Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 97881 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #225 Gepost op: 01 november 2019, 18:20:48 »
De malware heet niet Qnas maar Qsnatch en lijkt alleen voor nassen van het merk Qnap geschreven te zijn.

Ik lees overigens liever de beschrijving op security.nl. Tweakers weet blijkbaar al dat het een virus betreft, terwijl de experts nog niet eens weten hoe het op de nas komt. rara. waar haalt twaekers die kennis vandaan? Het kan b.v. ook een trojan zijn die zelf geïnstalleerd wordt met een besmet pakket of de malware wordt via remote aanvallers op de nas gezet.

Lees ook dit: Qsnatch verwijderingstool
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline maikell

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #226 Gepost op: 14 mei 2020, 20:07:51 »
wat moet ik dan doen om mijn nas beter tebeveiligen kan ik zo maar een wacht woord veranderen zonder in problemen te komen


  • Mijn Synology: Synology D
  • HDD's: 6TB
  • Extra's: 4 ram

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #227 Gepost op: 14 mei 2020, 20:11:44 »
Beter dan een nog sterker wachtwoord is het aanzetten van 2-factor authenticatie. Sterke wachtwoorden kunnen ook door keyloggers onderschept worden. Bij 2FA heeft de 'inbreker' ook nog je extra device nodig.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #228 Gepost op: 14 mei 2020, 20:36:02 »
Citaat
kan ik zo maar een wacht woord veranderen zonder in problemen te komen
Uiteraard kan dat..... en lees ook:
Hoe de beveiliging van uw Synology NAS verbeteren.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline J.Einmahl

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #229 Gepost op: 15 mei 2020, 19:32:02 »
Hoi,

Een tijdlang heb ik ook last gehad van die BruteForce aanvallen. Zie bijlage.
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.
Weet jij waar ik die functie zit ?

Alvast bedankt

Groet Jos
  • Mijn Synology: NAS216PLAY
  • HDD's: 2x2TB

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 916
  • -Ontvangen: 1491
  • Berichten: 7.990
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #230 Gepost op: 15 mei 2020, 20:29:57 »
Opschonen zou ik dan juist NIET doen.  Weet je mogelijk waar vandaan.
Want je hebt kennelijk je beveiliging slecht geregeld.

Kijk eens naar het volgende onderwerp en aanbevelingen daarin:
https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline J.Einmahl

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #231 Gepost op: 15 mei 2020, 20:43:51 »
Ik begrijp je reactie. Dat mijn beveiliging slecht geregeld was, was idd zo.
Maar dat is inmiddels al meer dan 7 maanden geleden opgelost.
Vandaar dat ik die lijst met meer dan 11000 meldingen toch eens zou willen opschonen  :)


  • Mijn Synology: NAS216PLAY
  • HDD's: 2x2TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #232 Gepost op: 15 mei 2020, 21:06:44 »
En wat stellen die 11.000 meldingen nu voor? Voor een logbestand is dat peanuts. Mailserver maakt bij mij elke paar maand een logbestand met 30.000 entries.
Is maar 30 MB groot en als je archieven gecomprimeerd opslaat is dit 0,6 MB (Tekst is sterk te comprimeren). Qua opslagcapaciteit stelt het niets voor.

Opschonen is misschien belangrijk bij bedrijven die een een AVG moeten voldoen. Dan kan het zijn dat je bepaalde etries maar 6, 12 of 24 maand mag bewaren. (Maar van die regels heb ik geen kaas gegeten)

Citaat
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.

De locatie heb je zelf opgegeven en kunnen wij dus ook niet weten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #233 Gepost op: 15 mei 2020, 21:23:22 »
Volgens mij worden die meldingen uit het Log Center gehaald.
Daar kun je opschonen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #234 Gepost op: 15 mei 2020, 23:08:01 »
Nee, dit staat los van Log Center. Het wordt ook in een ander formaat opgeslagen. Wat dat betreft maakt Synology er een rommeltje van door niet alles op een consistente plek te loggen.

Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor. En zolang je de logboeken kunt lezen, zal dat pad ook nog correct zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #235 Gepost op: 16 mei 2020, 12:09:56 »
Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor.
TS laat zien Security Advisor > Aanmeldanalyse, dat is wat anders dan het laten zien van een Rapport opgeslagen in Raportinstellingen > Opslaglocatie.

Ik heb getest, een aantal keren fout ingelogd, SA laat zien dit dan ook zien:
48458-0

In het Log Center:
48460-1

Als ik nu in het Log Center > Logboeken > verbinding kies en op Wissen klik, dan zijn alle verbindings- meldingen weg.
Echter, als ik SA weer laat scannen, dan blijft de melding bestaan in Security Advisor > Aanmeldanalyse.

Ben verder gaan testen en zoeken en wat blijkt, de data wordt uiteindelijk opgeslagen in /volume1/@database/synologan/alert.sqlite
Mbrute_force_attackBruteForceAttack2020/05/16 10:17:28{"attempt_count":10,"country_code_list":[],"has_any_public_src_ip":false,"protocol_list":["DSM"],"src_ip_list":["192.168.1.7"],"thresh_minutes":5,"user":"test"}
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Opschonen kan dus niet, tenzij je met SQL die regels verwijdert uit die database maar, daar zou ik dus zeker niet aan beginnen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #236 Gepost op: 16 mei 2020, 14:23:23 »
Helemaal snappen doe ik die aanmeld analyse niet. Er staan bij mij slechts 37 entries over de periode december 2018 t/m januari 2020. Via logboeken zie ik er heel veel meer staan en de meldingen uit de analyser mis ik er juist.  ::)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #237 Gepost op: 16 mei 2020, 22:00:05 »
Ben toch even een stapje verder gegaan maar, als je die meldingen toch wilt verwijderen, dan kan je de Database verwijderen in PuTTY:
rm /volume1/@database/synologan/alert.sqliteJe moet natuurlijk wel root zijn.

REBOOT de NAS en de Database wordt opnieuw gemaakt, dus de meldingen zijn daarmee weg. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline pappa123

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 29
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #238 Gepost op: 02 september 2020, 12:31:37 »
Hallo ik weet niet of ik hier goed zit, maar ik ben gehackt met ransomware in mijn nas.
Al mijn bestanden zijn encrypted.
wat te doen nu?

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 162
  • Berichten: 1.362
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #239 Gepost op: 02 september 2020, 13:10:20 »
In geen geval betalen!

Als je een remote backup hebt, dan de geraakte NAS resetten en opnieuw installeren, en backup terug zetten.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

Productiedatum Synology

Gestart door jlkBoard NAS hardware vragen

Reacties: 2
Gelezen: 1028
Laatste bericht 18 januari 2020, 22:21:52
door jlk
Kan pakketbron synology.nzbusenet.com niet toevoegen

Gestart door joostmanBoard 3rd party Packages

Reacties: 11
Gelezen: 5153
Laatste bericht 05 december 2020, 17:44:34
door Birdy
Synology Drive x64 variant?

Gestart door aliazzzBoard Cloud Station & Drive

Reacties: 1
Gelezen: 785
Laatste bericht 30 augustus 2020, 19:11:00
door Birdy
Synology Chat met guest functionaliteit

Gestart door LeonardBoard Officiële Packages

Reacties: 4
Gelezen: 1387
Laatste bericht 10 november 2020, 23:18:51
door Birdy
NFS op mijn MacPro en Synology NAS

Gestart door GreyedUserBoard FTP, NFS and Samba Server

Reacties: 9
Gelezen: 2186
Laatste bericht 11 januari 2021, 19:44:05
door Birdy