
Laatste bericht 18 september 2018, 23:43:04
door fotograaf
Synology 918+ en TP Link TL-SG1016D - Link Aggregation ( LACP)

Gestart door Gerard 1Board NAS hardware vragen

Reacties: 19
Gelezen: 7206
Laatste bericht 24 november 2018, 18:08:15
door ivo nulens
Synology niet bereikbaar op normale ip adres via VPN

Gestart door jhattemBoard VPN Server

Reacties: 19
Gelezen: 5800
Laatste bericht 08 februari 2019, 22:25:58
door jhattem
Synology DS1019+ 5tb waarvan volgens disk managet 4tb maar dit is veel minder

Gestart door stefan1987Board Synology DSM algemeen

Reacties: 4
Gelezen: 1956
Laatste bericht 02 mei 2019, 16:51:30
door stefan1987
Synology Event 2020 - 12/9/2019

Gestart door HutjeBoard Synology Awards & Reviews (NL)

Reacties: 30
Gelezen: 29611
Laatste bericht 01 oktober 2019, 20:05:42
door Hutje