Auteur Topic: gehacked....  (gelezen 2162 keer)

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
gehacked....
« Gepost op: 04 juli 2017, 11:00:22 »
hmmmm ik ontdek nu een vreemd mapje met wat bestandjes op een webserver domein op mijn DS713+ die ik zelf niet aangemaakt heb.  Iemand vaker ook zoiets meegemaakt en hoe ga ik hiermee om want ik kan het wel weghalen, maar dat zal vast weer terugkomen vrees ik  :oops:

  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: gehacked....
« Reactie #1 Gepost op: 04 juli 2017, 11:26:43 »
Dat fongu bestand roep een site op die als kwaadaardig omschreven staat, als ik op die naam google. o.a: https://map.httpcs.com/alert/83327

En die php files zijn zo gemodificeerd dat ze niet simpel leesbaar zijn. Maar op zich kunnen deze files niets, als ze niet aangeroepen worden, dus moet er meer aangepast zijn op je website.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: gehacked....
« Reactie #2 Gepost op: 04 juli 2017, 12:41:21 »
Dank je! Heb je enig idee hoe ze dit op mijn NAS krijgen, de website die er draait is eigenlijk.... uhm vrij blanco ;-) (webpagina met 1 regel tekst)
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Hempie

  • Bedankjes
  • -Gegeven: 45
  • -Ontvangen: 49
  • Berichten: 222
    • UniFi Forum
Re: gehacked....
« Reactie #3 Gepost op: 04 juli 2017, 16:53:16 »
Update je wel je Wordpress? Dit lijkt op een sql-injection waarbij ze toegang krijgen tot je wp map. Dit zou ook nog gedaan kunnen zijn door een illegale plug-in met backdoor. Beste is om je gehele 1 regel site :P te verwijderen inclusief db en opnieuw maken en bijhouden qua updates.  :thumbup: 
DS214play 2 x WD40ERFX 6.0.2-8451-4
DS916+ 8GB 4 x WD80EFZX  6.0.2-8451-4

Nederlands UniFi Forum is Online!

Offline aliazzz

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 97
  • -Ontvangen: 164
  • Berichten: 1.368
  • Yum yum brains...
Re: gehacked....
« Reactie #4 Gepost op: 04 juli 2017, 21:28:25 »
Voordat iedereen hier van alles roept...

Huiswerk, ofwel, graag zien wij de onderstaande vragen beantwoord;
1) wat is je huidige netwerktopologie?
2) hoe hangt jouw nas aan het internet? (portforwards, etc etc?)
3) moet dat ding uberhaupt aan het internet hangen?
4) draai je regelmatig updates van DSM en de packages?
5) welke versie DSM?
6) staat er een virusscanner op je nas?
7) Draait die scanner minstens elke dag of nacht tenminste 1 keer?
8) Welke versie wordpress draai je?

kortom we willen info, info, info. Ennuh een wordpress site kapen is tamelijk simpel zoals al eerder is aangegeven.
NUC: Intel N5105 4x2.5Gbit, 32GB Ram, Proxmox
Workstation: HP Proliant DL360 Gen9 2*XEON E5-2697A V4
256GB RAM, 20TB RAID5 SSD Cluster, Proxmox

DS415+ 4*4TB SHR5 Btrfs, 8 GB RAM
DS1515+ 5*3TB SHR5 Btrfs 16 GB RAM
DX513 4*6TB SHR5 Btrfs
DS118 8TB
RT6600ax meshed 3x MR2200ac

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: gehacked....
« Reactie #5 Gepost op: 05 juli 2017, 14:33:18 »
Dank je voor de reacties. Inderdaad het wordt snel een wildgroei ;-)

1) SBS2011 server - DS713+ - 2x Windows10 Werkstations
2) NAS aan internet, port fw poorten: 22 - 80 - 1723 - 5000 - 8080
3) ja voor websites bouwen/testen/eigen gebruik
4) Updates worden keurig bijgehouden en verwerkt
5) DSM 6.1.2-15132 (laatste)
6) Nee, maakte de keer dat ik hem getest had zo traag, maar zal hem eens draaien.
7) zal hem eens installeren

Wordpress -> staat er niet op!

Ik heb het zelf niet geïnstalleerd staan, de hacker had een paar WP bestanden neergezet wellicht dat je hierdoor op het verkeerde been werd gezet dat ik achterliep met updaten oid  8)

De site met 1 regel is ook echt blanco HTML pagina met 1 regel tekst, dus geen MySQL erbij in gebruik.

Nu maar eens even virusscanner installen en draaien!




  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: gehacked....
« Reactie #6 Gepost op: 05 juli 2017, 17:35:27 »
Nou die Synology Virusscanner is ook niet echt om vrolijk van te worden, druk je op updaten, gebeurd er niets. Staat al een paar uur in beeld maar weinig update. Iemand dezelfde of betere ervaring of tips?
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: gehacked....
« Reactie #7 Gepost op: 05 juli 2017, 17:46:29 »
Die Virusscanner is ook echt een ramp.
Ik draai dan ook geen Virusscanner op m'n NASsen.
Ik vraag mij ook af of deze die hack zou herkennen.
De vraag is n.l. of dit wel een virus is.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Ben(V)

  • Gast
Re: gehacked....
« Reactie #8 Gepost op: 05 juli 2017, 19:17:50 »
Het is waarschijnlijk wel malware, maar voor windows gemaakt.
bcd.exe is namelijk een programma om aanpassingen te maken aan de windows bootmanager.

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1381
  • -Ontvangen: 7989
  • Berichten: 44.008
  • Alleen een PB sturen als hier om gevraag wordt.
    • Truebase
Re: gehacked....
« Reactie #9 Gepost op: 05 juli 2017, 19:35:56 »
Ok....maar, zou de Virusscanner op de NAS die wel herkennen als (Windows) malware ?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.2-72806-1
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-1   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.1-65374                                                                 MR2200ac  SRM 1.3.1-9346-12

Ben(V)

  • Gast
Re: gehacked....
« Reactie #10 Gepost op: 05 juli 2017, 19:48:05 »
Nee bcd.exe is gewoon een normale applicatie waarmee je de windows bootmanager kunt aanpassen.
Ik heb het in het verleden gebruikt om een multiboot windows omgeving aan te passen.
Je weet wel zo'n opstart scherm die vraag van welke windows versie moet booten.

Als die echter samen met wat php files op een systeem komen te staan zonder dat je weet hoe en waarom dan ruikt dat naar een script kiddy die iets aan het proberen is.

Niet een echt doorwrocht virus, maar kan natuurlijk nog steeds bijzonder kwaadaardig zijn.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2668
  • Berichten: 16.550
Re: gehacked....
« Reactie #11 Gepost op: 05 juli 2017, 21:08:24 »
Ik had voor de aardigheid de html en 3 php files op mijn nas gezet en AE deze map laten scannen. Dit wordt niet als kwaadaardig herkend, ondanks dat de html file naar een site wijst die al ¾ jaar als kwaadaardige te boek staat.

druk je op updaten, gebeurd er niets.

Daar was recentelijk ook een melding van. Ik heb ingesteld om voor elke scan een update te doen. Via die optie duurt een update ca 1 minuut. Ik gebruik AE eigenlijk nooit rechtstreeks, maar via de MailServer voor het scannen van binnenkomende mail.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline Maurice_69

  • Bedankjes
  • -Gegeven: 20
  • -Ontvangen: 3
  • Berichten: 80
Re: gehacked....
« Reactie #12 Gepost op: 05 juli 2017, 23:18:52 »
Nou het ergste vind ik eigenlijk dat ik niet weet hoe deze kerel de bestanden daar heeft gekregen, dat maakt me wel angstig moet ik zeggen!
  • Mijn Synology: DS718+
  • HDD's: 2x WD80EFZZ


 

DSM gehacked -> firewall en poorten aangepast en afgesloten door XS4all

Gestart door JGBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 6
Gelezen: 10089
Laatste bericht 26 oktober 2015, 00:05:47
door Babylonia
Een Synology nas gehacked tijdens de jaarlijkse PWN2OWN hackwedstrijd

Gestart door BrioletBoard The lounge

Reacties: 5
Gelezen: 2037
Laatste bericht 09 november 2020, 10:55:45
door DSGebruiker
gehacked maar toch niet gehacked?

Gestart door Timmeh1981Board Synology DSM algemeen

Reacties: 6
Gelezen: 603
Laatste bericht 05 oktober 2022, 19:55:53
door Hofstede