Auteur Topic: LET OP: NAS HACK: Synolocker actief.  (gelezen 117931 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 946
  • -Ontvangen: 5137
  • Berichten: 30.539
  • Synology is awesome.
    • Synology Support
LET OP: NAS HACK: Synolocker actief.
« Gepost op: 03 augustus 2014, 22:09:17 »
Zie http://www.synology-forum.nl/synology-dsm-4-3/synolocker/msg119419/#msg119419

Mag aannemen dat dit voor ALLE versies van DSM geldt.

Zie ook: https://twitter.com/MikeEvangelist/status/495970097497128960

Synology is op de hoogte echter, voor zover ik het zie geven ze op dit moment alleen de oplossing om DSM opnieuw te installeren en geen oplossing wanneer het al te laat is.
Bron: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.1-23824-6  [TEST]
RT2600ac                      SRM 1.2.1-7779-1   [PROD]
MR2200ac                      SRM 1.2.1-7779-1   [PROD]

Offline Heppieboeddah

  • Bedankjes
  • -Gegeven: 14
  • -Ontvangen: 36
  • Berichten: 387
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #1 Gepost op: 04 augustus 2014, 02:47:07 »
Vraag mij af of de normale ingebakken standaardbescherming van de NAS voldoende zekerheid geeft om dit te voorkomen. Vooralsnog lijkt mij het alsof het niet bekend is waar dit mee komt. Welke services lopen risico, welke poorten worden er aangevallen?


Vooralsnog vertrouw ik de beveiligingsinstellingen zoals ze nu staan, in afwachting van wat meerdere ervaringen.

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 259
  • -Ontvangen: 730
  • Berichten: 4.295
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #2 Gepost op: 04 augustus 2014, 08:59:49 »
Met zo weinig informatie is het vooralsnog koffiedik kijken, maar heb wel een idee in welke richting het gevaar zou kunnen zitten. Nadenkend zijn er typische services die mensen gebruiken die IMO enorm kwetsbaar zijn om als backdoor te kunnen worden ingezet. Bijv. als men de NAS gebruikt om torrents te downloaden (en daarmee te delen met anderen).

Meestal weet men bij download van torrents totaal niet wat voor data men in huis haalt. Ontzettend vaak besmet met virussen en andere rommel. Eenmaal een klein "hulpprogrammaatje" in huis (op je NAS) zou dat van buitenaf weer benaderd  kunnen worden, en van daaruit de NAS verder kunnen worden overgenomen.

DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  Experia Box V10 (achter glasvezel) + RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 7
  • -Ontvangen: 1181
  • Berichten: 4.905
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #3 Gepost op: 04 augustus 2014, 09:09:31 »
Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.

Er is onlangs nog een patch uitgebracht voor DSM 4.3 voor een kwetsbaarheid die met die login te maken had.
Het zou dus ook interessant zijn te weten welke DSM versie de slachtoffers draaien.

Maar is afwachten tot er meer details bekend zijn.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 1591
  • Berichten: 10.364
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #4 Gepost op: 04 augustus 2014, 09:12:33 »
Jammer dat niemand er bij vermeld onder welke DSM versie ze draaien. Het topic hier is in het 4.3 deel gezet. Ook in het internationale forum zag ik in de signatuur staan dat één van de slachtoffers dsm 4.3 draait.

Ik vind één maal de vermelding:
Citaat
We have a small business and use a DS1513+ with DSM 4.3-3810. We could not open any files.
Dus hij draaide niet op de nieuwste versie. Er zijn hierna nog meerdere security patches uitgegeven. Zie release notes

De toegang zou dus kunnen gaan via het bekende lek dat vorig jaar bekend werd en Synology dit voorjaar gepatcht heeft.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 1591
  • Berichten: 10.364
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #5 Gepost op: 04 augustus 2014, 09:48:09 »
Na nog meer links gevolgd te hebben zie ik steeds DSM 4.3 terug komen:

I am on 4.3 with no updates
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Björn

Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #6 Gepost op: 04 augustus 2014, 10:15:46 »
DSM 4.3 had toch ook last van de bitcoin mining hack doordat er een lek zat in de SMB versie of iets dergelijks die erin zat?

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 1591
  • Berichten: 10.364
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #7 Gepost op: 04 augustus 2014, 10:33:28 »
Klopt, dat lek is eind 2013 ontdekt. Het heeft toen een paar maand geduurd voor er malware geschreven was die dit lek gebruikte. De bitcoin miner was de bekendste. (Het waren geen bitcoins maar een andere digitale valuta). Synology had ten tijde van de infecties al een update uitgevoerd, maar niet iedereen update zijn nas ogenblikkelijk. Als ik nu zie welke versies besmet zijn, denk ik dat het nog steeds om hetzelfde lek gaat.

Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline blackgoku

  • Bedankjes
  • -Gegeven: 63
  • -Ontvangen: 40
  • Berichten: 531
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #8 Gepost op: 04 augustus 2014, 10:46:45 »
Ik heb net iemand gesproken die dit probleem ook heeft en draait DSM 5 versie 2.
DS1815+ & DX213  10 x WD30EFRX DSM 6.0-7321 u3 Bestands-server
DS1513+ & DX213  7 x WD40EFRX DSM 6.0-7321 u3 Back-up-server
DS214+  2 x WD30EZRX  DSM 5.2-5644 u5 Download-nas
DS115J  1 x HD103UJ  DSM 6.0-7321 u3 TEST
DS213+  2 x HD103UJ  DSM 6.0-7321 u3 TEST

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 259
  • -Ontvangen: 730
  • Berichten: 4.295
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #9 Gepost op: 04 augustus 2014, 11:28:59 »
Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.

De door mij gebruikte NAS is er nog niet te vinden (voor zolang het duurt). Als aardigheid gebruik ik voor mijn webbrowser een plugin die een vlag toont die weergeeft waar het domein of IP-adres is gesitueerd.
https://addons.mozilla.org/nl/firefox/addon/flagfox/

Bij de plugin zitten echter nog meer direct bereikbare links naar websites en services die je kunt gebruiken om allerlei testen uit te voeren. Onder andere:
  • Diagnostiek als pings en traceroutes
  • Whois en DNS-informatie
  • Paginacoderingsvalidatie
    en nog veel meer.....

Sta versteld wat een test voor informatie oplevert.
Doe voor de aardigheid eens een test naar je eigen internet IP-adres waarachter je de NAS hebt staan.
(Bijv. middels de bij MyDS Center vastgelegde DDNS hostnaam. IP-adressen ingeven gaat niet):
https://www.ssllabs.com/ssltest/index.html
Wel een vinkje plaatsen bij:   "Do not show the results on the boards"
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  Experia Box V10 (achter glasvezel) + RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 101
  • -Ontvangen: 1591
  • Berichten: 10.364
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #10 Gepost op: 04 augustus 2014, 12:14:39 »
Sta versteld wat een test voor informatie oplevert.

Er zijn gewoon belachelijk veel sites die IP verkeer loggen. Kijk ook maar eens op: http://myip.ms/ 

Het is in elk geval een illusie om te denken dat als je jouw IP niet op een website plaatst, jouw nas niet gevonden wordt.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 259
  • -Ontvangen: 730
  • Berichten: 4.295
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #11 Gepost op: 04 augustus 2014, 12:38:24 »
Ik maak me geen illusies hoor. Ik had het er alleen over dat die bewuste website die je specifiek noemde de NAS nog niet in de zoekresultaten voorkwam voor zolang het duurt. De NAS is relatief nog maar kort in gebruik, dus dat die nog niet in hun database voorkomt is niet zo verwonderlijk. Niet elke seconde worden alle nieuw voorkomende NAS'sen in de wereld door hen gescand, daar gaat tijd overheen. Het kan morgen anders zijn.

Met de andere aanvullingen die ik gaf (waaronder een whois who IP) is het duidelijk dat informatie bekend is.
-
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  Experia Box V10 (achter glasvezel) + RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2

Offline ralphsensei

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 0
  • Berichten: 23
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #12 Gepost op: 04 augustus 2014, 13:51:38 »
Dag allen,

Bedankt allereerst voor alle reacties. Inmiddels is er ook respons van synology zelf om te kijken wat er aan te doen is.

Details over mijn synology:

DSM 4.3. Updates lukten niet (meer) omdat de partitie te klein was. (bekend probleem)
Poort 5000 stond inderdaad open, evenals de admin account. Helaas stond het blocken van IP's na verkeerde inlogpogingen uit.
De standaard antivirus stond er ook op, maar we hebben niet te maken met een virus.
 
Eigenlijk stond bijna alles default, omdat ik hem hoofdzakelijk gebruik voor SABnzb. Vandaar ook geen backup Maar zo zie je maar, gaandeweg ga je toch meerdere zaken erop zetten en voila.
Echt een ramp qua timing, want vlak voor de vakantie een flashdrive ernaar gekopieerd en leeggemaakt.

GEEN torrents, als laatste was Plex server geinstalleerd.

Mochten er specifieke vragen zijn, laat het me weten. Ik kan niet meer inloggen op de syno zelf, maar ik denk dat me dat vanavond gaat lukken mbv de tips van synology. Ik zal de voortgang hier blijven posten.

Gr,

Ralph

Nog steeds hou ik me aanbevolen voor decryptietips en trucs.


Offline Remy89

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 6
  • Berichten: 61
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #13 Gepost op: 04 augustus 2014, 13:57:46 »
Ik heb mijn NAS voor zolang het nodig is maar even uit gezet. Wil het risico niet lopen dat hij dadelijk ge encrypt word. Ook al heb ik poort 5000 gewijzigd, draai op de laatste versie, automatisch IP block aan en standaard admin account staat uit. Dit nieuws is nog vers en niemand weet er iets van. Synology kennende zijn ze snel met een oplossing. ;)
  • Mijn Synology: DS213J

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 259
  • -Ontvangen: 730
  • Berichten: 4.295
Re: LET OP: NAS HACK: Synolocker actief.
« Reactie #14 Gepost op: 04 augustus 2014, 14:16:16 »
Even een vraagje tussendoor m.b.t. poort 5000
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  Experia Box V10 (achter glasvezel) + RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2


 

Hack Synology NAS System DOM Boot Flash U Disk V5.2 5592 With Video Tutorial Electronic 4G Network S

Gestart door Stephan296Board Overige mods

Reacties: 8
Gelezen: 3704
Laatste bericht 26 juni 2016, 18:22:54
door Stephan296
Veel dataverbruik bij Telenet. Geen computers actief behalve ds216+ op netwerk

Gestart door ccoppensBoard The lounge

Reacties: 24
Gelezen: 1389
Laatste bericht 11 september 2017, 20:05:33
door Briolet
VERPLAATST: HELP !!! problemen om in mijn Synology als gebruiker in te loggen door hack pog

Gestart door BirdyBoard NAS hardware vragen

Reacties: 0
Gelezen: 226
Laatste bericht 21 juni 2017, 21:40:30
door Birdy
VERPLAATST: windows blijft melding actief en bijwerken geven

Gestart door BrioletBoard Cloud Station Client

Reacties: 0
Gelezen: 1179
Laatste bericht 25 april 2016, 00:01:18
door Briolet
[OPGELOST] 7K bezoekers (11 & 12-04-2013) op mijn website, een hack/aanval?

Gestart door m4v3r1ckBoard The lounge

Reacties: 30
Gelezen: 5993
Laatste bericht 04 mei 2013, 10:13:49
door m4v3r1ck
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.