Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: Maurice_69 op 02 oktober 2022, 14:22:13
-
OK, ik had dus blijkbaar SMB-poort open staan :o
En jawel.... bezoek gehad en een deel van mijn NAS encrypted. Gelukkig een deel wat ik kan missen met wat films e.d. er op, dus ik zie het maar als een hele duidelijke waarschuwing!
1) Backup strategie opnieuw tegen het licht houden en updaten
2) Veiligheid van netwerk controleren, welke poorten staan open en waarom
3) Ga naar punt 1 en zorg dat dit op orde is!
;)
-
@Maurice_69 : Hoe kwam je er achter dat er ingebroken was en welke files encrypted waren?
-
OK, ik had dus blijkbaar wel die poort open staan :o
Ik heb het wel eens vaker gezien dat mensen in een router DMZ toewijzen aan de NAS.
Om zodoende het iets meer tijd kostende klusje van handmatig instellen van "port forwarding" te kunnen omzeilen.
Zonder te beseffen dat ze daarmee toegang geven voor "alle poorten".
Niet dat achter elke poort een actieve service zit.
Maar voor een NAS zijn doorgaans al snel Windows en Apple bestand services geactiveerd om op LAN niveau daarmee toegang te hebben.
Daarnaast mogelijk ook weing aandacht besteed aan een goede opzet van firewall-regels.
Via DMZ is een NAS dan "automatisch" ook geopend voor externe toegang.
-
@synfan Dat viel meteen op door de textbestandjes die geplaatst zijn en de bestandsnamen die aangepast waren:
[attachimg=1]
Ik heb helaas nog geen decrypter kunnen vinden, dus een aantal bestanden zullen voorlopig nog versleuteld blijven.
Textbestand:
[attachimg=2]
Altijd weer die Russen hè! :silent:
-
Altijd weer die Russen hè!
Bij sommige mallware helpt het al om je keybord op Russisch te zetten. Dan schakelt de mallware zichzelf uit.
---
Hyperbackup kan dit ook detecteren. b.v. door dagelijks te backuppen en een waarschuwing in te stellen als de backup te snel groeit. Veer gewijzigde bestanden in een korte tijd is vaak een teken dat er iets mis is.
-
Referenties. (https://www.google.com/search?q=0xxx+extentions&rlz=1C1CHBD_nlNL911NL911&oq=0xxx+extentions&aqs=chrome..69i57.7268j0j7&sourceid=chrome&ie=UTF-8)
-
Heb al verschillende topics op forums gevonden maar nog geen decrypter helaas. Maar goed, het is gelukkig niets spannends, slechts wat docu's e.d. die ik ooit gedownload heb dus ik hoop dat er nog een keer een decrypter komt, dan kan ik ze weer ontsleutelen. ;-)
-
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.
Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen. Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen: link (https://www.security.nl/posting/771137/Politie+verkrijgt+via+truc+met+bitcoinbetaling+decryptiesleutels+ransomware)
Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.
-
Het lijkt mij een nachtmerrie om dit mee te maken. Belangrijke documenten of niet. Toch altijd een naar gevoel deze vorm van zinloos mentaal geweld. :x
Sterkte en succes met je toekomstige decrypt!
-
Misschien heb je hier wat aan?
Via de 1e link van de politie wordt doorverwezen naar de 2e link.
https://www.politie.nl/informatie/dit-kunt-u-doen-tegen-ransomware.html
https://www.nomoreransom.org/nl/index.html
-
De kans op een decryptor is bij dergelijke software erg klein. Voor elke PC is een aparte key nodig en het is meestal aes256 codering.
Een enkele keer maken de criminelen wel fouten waardoor de sleutels beschikbaar komen. Recentelijk heeft de politie de keys voor de deadbold ransomeware in handen gekregen: link (https://www.security.nl/posting/771137/Politie+verkrijgt+via+truc+met+bitcoinbetaling+decryptiesleutels+ransomware)
Maar zoiets werkt slechts één maal. De volgende keer zijn criminelen weer attenter.
Dat klopt wel, maar vaak is ook maar een deel van het bestand encrypted, en je leest vaker dat er decrypters gebouwd kunnen worden uit de sleutels die er vrij komen van de mensen die betaald hebben. Het was voor mij in ieder geval een wijze les om te zorgen dat je backup in orde moet zijn, dat was niet maar nu dus wel. Backup is denk ik het enige middel (naast voorkomen) (:
-
Een backup is sowieso nodig. Ik denk dat er meer bestanden verloren gaan door een gecrashte HDD dan door ransomware.
Bij dit type ransomware is het hebben van een backup genoeg om de schade te herstellen. Erger wordt het bij ransomware die eerst probeert een aangesloten backup te wissen en dan pas aan de encryptie begint. Maar dan moet de mallware al dieper in het OS van de nas doorgedrongen zijn, dan alleen de toegang tot een share.
-
smb open staan?
Ik weet dat het een protocol is, maar hoe zie je dat of dat wel of niet open staat?
Is er dan een poort voor smb geforward op de router, of is dat een instelling op de nas?
-
@stapper Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht. De issue zat hem in het aan hebben staan van uPNP in de router waardoor de NAS zelf poorten open kon zetten.
-
Het ging om poort 139, dit topic is afgesplitst van een wat ouder bericht.
Dat kon je ook niet lezen in dat Topic. ;)
Maar wel hier (https://kb.synology.com/nl-nl/DSM/tutorial/What_network_ports_are_used_by_Synology_services).
-
ah was jij dat , met uPNP dat kan ik me herinneren.
Ik reageerde toen nog met de vraag waarom dat bij die syno routers standaard aanstaat ( plug and play kennelijk)
Was ff bang dat het een instelling van de nas zelf was, die ik over het hoofd heb gezien.
SMB is dacht ik voor lokaal gebruik, zelf gebruik ik het niet maar NFS ( voor kodi, ging sneller)
Afijn niks aan de hand gelukkig ;)
-
Het is een gigantische security blunder van Synology dat ze de SMB poorten via UPnP forwarden.
Het standaard aan zetten van UPnP is op zich al een blunder, maar dan moet je op zijn minst de SMB poorten uitsluiten. Die poorten behoren nooit geëxposeerd te worden aan het internet.
-
ja, nou ik ben nu wat ervarener... ( Dankzij dit forum ;) )
Dus toen ik die router kocht dacht ik daar moet ik even op letten
Maar goed je moet even zoeken, beetje wegwijs worden in je nieuwe bezit.
Dus ik kom bij portforwarden, schrok me dood, de wereld aan poorten stond daar open...
Daar baalde ik als een stekker van, en ik vind dat synology onwaardig...
Doe dan een schermpje of zo, waarbij je eerst gevraagd word of je dat wilt, en wat daarvan de gevolgen zijn, met een ja/nee knop.
Ik moest eerst ook nog zoeken, waar zit die instelling.. en na uitzetten, al die forwards verwijderen, daar werd ik niet vrolijk van
-
Dus ik kom bij portforwarden, schrok me dood, de wereld aan poorten stond daar open...
Ik had het nog erger. Ik het UPnP altijd al uit staan in de router. Maar ik had ook een Java tooltje op mijn PC waarmee ik via UPnP de forwards naar verschillende interne devices kon maken.
Toen ik dat voor de grap eens runde, zag ik twee forwards in mijn router naar de mobiele telefoon van mijn zus. Die forwards waren skype gerelateerd. Na verder spitten, bleek dat mijn Ziggo Ubee router UPnP na elke herstart weer aanzette, terwijl de checkbox bleef aangeven dat UPnP uit stond. Het was alleen dank zij het Java tooltje dat ik zag dat UPnP aan stond.
Motto: Vertrouw zelfs geen settings, maar check alles door metingen zelf. (De Ubee bug is overigens via een firmware update verholpen)
-
Daar ben je helemaal mooi klaar mee idd...
Tja, zo goed ben ik daar nou ook weer niet in thuis.
Ik heb alles wel zo veilig mogelijk gemaakt via die checklist op dit forum.
Mooiste zou zijn alles via 1 poort denk ik met vpn, maar dat ging me boven de pet.
Ik ben geen ict-er, ik ben een hobbyist, die verslingerd raakte aan de mogelijkheden van een nas...
ik wil nooit meer anders ;)
-
Tja ik HAD ook alles netjes op orde, maar dan ga je van XS4ALL over naar KPN en dan krijg je een nieuwe router en dan is het ineens afzien of je moet € 7,50 in de maand willen betalen om dezelfde FRITZBOX te krijgen die je gewend was, dat vond ik toch een beetje van de zotte. Ik zal heel eerlijk zeggen dat KPN me wel gewaarschuwd heeft (blijkbaar voeren zij ook portscans uit op hun eigen klanten) maar ik had niet gauw genoeg door wat er aan de hand was. Maar goed, al doende leert men af zullen we maar zeggen ;)
-
Bij ziggo gingen ze over op dat witte ding, ben de naam ff kwijt Experia? Zoiets.
Die router werkt prima, maar is verder een prul.
Ding is helemaal uitgekleed, en had geen NAT loopback, dus dan zie je de interne ip nummers niet.
Dus mede om die reden kocht ik die syno router, en omdat ik daar wat meer inzicht en controle op wil hebben.
Had ik dat eindelijk voor elkaar ( ik ben een leek op dat gebied) bleken ze ook nog eens over te gaan op ip6.
Daar had ik geen trek in, ging me boven de pet, dus ik vroeg of ze ip4 niet wilden forceren.
Dat wilden ze niet ( alleen bij bedrijven)
Ik uitleggen, ik heb een nas, en zo... maar nee hoor.
Ok nou dan bedankt, haal die router maar weer op, ik stap op en ga naar een andere isp.
Toen kon het plotseling wel :)
-
... maar dan ga je van XS4ALL over naar KPN en dan krijg je een nieuwe router en dan is het ineens afzien of je moet € 7,50 in de maand willen betalen om dezelfde FRITZBOX te krijgen die je gewend was, ...
Ik ben ook overgezet van de XS4All naar de KPN technologie.
Maar heb gewoon mijn Fritz!Box (7581) kunnen houden
en deze werkt na de overzetting naar de KPN technologie nog steeds prima, ook als modem ...
Zie ook hier (https://forum.kpn.com/internet-9/overstap-xs4all-naar-kpn-met-behoud-van-fritzbox-489661).
Maar misschien ben je (Maurice_69) zo onverstandig geweest om zelf eerder aktief over te stappen ...
Dan is het een beetje: eigen schuld, dikke bult.
-
@Plerry Het is maar hoe je het bekijkt, ik betaalde eerst € 85,- voor 100/100Mb per maand bij XS4ALL, nu € 45,- voor 1000/1000Mb dus hmmmmm keuzes maken kerel! :P (maar goed... we dwalen af) 8)
-
Dus heeft het "verlies" van je Fritz!Box niets met de gedwongen overgang van XS4All naar KPN te maken,
maar is het gevolg van een overstap op eigen inititief om geld te besparen.
Dan moet je ook niet klagen dat indien je toch een Fritz!Box wil hebben, je dat 7.50 Euro per maand kost.
Maar als je overstapte om geld te besparen waren/zijn er wellicht nog andere providers waarbij je nog meer had kunnen besparen ...
-
Lekker boeiend @Plerry maar zoals ik al zei, daar ging het hele topic niet over.
-
Ik gebruik SMB voor toegang voor kodi en onze Mac. Hoe weet ik dat ik die niet open heb staan naar Internet?
-
https://www.yougetsignal.com/tools/open-ports/ en klik op "Scan All Common Ports" (dan weet je het voor alle poorten)
-
Mooie site Birdy. :thumbup:
Deze zou ik graag willen toevoegen:
ShieldsUp (https://www.grc.com/x/ne.dll?bh0bkyd2) via grc dot com
Better safe than sorry… 8)
-
ok dan heb ik gelijk een vraag....
ik heb in die router alleen 443 en een gekozen poort nummer open staan 6051
maar als ik die scan doe , staat alles dicht, das mooi, behalve 443, klopt..
alleen 6051 ziet die niet.
Waarom zit hij die niet? :P
-
"Scan All Common Ports"
6051 is niet common.
-
In de router bij mij staat de poort 8000 en 8001 open.
Ga ik dat checken klopt het, deze zijn van mijn schoutcast server.
Zet ik de schoutcast uit, dan zijn de poorten ook gesloten.
Schoutcast aan
[attach=1] poort open [attach=2]
Schoutcast uit
[attach=3] poort dicht [attach=4]
Misschien dat je daarom poort 6051 niet open is.
Maar wel in de router.
-
ah ik vat, hij scant naar bekende poorten...
afijn alles is okidoki, daar ging het me ff om
handig tooltje trouwens thanks
-
Je kunt ook een poort opgeven.
-
merci,
ik moet nog veel door krijgen van dit soort zaken.
waarom zet hij achter het ip port 80?
bvd
-
Die site heeft wel een probleem om het goede externe adres te produceren:
[attachimg=1]
IPv6 adressen worden eigenlijk nooit geforward, dus heb je ook geen 'extern' IP adres. Ik krijg ook gewoon de melding dat dit een ongeldig adres is, als ik op de check button druk.
Ik herken het adres ook niet. Het eerste stuk is wel mijn aansluiting. Misschien dat dit het WAN IP adres van de router is? Het is in elk geval ook niet het IP van de PC waar ik achter zit. Maar goed, een IPv6 adres kan nooit op die manier werken, dus had die site daar direct mijn IPv4 adres moeten invullen.
Wel een algemene tip. Je kunt op je IPv4 adres wel alle poorten mooi dicht hebben staan, maar als de nas ook via IPv6 bereikbaar is, moet je dat adres apart controleren.
-
maak me gek ;)
volgens mij heb ik toen tegen die ziggo knapen gezegd forceer ip4 maar...
in die ziggo router zie ik daar ook geen activiteit...
Maar stel ik wil dat controleren, als ik naar iets ga van find mij ip, dan zie ik een gewoon adres bij ip4
bij ip6 zie ik not detected, is dat dan voldoende, of zie ik nog wat over de kop?
-
Ik schrik me iedere keer rot van die ransom berichten.
Nu heb ik ook eens gekeken in mijn router en gecheckt maar ik snap het niet helemaal.
Mijn router heeft IPv4 en IPv6 aan staan, volgens de router is IPv6 nodig voor correcte werking van het internet en van aangemelde apparaten (ik denk de tv decoder). Ook staat standaard UPnP aan, geen service toegewezen.
Als ik ShieldsUP en Open Port Check Tool doe is volgens beide sites geen enkele poort open. Ik heb nooit iets geforward op mijn router, omdat ik dat niet snap en niets wil verzieken.
Maar ik begrijp dat ik voor de poorten onder IPv6 anders moet checken? Ik heb wel een adres en prefix op die pagina in de router staan maar hoe moet ik dat dan doen om zeker te weten dat ook daar geen poorten open staan?
En als ShieldsUp en OPCT allebei geen open poorten vinden, is dat dan goed en veilig voor die ransomware?
-
UPnP moet NOOIT aanstaan...
Dan zet het van alles open.
ip6 heb ik geen verstand van, gebruik ik zelf niet.
Maar het lijkt me zo toe dat als dat bij ip4 niet is gebeurd, dat die dat onder ip6 heeft uitgevoerd.
Vast wel iemand hier die dat weet, ik ga ook ff volgen.
-
Bij IPv6 wordt er niets geforward omdat elk apparaat een eigen IP adres heeft op het internet.
Hoe het werkt, verschilt per router. Bij sommige routers geef je aan welk IP vanaf het internet toegankelijk moet zijn. Dan zijn alle poorten toegankelijk en moet je de toegang via de firewall van de nas beperken.
Bij andere routers (Zoals die van synology) gebruik je de firewall op de router om bepaalde poorten naar het IPv6 adres van de nas door te laten.
-
En als ShieldsUp en OPCT allebei geen open poorten vinden, is dat dan goed en veilig voor die ransomware?
Zeker niet. Veel ransomware komt ook binnen met email berichten en het klikken op foute linkjes in je browser. Dat gebeurd dan vanuit je lan en daar help het dicht gooien van poorten in de router niet echt tegen. Je nas wordt dan misschien vanaf je PC aangevallen.
-
Maar UPnP is toch bijvoorbeeld nodig voor Skype of online games? Die moeten wel blijven werken....
En wat ik begreep sluit UPnP zelf de poorten weer na gebruik door een programma en als je het handmatig zou doen (als je al weet hoe dat moet :o) zou je iedere keer na gebruik de poort weer handmatig moeten sluiten en dus meer risico juist lopen omdat je het misschien vergeet?
Of begrijp ik het hele systeem van poorten en UPnP helemaal verkeerd?
-
En wat ik begreep sluit UPnP zelf de poorten weer na gebruik door een programma
UPnP sluit niets. Het zal een programma zijn dat ze opent en (mag je hopen) weer sluit.
Het probleem van UPnP is dat elk programma in je netwerk dan toegang tot je poorten heeft. Een fout programma op je PC kan dan in de router poorten forwarden naar je mediaserver of je nas, waarna men extern bij deze apparaten kan komen. Veel routers laten niet eens de UPnP forwards in de router zien.
Skype gebruikt het, maar het zou slecht zijn als je bij Skype of een game die poorten niet ook handmatig kunt forwarden.
-
En als ShieldsUp en OPCT allebei geen open poorten vinden, is dat dan goed en veilig voor die ransomware?
Zeker niet. Veel ransomware komt ook binnen met email berichten en het klikken op foute linkjes in je browser. Dat gebeurd dan vanuit je lan en daar help het dicht gooien van poorten in de router niet echt tegen. Je nas wordt dan misschien vanaf je PC aangevallen.
Ok die snap ik denk ik, ook al zijn mijn poorten dicht en onzichtbaar, als ik iets bv download en installeer en het is besmet kan natuurlijk vanuit dat programma alsnog ransomware geinstalleerd worden. Maar dat heeft dan niets met de poorten te maken, UPnP of niet. (toch?)
-
Ik schrik hier wel van.
Ik ben maar een "simpele" computer gebruiker.
Ik heb een DS920+ NAS en 3 MR2200AC routers in mesh configuratie en Fritzbox 7583 die alles rechtstreeks doorzet naar de synology router.
Als ik bij de synology router kijk naar upnp dan staan er nog al wat open naar mijn DS920+
Moet ik deze nu allemaal sluiten. En als ik dat doe wat zijn dan de problemen die ik mag verwachten?
Bedankt allemaal voor jullie reactie.
-
@sajm kijk eerst in je router(s) of uPNP aan staat. Zo ja, subiet uit zetten!
Vervolgens kijk je welke applicaties je buitenshuis gebruikt die op je NAS draaien en zoek daarbij de betreffende poorten op.
Met dat lijstje kijk je in je router of je alleen DIE poorten open zet, en let daarbij wel erg goed op dat je geen poorten open zet die een groot veiligheidsrisico met zich mee brengen zoals poorten 22 (SSH om er één te noemen)
Ik zelf zet zo min mogelijk poorten open, maar soms ontkom je er niet aan.
-
Toen ik die nieuwe router kreeg, stond dat ook aan.
De wereld aan poorten open die me niks zeiden, daar schrok ik van.
Voor 5001 heb ik een gekozen poort ingesteld en die geforward ( schijnt net weer wat veiliger te zijn)
En 443 had ik nodig, meer niet.
en deze hele lijst nalopen is ook een must.
https://www.synology-forum.nl/firmware-algemeen/10-beveiligingstips-om-uw-gegevens-veilig-te-houden/
-
Ik ben maar een "simpele" computer gebruiker........
Gezien de publieke en lokale poorten, zou ik zeker een aantal maatregelen treffen:
- Sowieso UPnP uitschakelen.
- Kijken naar de services die je van buiten uit wilt benaderen, en alleen daarvoor toegang geven met juiste Firewall regels.
-
Dag allemaal,
Waar zie je die inlogpogingen? Kijken jullie dan bij 'Aanmeldanalyse'?
Volgens mij zie je bijv. SMB-aanmeldingen niet terug, toch? Enkel de DSM logins...
-
Staat gewoon in het verbindingslog:
User [xxx] from [XXX(10.0.1.60)] via [CIFS(SMB3)] accessed shared folder [TimeMachine].