NAS 'gecrasht' door BC Miner -> Nieuwe installatie

[NielsO]

Hallo,

Ik heb nog niet eerder gepost maar volg het forum al langer. Al geruime tijd tevreden eigenaar van een DS218+ met twee 4TB WD schijven in SHR. Alles werkte prima. Tot:
- Ik mijn standaardpoorten niet gewijzigd heb
- Domoticz geinstalleerd heb
- Mijn NAS geinfecteerd werd door een Bitcoin Miner

Ik kon moeilijk van de miner afkomen. Niet snel genoeg althans. Want door nog onbekende reden is mijn DSM installatie corrupt geraakt. De zogenoemende blinking blue light of death ;P In contact gekomen met Synology en die hebben mij geadviseerd om een nieuwe schijf te plaatsen en hier DSM op te installeren. Beide schijven zijn nog gezond en alle data is nog behouden. Alleen met de oude installatie lukt het dus niet meer om de NAS te booten.

Daarom sta ik nu voor de actie om de NAS opnieuw te installeren op de bestaande schijven. Ik moet ze daarvoor wel formatteren.
Ik ben niet echt een ster op het gebied van NAS systemen in het algemeen. Ook Linux is voor mij onbekend. Daarom ben ik er ook niet op tijd in geslaagd om de miner van mijn NAS af te halen. Via de toppics op dit forum ben ik er wel achter gekomen dat het sustse proces vermoedelijk gelinkt was aan de Domoticz database security leak (in lekentaal).

Mijn idee is om het volgende plan aan te houden:
- Met de nieuwe schijf de bestaande disk 1 te formatteren
- Deze geformatteerde schijf als enige toe te voegen in slot 1. Hier DSM op te installeren.
- Vervolgens disk 2 toe te voegen in slot 2. De data van deze schijf (foto's video's etc.) te kopieren naar disk 1.
- Vervolgens disk 2 formatteren en toevoegen aan de raid van disk 1.

In theorie zou dit moeten lukken. Alleen heb ik de vraag of ik hiermee wel een goede image/mirror kan maken op disk 2 en dus wel een goede 'backup/redundancy' heb. Kunnen jullie bevestigen of dit zo gaat werken?

Echter moet ik de theorie nog in de praktijk brengen.

Op welke manier moet ik de schijf (disk 1) formatteren? Dit kan volgens mij in opslagbeheer. Doe ik dit onder het tabje Volume en dan volume 2 (disk 1 van de oude raid) verwijderen of onder Actie>Configureren?

Loop ik dan nog het risico dat met het configureren het nieuwe volume al wordt voorzien van DSM? In principe maakt dit niet veel uit alleen is dit dan niet de main installatie disk. Dat is volgens mij geen gewenste situatie. Ik weet niet precies wat de beste volgorde van stappen is. Kunnen jullie hierbij helpen?

[NielsO]

Ik heb het inmiddels zelf al gevonden. Raid wordt nu weer opgebouwd

[aliazzz]

Hoi,

Zou je in detail kunnen uitleggen wat je precies verzuimd hebt te wijzigen zodat de Bitcoin Miner je systeem geinfecteerd heeft?
Ben namelijk benieuwd aangezien ik geen enkele last heb van infecteringen terwijl ik ook domoticz draai en standaard poorten gebruik...

Ben benieuwd!


Aliazzz

[Briolet]

Het was ook de voorlaatste versie (en ouder) van domoticz die je systeem volledig toegankelijk maakte als je zijn webpagina extern toegankelijk maakte. (Inloggen was niet nodig, alleen het zien van de pagina was genoeg) En omdat domoticz  rootrechten wil hebben, kan het vervolgens zelf alles op het systeem installeren. Die bug in hun webpagina is in de laatste versie gedicht.

[NielsO]

Hoi,

Ik ben er nooit in geslaagd om helemaal te achterhalen welke bestanden geplaatst zijn op mijn NAS waaruit die miner gedraaid werd.

Ik had sowieso SSH al uitstaan maar wat ik zelf nog heb veranderd om toekomstige aanvallen te voorkomen:
- Standaard poorten allemaal gewijzigd naar poorten in ongebruikte reeksen 33000-50000. Dus zowel de 5000/5001 poorten enz.
 Ik kreeg veel brute force aanvallen op 5000/5001 en nadat ik de poorten gewijzigd had waren die weg. Er zijn diverse botnets die op de standaard poorten van Synology zitten te bashen.
- Alle programma's die niet door Synology worden gemaakt/ondersteund komen niet meer op mijn NAS
- Automatisch blokkeren tijdsduur verhoogd naar 600 minuten. Omdat ze eigenlijk maar 2 keer per ip adres proberen.
- Bestandsservices uitschakelen. Zodat mijn NAS niet geïnfecteerd wordt wanneer mijn PC slachtoffer wordt van ransomware.

Deze laatste moet ik nog uitvoeren. Ik weet niet of dit nog invloed heeft op de mogelijkheid om mijn media op mijn TV af te spelen. Ik moet nog kijken hoe ik hier wel veiligheid in kan bouwen zonder functionaliteit in te leveren.

Uiteraard heb ik standaard:
- 2FA
- 26 bit wachtwoord
- admin account disabled
- Virus scanners etc.
- Verder geen port forwarding.

Ik wil daarnaast nog eens kijken hoe ik een fatsoenlijke VPN verbinding op kan zetten. Ik ben niet echt ervaren in netwerken/nas systemen.