Synology-Forum.nl
Firmware => Synology DSM algemeen => Topic gestart door: zapp2 op 30 oktober 2025, 00:53:25
-
Ik ben gehacked. Kon niet meer inloggen op mijn DS216play, verbinding met Windows PC weg, alleen een bericht dat ik 700 dollar moet betalen in Bitcoins om alles weer terug te krijgen :evil:
Mooi niet, ik heb mijn NAS terug gezet naar Factory-setings en de backup teruggezet en alles werkt weer.
Maar wat is er misgegaan, wat heb ik fout gedaan en hoe had ik dit kunnen voorkomen?
Ik heb nu nieuw wachtwoord ingesteld en 2-way verificatie aangezet, maar is dat genoeg of kan ik nog meer doen?
-
IP adressen blokkeren na 3 inlog pogingen, admin account uitschakelen, landen uitsluiten.
-
....ik heb mijn NAS terug gezet naar Factory-setings en de backup teruggezet en alles werkt weer.
Maar wat is er misgegaan, wat heb ik fout gedaan en hoe had ik dit kunnen voorkomen?
Wat er mis is gegaan is met deze summiere mededeling "van een hack" moeilijk te achterhalen?
Mogelijk zit de bottleneck reeds in een slechte beveiliging van je PC zelf, in de verbinding naar je NAS toe ??
Zie eerdere onderwerpen:
https://www.synology-forum.nl/synology-dsm-6-2/risico-gebruik-van-oude-nas-op-dsm-6-2/msg330616/#msg330616
https://www.synology-forum.nl/firmware-algemeen/ransomware-43248/msg309183/#msg309183
https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271363/#msg271363
https://www.synology-forum.nl/firmware-algemeen/synology-geeft-waarschuwing-voor-ransomware-aanval/msg271146/#msg271146
Verdere aanbevelingen:
https://www.synology-forum.nl/synology-router/firewall-instellingen-synology-router-srm-1-2-x/
Onderaan deze eerste reactie - specifieke verwijzingen naar voorbeelden van Firewall regels voor een NAS.
Het stukje tekst onder de dubbele lijn vanaf: Belangrijk !!
https://www.synology-forum.nl/firmware-algemeen/admin-aanmeldingen-vanaf-random-ip-s/msg320722/#msg320722
https://kb.synology.com/nl-nl/DSM/tutorial/How_to_add_extra_security_to_your_Synology_NAS
Weet niet welke router je gebruikt voor je netwerk, maar schakel geactiveerde UPnP instellingen van een router UIT.
Zie onderwerpen op de website van < security.nl met zoekwoord UPnP en router > (https://www.security.nl/search?continue=1&keywords=UPnP+router&sort=yoda&order=desc&limit=35&c=1&c=3&sort=date&order=desc) - < alleen op UPnP > (https://www.security.nl/search?continue=1&keywords=UPnP&sort=yoda&order=desc&limit=35&c=1&c=3&sort=date&order=desc)
En gerelateerd aan die UPnP is om in een NAS géén gebruik te maken van een internet wizard,
om via zo'n wizard "in een NAS", instellingen van een router te activeren (zoals bijv. port forwarders).
https://www.synology-forum.nl/ddns-extern-benaderen/zoveelste-waarschuwing-om-geen-ez-internet-te-gebruiken/
Mogelijke instellingen van een router uitsluitend "handmatig" in de router zelf inregelen.
-
-
IP adressen blokkeren na 3 inlog pogingen, admin account uitschakelen, landen uitsluiten.
Dank je wel voor dit antwoord, hoe kan je landen uitsluiten? Ik neem aan dat het bepaalde IP-adres ranges zijn die je blokkeert. Kan dat in de NAS of moet je dat in je modem instellen?
-
Als je nu één reactie verder loopt (https://www.synology-forum.nl/firmware-algemeen/ik-ben-gehacked/msg336770/#msg336770) dan op de reactie waar je op reageert, heb je alle informatie bij de hand om maatregelen te nemen,
voor een meer veilige manier van omgang met PC en netwerken. Waaronder ook reacties hoe "regio blocking" in de NAS in te stellen.
Gewoon een kwestie van "doornemen" en er naar handelen.
-
Het is mischien nuttig te delen hoe dit allemaal is kunnen gebeuren ? Ik heb nergens kunnen lezen wat er nu net voorgevallen is ?
Hangt je NAS "gewoon" op Internet ? Welke services heb je open staan voor de buitenwereld etc.
Hoe toevallig kan het zijn dat vb je "admin" wachtwoord correct is gegokt ?
-
Dat vraagt het zichzelf ook af.
Maar wat is er misgegaan, wat heb ik fout gedaan en hoe had ik dit kunnen voorkomen?
-
....vandaar verschillende verwijzingen in mijn eerdere reactie #2 (https://www.synology-forum.nl/firmware-algemeen/ik-ben-gehacked/msg336770/#msg336770), naar onderwerpen "waarin" kwetsbaarheden kunnen zitten.
Hoe te herkennen, waar je op moeten letten, en hoe je instellingen met minder risico kunt aanpassen. :o 8) :geek:
Niet vernoemd, maar ook een bron van problemen kan zijn het niet via een beveiligde connectie, verbinding leggen met je NAS thuis,
gebruik makend van openbare WiFi netwerken in hotel en restaurant.
Wat bijv. een gebruiker een jaar op 10 geleden was overkomen. Zie < DIT onderwerp > (https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574/#msg171574)
Vervolgreactie #5 (https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171648/#msg171648) :
Allen dank voor de waardevolle antwoorden en tips!
Ik vermoed dat ik ben "afgeluisterd" tijdens het gebruik van een smartphone
(inloggen op netwerk richting NAS) op een openbaar WIFI-netwerk in Oostenrijk.
Ik heb hierbij http gebruikt en geen https.
Oostenrijk was eerder al opgemerkt van waaruit als eerste optie mogelijk al een hack was gepleegd, vanuit de gegevens die waren verstrekt.
Beter is in dat geval nog eens een VPN verbinding in te zetten (ook vernoemd), in de plaats van alleen een versleutelde verbinding via https.
Verdere aanbevelingen:
- Bezoek geen dubieuze websites, of bijv. download en installatie van illegale software.
- Controleer (met de rechter muisknop) de achterliggende links van e-mails en dubieuze berichten, voordat je die opent.
- Open geen onbekende attachments.
Verder natuurlijk "tig" berichten via Google te achterhalen, waar allemaal op te letten:
https://www.google.com/search?q=hoe%20hacks%20te%20vermijden
https://www.google.com/search?q=waar%20op%20te%20letten%20bij%20fishing
Een verdere beveiliging zou men kunnen bewerkstelligen door alternatieve DNS-servers in een router in te stellen,
die filteren op dubieuze content (fishing), advertenties e.d.
(Veel links naar "verkeerde" - dure betaal-links naar telefoonnummers voor bijv. aanpassen van accounts bij providers /
energiemaatschappijen, navragen informatie overheidsinstellingen etc. worden dan niet meer getoond).
https://adguard-dns.io/kb/general/dns-providers/
Als je liever binnen Europees verband DNS-servers wilt inzetten:
https://european-alternatives.eu/category/public-dns
https://www.nederlanddigitaal.nl/actueel/nieuws/2025/06/10/europese-dns-servers-nu-beschikbaar
https://tweakers.net/nieuws/235858/europese-dns-resolver-dns4eu-die-websites-kan-filteren-is-beschikbaar.html
https://www.joindns4.eu/
Heb zelf een poosje gebruik gemaakt van de "DOH" DNS server van https://www.joindns4.eu/for-public
( https://protective.joindns4.eu/dns-query (http://https: // protective.joindns4.eu/dns-query) )
Maar vond die niet goed genoeg. Kreeg ineens weer audio advertenties binnen het freeware Spotify account op mijn Android media speler.
Weer terug gegaan naar Adguard "DOH" DNS-server. ( https://dns.adguard.com/dns-query (http://https : // dns.adguard.com/dns-query) )
Div. extensies / add-ons voor webbrowsers om content te filteren, en bijv. het ongevraagd volgen van internetgeschiedenis, of social media.
(Maar dat is weer een heel uitgebreid onderwerp op zichzelf).
-
-
Ik zou als ik jou was dit gaan volgen.
Mooie uitleg, duidelijk, en als je dat allemaal uitvoert, heb je de zaken wel goed voor elkaar.
Bovendien staat er nog veel meer waar je veel van op kunt steken.
-
Ik heb nu nieuw wachtwoord ingesteld en 2-way verificatie aangezet, maar is dat genoeg of kan ik nog meer doen?
Ik denk dat 2-way verificatie de belangrijkste stap is. Een wachtwoord kan nog steeds lekken als b.v. je PC op telefoon met een keylogger besmet is. Bij 2-way verificatie is het lekken van een wachtwoord nog steeds geen ramp. In elk geval niet zolang het wachtwoord van je mailomgeving niet gelekt is, want daarmee kunnen ze een nood inlogcode onderscheppen. (maar dat is meer een risico voor grote doelwitten waar hackers meer tijd in stoppen)
-
Ik zou als ik jou was dit gaan volgen.
Mooie uitleg, duidelijk, en als je dat allemaal uitvoert, heb je de zaken wel goed voor elkaar.
< Link naar YouTube video > (https://www.youtube.com/watch?v=HYHiF8FfScg)
Inderdaad een mooie algemene uitleg als je als "nieuwbakken gebruiker" als basis een nieuw model NAS wilt configureren.
Echter niet meer dan dat.
Buiten de instellingen van een twee factor autorisatie, komt veiligheid, en instellingen daaromtrent in het geheel NIET aan de orde.
Sterker nog. De firewall is in het geheel NIET geactiveerd. Wordt zelfs als "useless" aangemerkt.
Heb mijn sterke twijfels, dat je dan juist de zaken goed voor elkaar zou hebben ??
De Topic starter is toch "niet zomaar" gehackt ?
-
Wel ik begreep dus dat hij vermoed dat dit in Oostenrijk is gebeurd door op een "publieke" hotspot in te loggen en vervolgens in HTTP naar DSM te zijn gegaan waar de login + password in cleartext verzonden is.
Die "publieke" hotspot kan dan natuurlijk iets zijn als een Wifi Pineapple oid om dus honeypot te spelen en als een stofzuiger alles te capteren in hoop dat er wat cleartext tussen zit.
Dat is een spijtige zaak idd als het zo gebeurd is.
-
@Babylonia van wat ik ervan zag heeft hij op die nas bijna niks voor elkaar...
Daar geeft dat wat ik stuurde prima inzicht in.
En ik zei er ook bij dat spacerex er nog veel meer heeft staan, waar hij studie van kan maken.
Vaak werken dat soort filmpjes wat beter bij nieuwkomers dan platte tekst, en spacerex heeft mooi spul staan, waar hij zich mee uit kan leven.
-
Vaak werken dat soort filmpjes wat beter bij nieuwkomers dan platte tekst
@zapp2 is sinds 15 december 2012 actief in dit Forum, begon met een DS209 en heeft 89 berichten geplaatst dus, van een nieuwkomer is geen sprake (meer). ;)
-
@Birdy tja zo kwam het wat op me over
Bij mij was het in het begin ook een slecht beveiligd rommeltje, je mag toch verwachten na 14 jaar een nas, dat die bepaalde zaken dan toch wat beter in orde heeft.
Info, waarschuwingen genoeg op dit forum.
Zo ook voorbeelden genoeg hoe het niet moet.....
afijn was goed bedoeld verder :P
-
Wel ik begreep dus dat hij vermoed dat dit in Oostenrijk is gebeurd door op een "publieke" hotspot in te loggen en vervolgens in HTTP naar DSM te zijn gegaan waar de login + password in cleartext verzonden is.
Synology heeft het beter voor elkaar en stuurt ook met HTTP nooit cleartext wachtwoorden bij een inlog. (Net als deze site)
Wachtwoorden op de nas staan al niet cleartext opgeslagen, dus DSM kan al niets met zo'n wachtwoord. Dit moet eerst gehashed worden en dat gebeurt via JS in de browser zelf. En omdat het onderscheppen van een gehashed wachtwoord ook schadelijk is, wordt deze ook nog eens 'gesalt' met de session key. Als dat onderschept wordt, is dit alleen bruikbaar zolang de inlog sessie duurt. Daarom ook altijd expliciet uitloggen op een site zodat de sessie key ongeldig wordt. (Het is een heel slechte gewoonte om een sessie te beëindigen door gewoon een browservenster te sluiten.)
-
Wel ik begreep dus dat hij vermoed dat dit in Oostenrijk is gebeurd door op een "publieke" hotspot in te loggen en vervolgens in HTTP naar DSM te zijn gegaan waar de login + password in cleartext verzonden is.
Dat voorbeeld waar ik naar verwees (reactie #7) (https://www.synology-forum.nl/firmware-algemeen/ik-ben-gehacked/msg336830/#msg336830) met "Oostenrijk" is al zeker 10 jaar oud.
Indertijd kwam het veel meer voor dat websites / verbindingen gewoon onder http werden opgezet.
Tegenwoordig is dat (gelukkig) allemaal veel strakker geïmplementeerd met https en gebruik van bijv. Let's Encrypt certificaten.
Ook direct vanuit browsers met meldingen die waarschuwen voor onveilige verbindingen.
(Waar je dan evt. dan wel een uitzondering voor zou kunnen maken ?)
Er kan in een NAS dan wel een instelling zitten om http automatisch om te leiden naar https.
Beter is het om in een router helemaal geen port forwarding voor een http verbinding daarin op te nemen.
Dus van buitenaf is dan alleen een verbinding via https mogelijk.
....je mag toch verwachten na 14 jaar een nas, dat die bepaalde zaken dan toch wat beter in orde heeft.
Info, waarschuwingen genoeg op dit forum.
Zo ook voorbeelden genoeg hoe het niet moet.....
afijn was goed bedoeld verder :P
Daar ga ik bij voorbaat al vanuit, dat reacties altijd goed zijn bedoeld. ;)
Maar dat wil niet zeggen dat gegeven antwoorden ook altijd voldoen (en in mogelijke gevallen zelfs helemaal "niet").
Beveiliging is niet een kwestie van instellingen van een NAS "alleen".
Het gaat juist om alle "niet" NAS gerelateerde handelingen, alertheid bij internet connecties, gebruiksethiek hoe met data om te gaan.
Allerlei spam, e-mail fishing berichten, "nep" websites waar mensen mee geconfronteerd worden waar rekening mee te moeten houden.
Dat is niet altijd zo gemakkelijk te herkennen. Of er zijn momenten dat men minder alert is, met het hoofd ergens anders mee bezig is.
Ook "officiële" organisaties, leveranciers en bedrijven maken achterliggend in e-mails van typische "omleid" websites gebruik
naar heel andere domeinen, dan wat ze in hun nieuwsberichten of "vragenlijst" aan de gebruiker voorhouden.
Zonder de gebruiker daarvan in kennis te stellen dat ze van externe bureaus gebruik maken, en data via andere kanalen loopt.
Ofwel van dezelfde "fishing" technieken gebruik maken, als "nep" websites dat doen.
Zie daar als gebruiker maar eens onderscheid in te maken?
Als je de Support afdeling van een organisatie daarop aanspreekt. Reageren ze of ze water zien branden.
En gebeurt er verder helemaal niets mee. Gaat men op dezelfde "foute manier" verder.
En wat dacht je van "data lekken" helemaal buiten de schuld van mensen zelf, via bedrijven, instanties / overheidsinstellingen.
Waarbij data op straat ligt?
Afgelopen jaren ben ik al meerdere malen geconfronteerd geweest met data-lekken "bij anderen".
(Leveranciers, en o.a. bedrijven die "corona tests" uitvoerden....)
Waarbij naast persoonsgegevens mogelijk bij toeval toch ook wel eens een wachtwoord meegenomen zou kunnen zijn?
Een hack door "Russen" van mijn Google account, een aantal jaren jaren geleden.
Waarbij peperdure "Russische nep games" in de playstore stonden, waar ik op geabonneerd zou zijn (met automatische incasso).
Ofwel Google zelf hun zaakjes niet op orde had. Wel die foute games in de Playstore verwijderen, maar verder zich in onschuld wentelen.
Hacks en data-lekken worden steeds omvangrijker.
De kans dat je daar "onvrijwillig" ook slachtoffer van wordt, is groot.
Sommige worden breed in het nieuws uitgemeten:
https://www.bevolkingsonderzoeknederland.nl/nieuws/update-datalek-bevolkingsonderzoek-baarmoederhalskanker
https://www.nu.nl/binnenland/6365360/openbaar-ministerie-niet-enige-slachtoffer-van-hack-na-lek-in-software.html
https://www.nu.nl/tech/6350449/losgeld-universiteit-maastricht-vijf-jaar-na-cyberhack-terug-plus-forse-bonus.html
Maar andere veel meer grootschalige data-leks, geeft men relatief weinig ruchtbaarheid aan. Wellicht om geen paniek te zaaien?
https://opgelicht.avrotros.nl/alerts/artikel/mogelijk-grootste-wereldwijde-datalek-ooit-16-miljard-inloggegevens-op-straat/ (https://opgelicht.avrotros.nl/alerts/artikel/mogelijk-grootste-wereldwijde-datalek-ooit-16-miljard-inloggegevens-op-straat/)
https://hcc.nl/kennis/kennis/reviews/groot-datalek-meer-dan-2-5-miljard-gmail-adressen-op-het-darkweb (https://hcc.nl/kennis/kennis/reviews/groot-datalek-meer-dan-2-5-miljard-gmail-adressen-op-het-darkweb)
Dus uitspraken als:
"....je mag toch verwachten na 14 jaar een nas, dat die bepaalde zaken dan toch wat beter in orde heeft."
Gaan wel erg ver.
Mensen die zo'n rotsvast vertrouwen hebben "in hun eigen gelijk", zouden IMO juist beter kunnen oppassen met hun evengrote "naïviteit".
Morgen wordt je mogelijk zelf slachtoffer van een of andere voor jou "onbedoelde" hack? En dan? :o 8)
-
-
ok , ik had moeten zeggen, dan heb je het wat betreft de instellingen van je NAS, al redelijk voor elkaar
Het is een prima uitleg van een gedeelte wat mocht hij dit niet voor elkaar hebben, wel moet lukken bedoelde ik
Ik zal mijn woorden voortaan op een wat zwaardere weegschaal leggen ;)