Bericht door: Birdy op 03 augustus 2014, 22:09:17
Mag aannemen dat dit voor ALLE versies van DSM geldt.
Zie ook: https://twitter.com/MikeEvangelist/status/495970097497128960
Synology is op de hoogte echter, voor zover ik het zie geven ze op dit moment alleen de oplossing om DSM opnieuw te installeren en geen oplossing wanneer het al te laat is.
Bron: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716
Bericht door: Heppieboeddah op 04 augustus 2014, 02:47:07
Vooralsnog vertrouw ik de beveiligingsinstellingen zoals ze nu staan, in afwachting van wat meerdere ervaringen.
Bericht door: Babylonia op 04 augustus 2014, 08:59:49
Meestal weet men bij download van torrents totaal niet wat voor data men in huis haalt. Ontzettend vaak besmet met virussen en andere rommel. Eenmaal een klein "hulpprogrammaatje" in huis (op je NAS) zou dat van buitenaf weer benaderd kunnen worden, en van daaruit de NAS verder kunnen worden overgenomen.
Bericht door: Hofstede op 04 augustus 2014, 09:09:31
Er is onlangs nog een patch uitgebracht voor DSM 4.3 voor een kwetsbaarheid die met die login te maken had.
Het zou dus ook interessant zijn te weten welke DSM versie de slachtoffers draaien.
Maar is afwachten tot er meer details bekend zijn.
Bericht door: Briolet op 04 augustus 2014, 09:12:33
Ik vind één maal de vermelding:
Citaat
We have a small business and use a DS1513+ with DSM 4.3-3810. We could not open any files.Dus hij draaide niet op de nieuwste versie. Er zijn hierna nog meerdere security patches uitgegeven. Zie release notes (http://www.synology.com/nl-nl/releaseNote/model/DS212j)
De toegang zou dus kunnen gaan via het bekende lek dat vorig jaar bekend werd en Synology dit voorjaar gepatcht heeft.
Bericht door: Briolet op 04 augustus 2014, 09:48:09
I am on 4.3 with no updates (http://xpenology.com/forum/viewtopic.php?p=21502&sid=41883c07f262c5c5bdc48d7c4876a27c#p21502)
Bericht door: Björn op 04 augustus 2014, 10:15:46
Bericht door: Briolet op 04 augustus 2014, 10:33:28
Het probleem is dat je via een site als Shodan (http://www.shodanhq.com/search?q=synology), alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.
Bericht door: blackgoku op 04 augustus 2014, 10:46:45
Bericht door: Babylonia op 04 augustus 2014, 11:28:59
Het probleem is dat je via een site als Shodan, alle Synology nassen in de wereld in één zoekopdracht kunt vinden. Vervolgens laat je een script lopen dat kijkt welke van deze adressen nog niet gepatcht zijn.
De door mij gebruikte NAS is er nog niet te vinden (voor zolang het duurt). Als aardigheid gebruik ik voor mijn webbrowser een plugin die een vlag toont die weergeeft waar het domein of IP-adres is gesitueerd.
https://addons.mozilla.org/nl/firefox/addon/flagfox/
Bij de plugin zitten echter nog meer direct bereikbare links naar websites en services die je kunt gebruiken om allerlei testen uit te voeren. Onder andere:
• Diagnostiek als pings en traceroutes
• Whois en DNS-informatie
• Paginacoderingsvalidatie
en nog veel meer.....
Sta versteld wat een test voor informatie oplevert.
Doe voor de aardigheid eens een test naar je eigen internet IP-adres waarachter je de NAS hebt staan.
(Bijv. middels de bij MyDS Center vastgelegde DDNS hostnaam. IP-adressen ingeven gaat niet):
https://www.ssllabs.com/ssltest/index.html
Wel een vinkje plaatsen bij: "Do not show the results on the boards"
Bericht door: Briolet op 04 augustus 2014, 12:14:39
Sta versteld wat een test voor informatie oplevert.
Er zijn gewoon belachelijk veel sites die IP verkeer loggen. Kijk ook maar eens op: http://myip.ms/
Het is in elk geval een illusie om te denken dat als je jouw IP niet op een website plaatst, jouw nas niet gevonden wordt.
Bericht door: Babylonia op 04 augustus 2014, 12:38:24
Met de andere aanvullingen die ik gaf (waaronder een whois who IP) is het duidelijk dat informatie bekend is.
-
Bericht door: ralphsensei op 04 augustus 2014, 13:51:38
Bedankt allereerst voor alle reacties. Inmiddels is er ook respons van synology zelf om te kijken wat er aan te doen is.
Details over mijn synology:
DSM 4.3. Updates lukten niet (meer) omdat de partitie te klein was. (bekend probleem)
Poort 5000 stond inderdaad open, evenals de admin account. Helaas stond het blocken van IP's na verkeerde inlogpogingen uit.
De standaard antivirus stond er ook op, maar we hebben niet te maken met een virus.
Eigenlijk stond bijna alles default, omdat ik hem hoofdzakelijk gebruik voor SABnzb. Vandaar ook geen backup Maar zo zie je maar, gaandeweg ga je toch meerdere zaken erop zetten en voila.
Echt een ramp qua timing, want vlak voor de vakantie een flashdrive ernaar gekopieerd en leeggemaakt.
GEEN torrents, als laatste was Plex server geinstalleerd.
Mochten er specifieke vragen zijn, laat het me weten. Ik kan niet meer inloggen op de syno zelf, maar ik denk dat me dat vanavond gaat lukken mbv de tips van synology. Ik zal de voortgang hier blijven posten.
Gr,
Ralph
Nog steeds hou ik me aanbevolen voor decryptietips en trucs.
Bericht door: Remy89 op 04 augustus 2014, 13:57:46
Bericht door: Babylonia op 04 augustus 2014, 14:16:16
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?
Bericht door: damonnk op 04 augustus 2014, 14:18:15
Ik heb net iemand gesproken die dit probleem ook heeft en draait DSM 5 versie 2.
Dit is het eerste wat ik lees dat ook 5.0 update 2 hier last van heeft.
Ik zie meestal dat het 4.3 is.
Voor deze zekerheid heb ik 5001 forwarding en quickconnect uitgezet.
Heb ik een vhost config die 443 naar naar 5001 deed maar uitgezet.
Ben erg benieuwd wat de oorzaak is want het is vervelend als ik hem niet van buitenaf kan benaderen.
VPN is helaas niet altijd een goede oplossing.
Ga misschien maar eens kijken of ik alle behalve nederland kan blocken op de firewall van me router of synology.
Dat zou misschien al een hoop tegenhouden.
Bericht door: damonnk op 04 augustus 2014, 14:21:23
Even een vraagje tussendoor m.b.t. poort 5000
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?
Je kan die poort dan dichtzetten maar moet wel uiteraard rechtstreeks naar 5001 op https connecten.
Dit heb ik namelijk zelf ook.
Bericht door: Birdy op 04 augustus 2014, 14:23:40
Bericht door: damonnk op 04 augustus 2014, 14:26:59
FYI: http://www.synology-forum.nl/synology-dsm-5-0/synolocker-cryptolocker-voor-nas/?topicseen
Je wijst naar een topic en in dat topic weer na deze?
Probeer je me rondjes te laten lopen ? :lol:
Bericht door: Briolet op 04 augustus 2014, 14:28:42
Dit is het eerste wat ik lees dat ook 5.0 update 2 hier last van heeft.
Ik zie meestal dat het 4.3 is.
Voor deze zekerheid heb ik 5001 forwarding en quickconnect uitgezet.
Er zijn 2 updates 2 geweest, 5.0-4493 Update 2 en 5.0-4458 Update 2 ;).
De heartbleed bug wordt door sommigen als kandidaat genoemd, maar ook in de oudste van de twee is de heartbleed bug al opgelost. Met de heartblead bug zou juist poort 5001 kwetsbaar zijn en niet poort 5000.
Bericht door: Erwin1 op 04 augustus 2014, 17:39:48
Ik draai mijn DSM op 5 update 3 maar ik zie nog geen update verschijnen ..
Bericht door: Santina1 op 04 augustus 2014, 17:41:02
Bericht door: Handige Harry op 04 augustus 2014, 17:43:39
Puur uit voorzorg, poort 5000 altijd al dicht gehad. En telnet enz had ik ook al altijd uitgeschakeld.
Geen idee of dat nog uit maakt?
Ik wacht dus op de update.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Erwin1 op 04 augustus 2014, 17:53:27
Ik heb mijn nas helemaal uitgezet
En telnet enz had ik ook al altijd uitgeschakeld.
Geen idee of dat nog uit maakt?
Ik wacht dus op de update.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Je kunt ook je NAS alleen intern blijven gebruiken, wanneer je alle poorten van je router dicht gooit is er toch ook geen kans van een `hack?
Bericht door: Birdy op 04 augustus 2014, 17:53:44
Zouden andere NAS merken nooit last hebben van hackers/virussen dan?
Bericht door: Briolet op 04 augustus 2014, 18:01:13
Je zou toch op zijn minst een goed beveiliging mogen verwachten van een NAS.
Veel dan de bugs liggen niet direct aan de Synology software, maar aan third party software die de nas gebruikt. Denk maar aan de diverse bugs in OpenSSL (heartbleed etc), waar ook alle grote providers door getroffen zijn. Het is dus een illusie om te denken dat een nas 100% veilig is. Wat belangrijk is, is dat leveranciers zo snel mogelijk na het bekend worden van een bug, een update uitbrengen. En die snelheid zit bij Synology toch redelijk goed sinds ze ook kleine updates uitbrengen.
Bericht door: TonVH op 04 augustus 2014, 18:02:08
@Santina1
Zouden andere NAS merken nooit last hebben van hackers/virussen dan?
Zul je hier niet lezen. Maar elders (Tweakers, Hardware Info, buit. media) heb ik dit soort ellende nog niet bij andere merken gehoort.
Maar wat mij veel meer interesseert is hoe dat het werkt. De theorie is dat dit soort zaken bij *nix "niet kunnen gebeuren". Dus zijn er 3 mogelijkheden: (1) ID/WW was te makkelijk, (2) het zat verstopt in een package of (3) er zit gewoon een lek in DSM.
Bericht door: Handige Harry op 04 augustus 2014, 18:03:02
Daar heb je gelijk in idd, voor intern moet dat kunnen.Ik heb mijn nas helemaal uitgezet
En telnet enz had ik ook al altijd uitgeschakeld.
Geen idee of dat nog uit maakt?
Ik wacht dus op de update.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Je kunt ook je NAS alleen intern blijven gebruiken, wanneer je alle poorten van je router dicht gooit is er toch ook geen kans van een `hack?
Maar ik neem liever geen extra risico, want ik snap niet helemaal waar het probleem nu precies ligt.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Briolet op 04 augustus 2014, 18:07:45
Daar heb je gelijk in idd, voor intern moet dat kunnen.
Maar ik neem liever geen extra risico, want ik snap niet helemaal waar het probleem nu precies ligt.
In theorie kan het ook een bug in het smb protocol o.i.d. zijn en vind de besmetting plaats via een PC in het netwerk. Zolang het niet bekend is, kun je niet voorzichtig genoeg zijn.
Maar als je er b.v. een mailserver op hebt draaien waar je van afhankelijk bent, dan is loskoppelen ook geen echte optie.
Blijft over het backuppen op meerdere schijven die niet permanent aan de nas hangen.
Bericht door: Ben(V) op 04 augustus 2014, 18:10:11
Windows heeft al jaren last van dit feit en linux en mac waren daardoor in het voordeel.
Het is niet voor niets dat microsft maandelijks een hele reeks patches aanlevert, die zijn deels nodig om gevonden hacks af te sluiten.
Door de toenemende populariteit van NAS systemen is die markt aantrekkelijker geworden.
De discussie aangaan dat Linux beter is dan Windows is onzin, het is gewoon een kwestie van aantallen. Als er genoeg hacker hun best doen zijn alle systemen te kraken.
Linux is daar zelfs in het nadeel omdat het opensource is en elke hacker de broncode heeft.
Een mac is dan nog beter af.
Nu even aan de practische kant en voor de duidelijkheid geheel mijn mening. Ieder heeft recht op z'n eigen mening hierover.
Mijn systemen (dus ook m'n NAS(-en) zijn alleen bereikbaar vanuit het LAN en verder niet.
Het LAN is afschermt van het WAN via een firewall (m'n router), want die is daar voor gemaakt.
Toegang tot m'n LAN vanuit het internet doe ik via een VPN die ik opzet met m'n router.
Je kunt dingen als firewalls en VPN beter door devices laten uitvoeren die daar voor gemaakt zijn, dan door een NAS die dat er even bij doet.
Ik heb al jaren geleden wat meer geld daar in geinvesteerd in een router die daar goed in was en daar heb ik nooit spijt van gekregen.
Bericht door: iwan073 op 04 augustus 2014, 18:37:35
Hoe kan ik die open gezette poorten weer sluiten?
Nogmaals EZ-Internet draaien of in m'n Airport Extreme het één en ander aanpassen?
EDIT:
Ik heb in AirPort configuratieprogramma gekeken, maar daar staan helemaal geen port forwardingen in???
Bericht door: Dokman op 04 augustus 2014, 18:42:32
heb op hun site / twitter en Facebook account gekeken maar is niets te vinden.
Bericht door: MaVeWeb op 04 augustus 2014, 18:45:45
Bericht door: blackgoku op 04 augustus 2014, 18:52:15
Gelukkig download ik al op een andere nas dan waar ik de bestanden op bewaar, maar ja we zullen zien :(
http://tweakers.net/nieuws/97631/ransomware-richt-zich-op-synology-opslagsystemen.html
Bericht door: Dokman op 04 augustus 2014, 19:00:04
ik heb deze gelijk verandert toen ik mijn nas in bedrijf nam. heb er een heel raar
nummer van gemaakt.
Heb toch maar even snel een kleine backup gemaakt naar mijn Externe Harddisk met
belangrijke dingen. de rest wat op de nas staat kan ik wel weer terug vinden op Internet.
gelijk de backup schrijf even aan een linux computer gehangen en al mijn bestanden staan er op :)
Bericht door: Babylonia op 04 augustus 2014, 19:17:58
Nu even aan de practische kant en voor de duidelijkheid geheel mijn mening. Ieder heeft recht op z'n eigen mening hierover.
Mijn systemen (dus ook m'n NAS(-en) zijn alleen bereikbaar vanuit het LAN en verder niet.
Het LAN is afschermt van het WAN via een firewall (m'n router), want die is daar voor gemaakt.
Toegang tot m'n LAN vanuit het internet doe ik via een VPN die ik opzet met m'n router.
Je kunt dingen als firewalls en VPN beter door devices laten uitvoeren die daar voor gemaakt zijn, dan door een NAS die dat er even bij doet.
Ik heb al jaren geleden wat meer geld daar in geinvesteerd in een router die daar goed in was en daar heb ik nooit spijt van gekregen.
Zoals jezelf aangeeft je eigen mening, die met je uiteenzetting hoe je de NAS en services gebruikt is afgestemd op je eigen situatie (uiteraard). Maar ja, jouw situatie hoeft niet die voor een ander te gelden. Het NAS-systeem hier is er juist op gericht om makkelijk van buitenaf door diverse familieleden te worden benaderd, om met name toegang te hebben tot een historisch media-archief (foto's, filmpjes door de jaren heen). Te ongebruiksvriendelijk om dat via VPN op te moeten zetten.
Met de nodige zorg is er wel aandacht besteed om de beveiliging binnen de mogelijkheden van DSM zo goed mogelijk af te stemmen. Maar merk daarbij tegelijkertijd de behoefte dat een aantal zaken reeds eerder binnen de router worden afgeblokt voordat het überhaupt bij de NAS terechtkomt en daar het zaakje moet worden tegengehouden voor kwaadwillenden. De router is in dit geval dan een Ubee modem van Ziggo (bij mijn ex opgesteld). Moet het ter plekke dan nog eens verder bestuderen, maar ik schat in dat het modem te beperkte mogelijkheden heeft om reeds op routeniveau zaken af te blokken voordat data bij de NAS komt.
Een "dubbele" beveiliging is echter wel zo prettig. In het geval dat de beveiliging binnen DSM te labiel wordt is een goede router ertussen een welkome aangelegenheid.
Bijv. binnen de mogelijkheden van DSM is er een mogelijkheid om connectie buiten Nederland af te blokken. Het zou al fijn zijn als dat reeds op routerniveau zou kunnen plaatsvinden, al is het alleen maar om van de dagelijkse meldingen af te zijn dat IP-nummers vanuit met name Azië zijn tegengehouden.
Bericht door: Hofstede op 04 augustus 2014, 19:25:25
Maar het is ook nog niet duidelijk of de besmetting via die poort plaatsvindt.
Het lijkt me ook belangrijk dat mensen die voor het gemak hun NAS in DMZ gezet hebben dit zo snel mogelijk aanpassen. Het is duidelijk dat beveiliging zoals autoblocking in de NAS zelf niet voldoende is.
Bericht door: Santina1 op 04 augustus 2014, 20:39:54
Lijkt me wel een heeeeeeele goede reclame voor Synology !!!
Bericht door: Briolet op 04 augustus 2014, 20:50:33
Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.
Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.
Bericht door: Briolet op 04 augustus 2014, 21:01:26
Ik heb in AirPort configuratieprogramma gekeken, maar daar staan helemaal geen port forwardingen in???
De forwards die EZ-Internet via UPnP aanmaakt zijn in veel routers niet zichtbaar. Via aparte tools zijn die forwards wel zichtbaar te maken en ook te deleten. Voor de Mac kun je b.v. het programma Port Map (http://www.codingmonkeys.de/portmap/) gebruiken.
Of het Java programma: UPnP Portmapper (http://upnp-portmapper.sourceforge.net). En omdat het Java is, werkt dit op elk platform waar de Java engine op staat.
Bericht door: Handige Harry op 04 augustus 2014, 21:22:29
Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.
Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Erwin1 op 04 augustus 2014, 21:28:18
Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.
Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 :'(
Hoe kun je het beste de standaard poorten vervangen?
Bericht door: Handige Harry op 04 augustus 2014, 21:28:38
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Handige Harry op 04 augustus 2014, 21:29:59
Dat kun je op de nas inschakelen. Volgens mij bij configuratie en dan beveiliging, dacht ik zo uit mijn hoofd.Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.
Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 :'(
Hoe kun je het beste de standaard poorten vervangen?
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Dokman op 04 augustus 2014, 21:40:48
Dat kun je op de nas inschakelen. Volgens mij bij configuratie en dan beveiliging, dacht ik zo uit mijn hoofd.Misschien stomme vraag, maar poort 5001 is dan toch veiliger dan poort 5000?Ja maar zou dat wat uit maken als je poort 5000 vervangt door een andere.
Zeer waarschijnlijk wel. Zoekmachines die alle Synology nassen op het internet zoeken zullen niet alle poorten scannen, maar een typische poort pakken. Tegenwoordig kun je al alle IPv4 adressen in de wereld binnen 1 dag op een enkele poort scannen. Dus als je geen poort 5000 gebruikt, maar b.v. 5600, is de kans veel groter dat je gemist wordt bij een scan naar een Synology nas.
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Dat vraag ik me dus ook af, nu heb ik poort 5000 op de router dicht gezet maar ik wordt niet automatisch doorverwezen naar 5001 :'(
Hoe kun je het beste de standaard poorten vervangen?
Verstuurd vanaf mijn GT-I9300 met Tapatalk
ik heb mijn poort 5000 ook verandert naar een nummer boven de 8000.
hou er rekening mee dat je dat de DS apps ook weer moet aanpassen als je die gebruikt op je ipad of android
Bericht door: Hofstede op 04 augustus 2014, 21:41:54
Bericht door: Handige Harry op 04 augustus 2014, 21:45:09
Ik kan er in het vervolg ook wel een extra zin onder typen met automerken als je dat minder stoort?
Bericht door: Erwin1 op 04 augustus 2014, 21:48:57
En in welk opzicht moet je dit veranderen in de apps?
Die gebruiken toch allemaal een eigen poort?
Bericht door: Hofstede op 04 augustus 2014, 21:49:10
Verder moet je het zelf weten. Wil dit draadje niet verder kapen.
Bericht door: Dokman op 04 augustus 2014, 21:56:44
Je bedoelt in dit scherm?
En in welk opzicht moet je dit veranderen in de apps?
Die gebruiken toch allemaal een eigen poort?
Ja die staat standaard 5000 heb er wat anders van gemaakt.
En bij DS file moet je dat nummer in vullen. Dat hoeft volgens mijn niet als hij standaard op 5000 staat
Bericht door: Erwin1 op 04 augustus 2014, 21:58:35
Want die blijft aanbellen bij poort 5000
Bericht door: Dokman op 04 augustus 2014, 22:01:18
Bericht door: Erwin1 op 04 augustus 2014, 22:04:08
Bericht door: Dokman op 04 augustus 2014, 22:07:10
Als het goed is heb je dat ook gedaan met poort 5000 anders kom je er van buiten af niet in.
Als je er alleen in wilt via je eigen netwerk dan hoeft dat niet dan is het gewoon de ip van de nas en dan :8000
Voorbeeld: http://192.168.0.8:8000
Bericht door: Handige Harry op 04 augustus 2014, 22:07:57
Verstuurd vanaf mijn GT-I9300 met Tapatalk
Bericht door: Hofstede op 04 augustus 2014, 22:09:07
- in je NAS een nieuw poortnummer toekennen. In je router dit nieuwe poortnummer doorlussen van extern naar intern.
- Of in je NAS de poort default laten staan en dan in je router je nieuwe poortnummer extern doorlussen naar het originele poortnummer intern.
Als je doet wat jurgen323 voorstelt schiet je niks op want dan blijft je poortnummer op het internet het default poortnummer van Synology en kunnen ze je nog vinden.
Bericht door: Petrovski op 04 augustus 2014, 22:17:46
http://www.synology.com/en-global/support/faq/579
Je DS aan laten staan terwijl je bestanden probeert veilig te stellen betekent dat Synolocker op de achtergrond vrolijk door blijft encrypten.
Mijn DS hangt alleen via UPD 1194 (openVPN) aan het internet, maar zoals iemand in deze thread al zei: voor hetzelfde geld komt de aanval door een besmette package van bijvoorbeeld Synocommunity of door andere devices in het LAN. Ik heb echter een offline backup, dus ik laat 'm aanstaan en zie wel wat er komt.
Bericht door: Erwin1 op 04 augustus 2014, 22:34:24
Ik heb zojuist poort 5000 en 5001 doorverwezen in de router na de nieuw bedachten poorten. Wanneer ik m'n url in de browser ingeef (gekoppeld aan mijn externe IP) zie ik dat achter de url de nieuw bedacht https poort te voorschijn komt, maar de pagina kan niet geladen worden :S
Bericht door: Hofstede op 04 augustus 2014, 22:35:38
Bericht door: Erwin1 op 04 augustus 2014, 22:54:00
Vreemd..
Ik heb zojuist poort 5000 en 5001 doorverwezen in de router na de nieuw bedachten poorten. Wanneer ik m'n url in de browser ingeef (gekoppeld aan mijn externe IP) zie ik dat achter de url de nieuw bedacht https poort te voorschijn komt, maar de pagina kan niet geladen worden :S
Ik maak hiervoor even een topic, anders wordt dit wel heel vervuilt 8)
Bericht door: Mister13 op 04 augustus 2014, 23:30:46
Bericht door: blackgoku op 04 augustus 2014, 23:34:28
Je bedoelt in dit scherm?
En in welk opzicht moet je dit veranderen in de apps?
Die gebruiken toch allemaal een eigen poort?
Ja die staat standaard 5000 heb er wat anders van gemaakt.
En bij DS file moet je dat nummer in vullen. Dat hoeft volgens mijn niet als hij standaard op 5000 staat
Webdav is 5005 en via https 5006
Bericht door: Petrovski op 04 augustus 2014, 23:34:33
Ben beetje een leek maar kan je ook gehackt worden als je geen portforwarding hebt aanstaan?
Dat is nog niet bekend. Er zijn in theorie een aantal manieren om DSM te hacken. Toegang via internet is wel de meest waarschijnlijke. Mijn mening: als je DS niet via internet bereikbaar is en je installeert geen niet-officiele packages is het risico laag. Paranoide modus: direct je DS uitschakelen tot de aanvalsvector bekend is.
Bericht door: Robbedoes op 04 augustus 2014, 23:59:10
Yep. Buiten poort 5000 naar intern 'nieuw poortnummer'
Ehm, dit moet je dus juist niet doen. Dan heeft het wijzigen van je poort geen nut, want je router zet zo de oude poort door naar de nieuwe.
Andersom heeft wel nut.
Bericht door: Babylonia op 05 augustus 2014, 00:03:49
Per dag krijg ik een "straatje" aan meldingen met ip-adressen die van buitenaf proberen in te loggen, waarbij de toegang in mijn geval geweigerd wordt. Als ik de log-bestanden bekijk komen relatief weinig gebruikersnamen voor met admin. En een paar fancy namen van "hobbyisten". Wat echter in bijzondere mate opvalt is dat bij het merendeel de gebruikersnaam "root" wordt gebruikt. Misschien bij 90-95% van de gevallen.
Dat zou kunnen duiden dat men probeert binnen te komen via poort 22 en het SCP protocol ???
Daarbij gebruik je specifiek de gebruikersnaam "root" voor je default admin gebruikers login. Het gebruikers inlog account admin heb ik om veilheidsredenen echter uitgeschakeld. Dus die stap werkt dan niet. Zou het wel ingeschakeld zijn, hoeft men alleen een wachtwoord te genereren om binnen te komen, geen gebruikersnaam.
Wil je zelf op root-niveau je NAS benaderen kan dat op die wijze bijv. met WinSCP (http://winscp.net/eng/docs/lang:nl) of vergelijkbaar.
-
Bericht door: blackgoku op 05 augustus 2014, 00:07:59
Vaak word er specifiek aangeduid waar op geprobeerd werd in te loggen.
Dit was trouwens bij een nas van een kennis van me waar ik ook vaak op inlog.
Ik had deze soortgelijke meldingen vroeger ook maar sinds ik een nieuwe router heb (Netgear R700) heb ik dit niet een keer mee gehad
Bericht door: Hofstede op 05 augustus 2014, 00:08:37
Bericht door: Babylonia op 05 augustus 2014, 00:17:30
Ik snap wat je bedoeld ik heb dit zelf ook voorbij zien komen, alleen als ze het proberen via poort 22 zie ik de melding in het log dat de gebruiker ''root'' een poging heeft gedaan via SSH.
Inderdaad via SSH, maar dat kan toch specifiek de bedoeling zijn van degene die dat willen proberen ??
(Ik dacht dat ik de poorten voor de gewone verbindingsmode heb gesloten).
Bericht door: blackgoku op 05 augustus 2014, 00:20:27
Bericht door: Babylonia op 05 augustus 2014, 00:21:22
Volgens mij weet niemand op dit moment precies hoe men binnenkomt, zelfs Synology niet. Anders zouden ze niet aangeven dat je voorlopig alle poorten vanaf het internet dicht moet zetten.
Maar op zichzelf is de binnenkomst via poort 22 "begrijpelijk". Er hoeft in dat geval slechts een wachtoord gegenereerd worden, geen gebruikersnaam. Vanuit "hack"-overwegingen een logische gedachte die mogelijk eerder succesvol zou kunnen zijn dan via een andere omweg een gebruikersnaam met daarbij een wachtwoord, waarbij je dan ook nog niet eens in de root zit ?
Maar goed, we wachten de berichten wel af.
Ga wat poorten dichtgooien denk ik, plus services inperken. Kijken wat dat oplevert in de login-pogingen.
Bericht door: whoopi op 05 augustus 2014, 08:16:05
Je kunt wel allerlei poorten wijzigen, maar als je niet weet waar het lek zit, dan ben je van alles aan het aanpassen en ben je straks toch nog het haasje
Ik ben benieuwd of er in de loop van de dag een update komt. Deze topic houd ik in iedergeval in de gaten.
Succes allen ::) ::)
Bericht door: CHIWI op 05 augustus 2014, 08:36:11
Hoop snel op een oplossing grrrr
Bericht door: Briolet op 05 augustus 2014, 08:45:07
Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.
Maar dan moet je wel zeker weten dat de bug niet in het VPN deel zit, anders open je juist deuren. Dit voorjaar werd b.v. bekend dat in de OpenVPN implementatie van Synology een hardcoded root wachtwoord zat (http://cxsecurity.com/issue/WLB-2014030016). Met 'root' en 'synopass' kreeg je toegang tot het netwerk. (In elk geval onder DSM 4.3)
Bericht door: Eddiexbmw op 05 augustus 2014, 08:58:19
Bericht door: RAT op 05 augustus 2014, 09:34:10
dit stond er oa in:
Wat moet u doen? NAS is nog niet geïnfecteerd:
Omdat nu nog niet bekend is hoe de ransomware op de NAS terechtkomt raden wij aan om te zorgen dat de NAS op geen enkele manier via internet bereikt kan worden. Dit kunt u doen door bestaande portforwards te verwijderen, of door de NAS uit te zetten etc.
Wacht vervolgens op nieuws vanuit Synology over te verder te volgen stappen indien van toepassing.
Ik wil niet aan de poorten gaan zitten rommelen, want ik ben daar ook maar een leek in, en ik ben dan bang dat ik het later nooit meer goed krijg..
Is het in dat geval dan maar beter de NAS echt uit te zetten, totdat Synology een oplossing heeft ?
ik kan eigenlijk geen dag zonder, want alles wat ik op tv kijk, is door de NAS gedownload via de newsgroepen.
Is in het verleden wel eens vaker zoiets als dit voorgekomen, en zoja, hoe lang duurde het toen totdat Synology een oplossing had ?
Bericht door: Remy89 op 05 augustus 2014, 09:42:27
Is in het verleden wel eens vaker zoiets als dit voorgekomen, en zoja, hoe lang duurde het toen totdat Synology een oplossing had ?
Ik heb mijn NAS nu 'n halfjaar dus weet niet precies wat er allemaal in het verleden is gebeurd. Ik heb wel de 'heartbleed' bug meegemaakt. Dit was al erg snel opgelost door Synology. Volgens mij al binnen 1 week.
Bericht door: RAT op 05 augustus 2014, 09:55:38
Ik ben maar even wat series die ik nog moet kijken op een ext. HD aan het zetten zodat ik wat te kijken heb de komende dagen, daarna zet ik de NAS dan maar uit...
Als hij na een eventuele oplossing dan weer aan kan, worden de series toch weer automatisch binnen gehaald :-)
Bericht door: SPiET op 05 augustus 2014, 10:02:45
Heb direct DDNS en Quickconnnect afgezet in de DSM (bezit nog 4.3).
Als ik bijv Photo Station laad via Mobile, dus DS Photo+ kan ik niet meer inloggen dus dat is goed. Niet meer bereikbaar via buitenaf of zijn er nog andere dingen die je moet veranderen?
Gelezen over standaard poort 5000 en 5001 maar is dit niet via netwerk en niet buitenaf om erop te komen?
Enige andere dingen (naast het uit zetten) dat je kan doen om geen internet toegang meer te hebben? Diskstation hangt aan switch en dan aan router (telenet)
mvg
Bericht door: Briolet op 05 augustus 2014, 10:08:23
Bericht door: SPiET op 05 augustus 2014, 10:11:16
"Finally, Synology tells us that they are hoping to finish identifying which versions of DSM are affected this evening. They are also hoping to have a resolution, though admittedly if SynoLocker is as effectively implemented as Cryptolocker, then there is a distinct possibility that there may be no way to recover the ransomed data other than paying."
Bericht door: damonnk op 05 augustus 2014, 10:15:12
Stel je voor dat het mensen zijn waarvan hun user/pass is achterhaald bijvoorbeeld door keyloggers op hun pc, of ze loggen in via http(5000) en niet https(5000) en het verkeer is gesniffed.
Er zijn ook genoeg mensen die hetzelfde gebruikersnaam en wachtwoord gebruiken voor meer diensten , als er dan 1 van die diensten "gehacked" is....
Daar kan synology weinig aan doen.
Wel kan je zelf voor je admin account(s) 2 staps verificatie aanzetten.
Bericht door: RAT op 05 augustus 2014, 10:29:31
En als er een oplossing is...dan moet de NAS weer worden opgestart om dit te installeren, het zou wel lullig zijn als je dan net op dat moment word gehacked als je de NAS een paar dagen hebt uit gezet ::)
Maar dat is misschien een beetje ver gezocht....
Bericht door: Remy89 op 05 augustus 2014, 10:33:14
Misschien rare vraag, maar is het genoeg om "shutdown" te kiezen om de NAS uit te zetten, of is het ook aan te raden om de stekker er daarna uit te trekken.
En als er een oplossing is...dan moet de NAS weer worden opgestart om dit te installeren, het zou wel lullig zijn als je dan net op dat moment word gehacked als je de NAS een paar dagen hebt uit gezet ::)
Maar dat is misschien een beetje ver gezocht....
Haha, uitzetten is voldoende. ;)
Bericht door: Dokman op 05 augustus 2014, 10:42:57
je kan altijd de PAT file downloaden bij synology en deze handmatig toevoegen en installeren.
Bericht door: RAT op 05 augustus 2014, 10:45:25
Misschien rare vraag, maar is het genoeg om "shutdown" te kiezen om de NAS uit te zetten, of is het ook aan te raden om de stekker er daarna uit te trekken.
En als er een oplossing is...dan moet de NAS weer worden opgestart om dit te installeren, het zou wel lullig zijn als je dan net op dat moment word gehacked als je de NAS een paar dagen hebt uit gezet ::)
Maar dat is misschien een beetje ver gezocht....
Haha, uitzetten is voldoende. ;)
Done....
Nou maar hopen op een snelle update ;)
Bericht door: Tien op 05 augustus 2014, 10:54:53
Bericht door: Birdy op 05 augustus 2014, 10:59:27
Bericht door: CHIWI op 05 augustus 2014, 11:02:02
De mijne is wel geinfecteerd DSM 5.0 Update 3
Bericht door: whoopi op 05 augustus 2014, 11:03:37
[attachimg=1]
Bericht door: Heppieboeddah op 05 augustus 2014, 11:05:51
Een scan op poort 5000 of 5001 is niet eens nodig, als je google'd op inurl:webman/index.cgi krijg je een hele lijst DSen ook met niet standaard poorten. Dus een andere poort dan 5000 en/of 5001 is ook maar schijnveiligheid.
Bovenstaande 'geleend' van Tweakers.
Als maatregel heb ik zelf genomen:
Two-step verification
Quick-connect voorlopig even uit
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
Bericht door: damonnk op 05 augustus 2014, 11:07:20
Tenzij het hen wel lukt de nas via WOL aan te krijgen ;-)
Gelukkig kan je WOL uitzetten (Sorry mijn synology staat op engels)
Control Panel > Hardware & Power
Onder general heb je kopje Power Recovery waar je kan zien of het aan of uit staat
Bericht door: SPiET op 05 augustus 2014, 11:15:29
Bekijk deze website es, deze is gehacked met SynoLocker
http://www.metsub.co.uk:5000/
Je kan zelf zien welke files er allemaal besmet zijn.
Ik neem aan dat de website zijn nas nog altijd up & running is , en de encryptie nog steeds voorgezet word (of al reeds compleet is)
Update: de lijst met encrypted files
http://www.metsub.co.uk:5000/crypted.log
Bericht door: Tien op 05 augustus 2014, 11:16:31
Moet je wel thuis zijn ;-)Tenzij het hen wel lukt de nas via WOL aan te krijgen ;-)
Gelukkig kan je WOL uitzetten (Sorry mijn synology staat op engels)
Control Panel > Hardware & Power
Onder general heb je kopje Power Recovery waar je kan zien of het aan of uit staat
Bericht door: SPiET op 05 augustus 2014, 11:22:27
Ik run nog steeds DSM 4.3 , kan ik deze manueel updaten (zonder dat de NAS aan internet hangt) naar de nieuwste DSM 5.xxx ? Of wacht ik beter om de nas terug op te starten van zodra er nieuws is?
Blijkbaar is de laatste update van DSM 5 ook besmetbaar?
Bericht door: wopper op 05 augustus 2014, 11:29:50
Toch best verbazingwekkend:
Een scan op poort 5000 of 5001 is niet eens nodig, als je google'd op inurl:webman/index.cgi krijg je een hele lijst DSen ook met niet standaard poorten. Dus een andere poort dan 5000 en/of 5001 is ook maar schijnveiligheid.
Bovenstaande 'geleend' van Tweakers.
Als maatregel heb ik zelf genomen:
Two-step verification
Quick-connect voorlopig even uit
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
Leuke google search hit ;-)
Ik heb ook nog de firewall staan op Geo filtering "Allow Nederland only on port 5001" en voor backup is de firewall alleen tussen mijn NAS en de backup NAS gefilterd op ip to ip. En nu tijdelijk even helemaal dicht gezet tot synology met een fix komt.
En ik heb two-step even aangezet ter veiligheid.
Bericht door: damonnk op 05 augustus 2014, 11:34:03
Juist gezien op Tweakers,
Bekijk deze website es, deze is gehacked met SynoLocker
http://www.metsub.co.uk:5000/
Je kan zelf zien welke files er allemaal besmet zijn.
Ik neem aan dat de website zijn nas nog altijd up & running is , en de encryptie nog steeds voorgezet word (of al reeds compleet is)
Update: de lijst met encrypted files
http://www.metsub.co.uk:5000/crypted.log
Ouch! Dat is pijnlijk zeg!
Lijkt een NAS die voor business doeleinden word gebruikt.
En aangezien de log niet groter word is deze dus al helemaal klaar met encrypten.
Hopelijk hebben ze een goede backup.
Bericht door: Remy89 op 05 augustus 2014, 11:58:31
Juist gezien op Tweakers,
Bekijk deze website es, deze is gehacked met SynoLocker
http://www.metsub.co.uk:5000/
Je kan zelf zien welke files er allemaal besmet zijn.
Ik neem aan dat de website zijn nas nog altijd up & running is , en de encryptie nog steeds voorgezet word (of al reeds compleet is)
Update: de lijst met encrypted files
http://www.metsub.co.uk:5000/crypted.log
Ouch! Dat is pijnlijk zeg!
Lijkt een NAS die voor business doeleinden word gebruikt.
En aangezien de log niet groter word is deze dus al helemaal klaar met encrypten.
Hopelijk hebben ze een goede backup.
Inderdaad! Volgens mij draaide ook hun website op de NAS. Hun website werkt ook niet meer.
Bericht door: Briolet op 05 augustus 2014, 12:02:30
...als je google'd op inurl:webman/index.cgi krijg je een hele lijst DSen ook met niet standaard poorten. ...
Dat zijn zo'n ruim 30 duizend nassen. En verbazend hoeveel daarvan nog niet op DSM 5.0 draaien.
Bericht door: Birdy op 05 augustus 2014, 12:15:26
Ik heb mijn nas nu volledig afgezet en DDNS enz uitgezet.
Ik run nog steeds DSM 4.3 , kan ik deze manueel updaten (zonder dat de NAS aan internet hangt) naar de nieuwste DSM 5.xxx ? Of wacht ik beter om de nas terug op te starten van zodra er nieuws is?
Blijkbaar is de laatste update van DSM 5 ook besmetbaar?
Je kunt handmatig updaten, dan download je DSM en trek je de UTP kabel op je router die naar Internet gaat eruit echter, misschien moet je pas op de plaats nemen, en nu niet dingen doen zonder te weten van de hoed en de rand m.b.t. Synolocker. ;)
Upgraden naar de laatste versie heeft op dit moment n.l. geen zin, in mijn ogen.
Bericht door: blackgoku op 05 augustus 2014, 12:18:16
Bericht door: hoogerbeets op 05 augustus 2014, 12:19:03
Dan kan je geheel offline je NAS bijwerken naar de laatste versie.
Bericht door: Babylonia op 05 augustus 2014, 12:40:03
Tenzij het hen wel lukt de nas via WOL aan te krijgen ;-)
Gelukkig kan je WOL uitzetten (Sorry mijn synology staat op engels)
Control Panel > Hardware & Power
Onder general heb je kopje Power Recovery waar je kan zien of het aan of uit staat
Moet je wel thuis zijn ;-)
De NAS waarvan ik gebruik maak staat niet bij mij thuis, dus benader ik de NAS van buitenaf. Je kunt van buitenaf de WOL-functie in DSM uitschakelen, kun je er volgende keer vanuit slaapstand-mode niet meer in, maar je kunt de NAS (als je er nog wel inkunt) van afstand ook volledig uitschakelen als je dat zou willen. Bij een uitgeschakelde NAS kan niemand er van buitenaf meer in of de NAS activeren. Zul je de NAS ter plekke toch echt met de powerknop opnieuw moeten opstarten.
Bericht door: SPiET op 05 augustus 2014, 12:40:47
Laatste versie downloaden via de website en de updates op http://ukdl.synology.com/download/criticalupdate/update_pack/
Dan kan je geheel offline je NAS bijwerken naar de laatste versie.
Heb nu 4493 laatste gedownload via de Synology website, is dit dan ook met de updates erbij? Productiedatum is begin juni dus denk het niet. Moet je dan alle update 1,2 en 3 dl of gewoon de laatste (na de 4439 update) ?
Btw
iemand van op Synology US forum misschien iets gevonden:
Was looking to a infected box and found
PORT STATE SERVICE VERSION
8080/tcp open http-proxy PWNED
Port 8080 is running the page to input the decryption key
PWNED was the service running the Bit/dogcoin miners
https://www.synology.com/en-global/comp ... rticle/437
Are this the same guys? and/or the same vulnerability?
Bericht door: CHIWI op 05 augustus 2014, 12:42:15
Toch best verbazingwekkend:
Een scan op poort 5000 of 5001 is niet eens nodig, als je google'd op inurl:webman/index.cgi krijg je een hele lijst DSen ook met niet standaard poorten. Dus een andere poort dan 5000 en/of 5001 is ook maar schijnveiligheid.
Bovenstaande 'geleend' van Tweakers.
Als maatregel heb ik zelf genomen:
Two-step verification
Quick-connect voorlopig even uit
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
Leuke google search hit ;-)
Ik heb ook nog de firewall staan op Geo filtering "Allow Nederland only on port 5001" en voor backup is de firewall alleen tussen mijn NAS en de backup NAS gefilterd op ip to ip. En nu tijdelijk even helemaal dicht gezet tot synology met een fix komt.
En ik heb two-step even aangezet ter veiligheid.
Hoe heb je die Geo Filtering gedaan
Bericht door: Babylonia op 05 augustus 2014, 12:45:06
Heb nu 4493 laatste gedownload via de Synology website, is dit dan ook met de updates erbij? Productiedatum is begin juni dus denk het niet. Moet je dan alle update 1,2 en 3 dl of gewoon de laatste (na de 4439 update) ?
Doorgaans zitten de fixes van een versie ervoor ook verwerkt in de laatste update. Maar als je het zeker wilt spelen, doe dan eerst 4493 update 1, dan versie 2 dan versie 3.
Bericht door: wopper op 05 augustus 2014, 12:45:37
Onderin de firewall blokkeer ik alles. Maar ik laat dan regio Nederland toe op port 5001. Je hebt ook mensen die juist alle andere gebieden zoals vanuit Azië gaan blokkeren maar dat is x meer werk.
Bericht door: Babylonia op 05 augustus 2014, 12:45:51
Hoe heb je die Geo Filtering gedaan
Uit mijn hoofd bij DSM Configuratie - beveiliging - Firewall.
Heb ik standaard ook aanstaan.
(Kan het nu van buitenaf niet controleren, mijn ex waar de NAS staat heeft de NAS nu even niet aan staan.
's Nachts zet ze die altijd uit, maar heeft ze vanmorgen kennelijk niet aangezet),
Bericht door: Tien op 05 augustus 2014, 12:55:01
Bericht door: damonnk op 05 augustus 2014, 13:01:52
Zo te lezen dus niet alleen DSM 4.3 maar ook DSM 5 :(
Waar haal je dat vandaan ? Ik heb hier nog geen "bewijs" voor gezien.
Ik heb 1 screenshot gezien op een achtergrond van DSM5 maar dat wat een foto die in die interfaces geladen was.
Bericht door: Remy89 op 05 augustus 2014, 13:07:57
Ik ben dan wel niet je ex maar mijn nas staat nu uit en ik ben er fysiek niet bij in de buurt (en WOL staat aan). Ik ga er maar vanuit dat het hun ook niet lukt 'm aan te zetten.... Dat hele WOL van buitenaf is me nooit goed gelukt....
WOL werkt alleen als ze handmatig jou NAS willen aanzetten op poort 7 of 9 (dus een van die moet al geforward zijn). Plus daarnaast moeten ze ook nog het MAC adres weten. Dat is teveel moeite voor 1 NAS. Dat virus wordt nu automatisch verspreid en dit is een handmatige actie.
Bericht door: blackgoku op 05 augustus 2014, 13:08:11
Zo te lezen dus niet alleen DSM 4.3 maar ook DSM 5 :(
Waar haal je dat vandaan ? Ik heb hier nog geen "bewijs" voor gezien.
Ik heb 1 screenshot gezien op een achtergrond van DSM5 maar dat wat een foto die in die interfaces geladen was.
Uit dit topic, een aantal reactie's terug geeft iemand aan dat hij ook de dupe is met dsm 5.0 update 3.
Kan je beter hem om bewijs vragen :)
Bericht door: Briolet op 05 augustus 2014, 13:08:18
Hoe heb je die Geo Filtering gedaan
Gewoon in de firewall bij poorten 5000 & 5001 kiezen en bij bron IP kies je uit de regio lijst NL en/of BE. En de actie die er bij hoort is 'toestaan'.
En eerder moet je ook een identieke regel gemaakt hebben, maar dan met als bron-IP het IP van je PC, of de range van je eigen thuis netwerk. Anders kun je er van binnen je eigen netwerk ook niet bij.
Die range kun je als IP range opgeven of als netmask.
Bericht door: damonnk op 05 augustus 2014, 13:47:11
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Bericht door: blackgoku op 05 augustus 2014, 13:49:24
Wel even kijken of dit achter een router (NAT) nog wel werkt.ik heb gisteren van alles geprobeerd maar bij mij werkte dit idd niet achter een router.
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Bericht door: damonnk op 05 augustus 2014, 13:50:50
Wel even kijken of dit achter een router (NAT) nog wel werkt.ik heb gisteren van alles geprobeerd maar bij mij werkte dit idd niet achter een router.
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Daar was ik al bang voor ;D
Ik heb een mikrotik router, ik ga het daar wel in doen.
Alleen even uitzoeken hoe ik het met geo locaties kan doen.
Bericht door: GerardR op 05 augustus 2014, 13:51:56
bij mij werkt het wel!Wel even kijken of dit achter een router (NAT) nog wel werkt.ik heb gisteren van alles geprobeerd maar bij mij werkte dit idd niet achter een router.
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Als bron-ip in de firewall range benoemen t/m interne ip adres extern modem. (bijv. KPN 192.168.2.254)
Bericht door: whoopi op 05 augustus 2014, 14:02:18
Lees hiervoor hun topic: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770
Bericht door: Hofstede op 05 augustus 2014, 14:04:06
DSM 5.0 is niet kwetsbaar voor Synolocker.
Zie link: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770
Bericht door: hoogerbeets op 05 augustus 2014, 14:04:44
Volgens de officiele berichten van Synology is versie 5.0 niet besmet.Tweakers (http://gathering.tweakers.net/forum/list_message/42664856#42664856)
Lees hiervoor hun topic: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770
Citaat
dat klopt niet, ik heb een DSM 5.0-4493 met synolock er op
Zonder updates
Bericht door: Hofstede op 05 augustus 2014, 14:06:46
Bericht door: TonVH op 05 augustus 2014, 14:12:24
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
Je bent wel zo verstandig geweest om je lokale IP's in de white list te zetten?
Bericht door: Erwin1 op 05 augustus 2014, 14:13:12
Volgens de officiele berichten van Synology is versie 5.0 niet besmet.Tweakers (http://gathering.tweakers.net/forum/list_message/42664856#42664856)
Lees hiervoor hun topic: http://forum.synology.com/enu/viewtopic.php?f=108&t=88770Citaatdat klopt niet, ik heb een DSM 5.0-4493 met synolock er op
Zonder updates
Heb je de laatste update er wel opgezet ?
Bericht door: damonnk op 05 augustus 2014, 14:23:14
bij mij werkt het wel!Wel even kijken of dit achter een router (NAT) nog wel werkt.ik heb gisteren van alles geprobeerd maar bij mij werkte dit idd niet achter een router.
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Als bron-ip in de firewall range benoemen t/m interne ip adres extern modem. (bijv. KPN 192.168.2.254)
Bij mij werkt het ook :)
Bericht door: Remy89 op 05 augustus 2014, 14:28:04
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
Je bent wel zo verstandig geweest om je lokale IP's in de white list te zetten?
Als hij DHCP heeft aanstaan op zijn PC heeft het whitelisten niet veel nut. Mocht hij een vast lokaal IP hebben dan wel, maargoed. Een nieuw IP instellen is zo gebeurd. Dus mocht hij zichzelf buitensluiten is het niet zo'n ramp. 8)
Bericht door: hvwees op 05 augustus 2014, 14:48:48
Wel even kijken of dit achter een router (NAT) nog wel werkt.Uhh nee, NAT herschijft alleen het destination IP adres, tenzij je natuurlijk ook aan sourcenatting (SNAT) doet.
Aangezien NAT het source ip adres herschrijft.
Bericht door: Briolet op 05 augustus 2014, 14:50:56
Als bron-ip in de firewall range benoemen t/m interne ip adres extern modem. (bijv. KPN 192.168.2.254)
Om je thuisnetwerk niet via de firewall uit te sluiten kun je een interne range toestaan:
b.v. 192.168.2.1 t/m 192.168.2.254
of de netmask instelling gebruiken. b.v.
IP: 192.168.2.0 Netmask: 255.255.255.0
En wat ik zelf gedaan heb is mijn eigen PC een vast IP geven en vervolgens als een van de eerste regels instellen dat dat IP alle poorten mag benaderen. Effectief is er dan geen firewall tussen die PC en de nas.
Als hij DHCP heeft aanstaan op zijn PC heeft het whitelisten niet veel nut.Ligt er aan. Mijn PC krijgt zijn IP ook via DHCP, maar wel altijd hetzelfde. :P
Bericht door: kuba op 05 augustus 2014, 14:59:16
Even een vraagje tussendoor m.b.t. poort 5000
Ik heb de NAS zodanig ingesteld dat er automatisch naar https poort 5001 wordt gegaan, kun je poort 5000 dan sluiten, of is die voor het allereerste contact van buitenaf als geen specifieke opgave van http of https in de browser wordt ingetikt, poort 5000 noodzakelijk?
Ja, de redirect naar https gebeurt als je op poort 5000 binnenkomt. In de apache config van de vhost die op deze poort luistert, kan je de rewrite rules waarschijnlijk zo vinden.
Het is zinvoller om je http://synoip:5000 te whitelisten. Oftwel niemand kan erbij behalve connecties vanaf bepaalde adressen.
Bericht door: Dokman op 05 augustus 2014, 15:08:00
Waarom wachten jullie niet even op een update van synology. Dan kun je alles laten staat zo als het nu is.
Bericht door: Björn op 05 augustus 2014, 15:09:24
http://www.synology-forum.nl/firmware-algemeen/update-mbt-synolocker/msg119700/#msg119700
Bericht door: kuba op 05 augustus 2014, 15:10:09
Vraag.
Waarom wachten jullie niet even op een update van synology. Dan kun je alles laten staat zo als het nu is.
Geen idee hoe lang je daarop moet wachten.
Bovendien kan ik zelf ook wel hier en daar een schroefje aandraaien. ;-)
Bericht door: kuba op 05 augustus 2014, 15:12:29
Update:
http://www.synology-forum.nl/firmware-algemeen/update-mbt-synolocker/msg119700/#msg119700
" At present, we have not observed this vulnerability in DSM 5.0."
.... en toch las ik ergens in deze forumthread dat iemand met 5.2 ook de sigaar was?
Bericht door: Björn op 05 augustus 2014, 15:27:34
Zover bij Synology bekend hebben gebruikers die last hebben met DSM 5.x pas geupgrade nadat ze geinfecteerd zijn geraakt op oude firmware.
Bericht door: Birdy op 05 augustus 2014, 15:28:21
Citaat
.... en toch las ik ergens in deze forumthread dat iemand met 5.2 ook de sigaar was?Onmogelijk, 5.2 bestaat niet n.l. ;)
Ja zal wel 5.0 bedoelen. 8)
Bericht door: Remy89 op 05 augustus 2014, 15:32:14
Citaat.... en toch las ik ergens in deze forumthread dat iemand met 5.2 ook de sigaar was?Onmogelijk, 5.2 bestaat niet n.l. ;)
Ja zal wel 5.0 bedoelen. 8)
Ik denk dan eerder DSM 5.0 met update 2. :P
Bericht door: Handige Harry op 05 augustus 2014, 15:33:05
Toch best verbazingwekkend:
Een scan op poort 5000 of 5001 is niet eens nodig, als je google'd op inurl:webman/index.cgi krijg je een hele lijst DSen ook met niet standaard poorten. Dus een andere poort dan 5000 en/of 5001 is ook maar schijnveiligheid.
Bovenstaande 'geleend' van Tweakers.
Als maatregel heb ik zelf genomen:
Two-step verification
Quick-connect voorlopig even uit
3 x inloggen binnen 1440 minuten zonder authorisatie is een eeuwige block.. 8)
ik heb 3 x inloggen binnen 3 minuten is block
Bericht door: Erwin1 op 05 augustus 2014, 15:55:34
Hoewel ik hem scherp in de gaten houdt, en hem 's nachts toch nog uitzet.
Ik begrijp niet waarom je de blok maar op 3 minuten zet, het is toch veel sterker om deze op 9999 minuten ofzo te zetten. Na 3 minuten kun je vrolijk weer proberen
Bericht door: Remy89 op 05 augustus 2014, 16:00:53
Goed nieuws voor mij gelukkig, ik durf het weer aan en gooi de NAS weer de lucht in.
Hoewel ik hem scherp in de gaten houdt, en hem 's nachts toch nog uitzet.
Ik begrijp niet waarom je de blok maar op 3 minuten zet, het is toch veel sterker om deze op 9999 minuten ofzo te zetten. Na 3 minuten kun je vrolijk weer proberen
Niet als het een eeuwige block IP is. ;)
Bericht door: jstevens op 05 augustus 2014, 16:03:03
Mijn NAS dadelijk ook maar weer aanzetten.
1 dag zonder mail is wel lang genoeg.
Bericht door: Erwin1 op 05 augustus 2014, 16:08:37
Goed nieuws voor mij gelukkig, ik durf het weer aan en gooi de NAS weer de lucht in.
Hoewel ik hem scherp in de gaten houdt, en hem 's nachts toch nog uitzet.
Ik begrijp niet waarom je de blok maar op 3 minuten zet, het is toch veel sterker om deze op 9999 minuten ofzo te zetten. Na 3 minuten kun je vrolijk weer proberen
Niet als het een eeuwige block IP is. ;)
Nee ik bedoel inderdaad wanneer je eens in de 5 minuten probeert aan te loggen. Zoals jstevens zegt ;)
Bericht door: blackgoku op 05 augustus 2014, 16:22:06
Ik heb mijn block overigens ingesteld op 3 x in 5 min
Bericht door: jstevens op 05 augustus 2014, 16:27:01
Bericht door: Remy89 op 05 augustus 2014, 16:31:10
Vaak gaat het zo snel, je Ziet wel eens in het log staan dat er weer 6, 8, of 10 pogingen zijn gedaan om in te loggen en dat hij dan geblokt is. Als je goed na de tijd kijkt is dit vaak in 1 a 2 sec.
Ik heb mijn block overigens ingesteld op 3 x in 5 min
Klopt, bruteforce heet dat. Bij mij staat hij ook ingesteld op 3x in 5 min.
Bericht door: Briolet op 05 augustus 2014, 16:33:22
Ik denk dan eerder DSM 5.0 met update 2. :P
Maar welke Update 2. Verschillende DSM 5.0 versies hebben een Update 2 gehad. Jammer dat bijna niemand een echte versie vermeld.
Bericht door: Babylonia op 05 augustus 2014, 16:35:50
Zie eerder bericht in deze draad < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119594/#msg119594) en < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119602/#msg119602)
Heb typisch poortnummer 22 (en ook 21 en 23) in de DNS Firewall uitgevinkt om als toegang te kunnen gebruiken. Verder alle andere services als toegang buitengesloten die je van buitenaf eigenlijk toch niet gebruikt. (Enkel die services aangevinkt die ik wel gebruik).
Een < eerdere melding in de draad > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119607/#msg119607) van een VPN service die ook "root" gebruikt als inlognaam waar een eerder veiligheidslek / hack betrekking op had, is bij mij niet als service ingesteld.
Overigens zit er wel een verwarrende instelling in de DSM Firewall wat men goed in de gaten moet houden.
Het schermpje "per Firewall regel" heeft onderaan de optie om de actie toe te staan of juist te weigeren.
In het hoofdmenu bij Configuratiescherm ---> Beveiliging onder de tweede tab "Firewall" heb je onderaan daar echter ook nog een regel staan: "Indien niet voldaan wordt aan de regels", wat er dan gedaan moet worden, toegang toestaan of weigeren. Afhankelijk van wat je wilt en welke voorwaarden je hebt ingesteld, kunnen die twee instellingen tegenovergesteld zijn om optimaal te werken.
Bericht door: mvrossum op 05 augustus 2014, 16:43:32
Mike.
Bericht door: Babylonia op 05 augustus 2014, 16:47:10
Bericht door: Erwin1 op 05 augustus 2014, 16:56:23
Bericht door: Handige Harry op 05 augustus 2014, 16:57:13
Zou je wanneer je NAS geïnfecteerd is, ook aangifte kunnen doen bij de politie? Ik feiten is het toch gewoon een vorm van diefstal?diefstal? je data is er dan nog steeds hoor
Verstuurd van mijn GT-I9300
Bericht door: Erwin1 op 05 augustus 2014, 17:04:02
Zou je wanneer je NAS geïnfecteerd is, ook aangifte kunnen doen bij de politie? Ik feiten is het toch gewoon een vorm van diefstal?diefstal? je data is er dan nog steeds hoor
Verstuurd van mijn GT-I9300
Ofzoiets :)
Bericht door: Babylonia op 05 augustus 2014, 17:06:01
Bericht door: Robert Koopman op 05 augustus 2014, 17:10:47
Dat lees ik eigenlijk niet.
Bericht door: Handige Harry op 05 augustus 2014, 17:13:56
Verstuurd van mijn GT-I9300
Bericht door: Dokman op 05 augustus 2014, 17:17:53
en heb de backup disk al een Linux computer gehand en alles staat er netjes op.
Zal alleen wat MP3 en Video films krijt raken maar das niet zo erg.
Bericht door: pcraenme op 05 augustus 2014, 17:18:16
Ik zie namelijk meldingen voorbij komen van mensen die al op versie 5 zaten en nu toch besmet zijn. De besmetting moet dan al voor de update naar versie 5 gebeurd zijn. Hoe lang is dit dan al aan de gang?
Bericht door: Briolet op 05 augustus 2014, 17:22:14
....In het hoofdmenu bij Configuratiescherm ---> Beveiliging onder de tweede tab "Firewall" heb je onderaan daar echter ook nog een regel staan: "Indien niet voldaan wordt aan de regels", wat er dan gedaan moet worden, toegang toestaan of weigeren. Afhankelijk van wat je wilt en welke voorwaarden je hebt ingesteld, kunnen die twee instellingen tegenovergesteld zijn om optimaal te werken.
Die laatste optie is een overbodige optie die Synology beter weg had kunnen laten om de boel consistent te houden. Je kunt net zo goed een laatste firewall regel toevoegen waar je als poort en IP "alles" invult en als actie weigeren. Als dan aan geen van bovenliggende regels is voldaan komt hij bij die laatste regel die alles ook weigert. ;)
Bericht door: Birdy op 05 augustus 2014, 17:32:28
Citaat
We zijn vele berichten verder maar zijn er hier op het forum nu veel slachtoffers?Gelukkig niet :!:
Bericht door: Babylonia op 05 augustus 2014, 17:59:34
Die laatste optie is een overbodige optie die Synology beter weg had kunnen laten om de boel consistent te houden. Je kunt net zo goed een laatste firewall regel toevoegen waar je als poort en IP "alles" invult en als actie weigeren. Als dan aan geen van bovenliggende regels is voldaan komt hij bij die laatste regel die alles ook weigert. ;)
Of dat wel of niet consistent is, handig of niet daar kun je van mening over verschillen.
Bijv. eerder in de draad m.b.t. het filteren op regio melden diverse reacties wel over een extra in te stellen regel m.b.t. het toestaan van IP's in het eigen netwerk. Met een vinkje bij "Toegang toestaan" (dat is dan bijv. alles buiten de eerder ingestelde regio blokkade ), hoef je die extra regel voor het toestaan voor het eigen interne netwerk er dan niet bij te voegen. Misschien zijn er zo nog wel een paar opties, waar je anders extra Firewall regels voor moet instellen, die nu achterwege kunnen blijven.
Bericht door: Don Ivo op 05 augustus 2014, 18:05:16
Ik heb één Ds409+ welke ik niet kon benaderen. Heb drie inlog pogingen gedaan en nu is het ip adres geblocked. Heb een vriend het apparaat fysiek uit laten zetten.
Betekent dit dat mijn 409 besmet is?
Bericht door: Babylonia op 05 augustus 2014, 18:18:57
Bericht door: Erwin1 op 05 augustus 2014, 19:12:52
Citaat
Thank you for your patience as we continue to investigate the ransomware "SynoLocker" which is currently affecting certain Synology NAS users.
We are fully dedicated to investigating this issue and possible solutions. Based on our current observations, this issue only affects Synology NAS servers running some older versions of DSM (DSM 4.3-3810 or earlier), by exploiting a security vulnerability that was fixed and patched in December, 2013. We HIGHLY encourage our users to update their DSM.
Furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.
Please take a look at our official statement with more information here: http://bit.ly/1oypNfE
We sincerely apologize for any problems or inconvenience this issue has caused our users. We will keep you updated with the latest information as we continue to address this issue.
Bericht door: Dokman op 05 augustus 2014, 19:17:34
Bericht door: Babylonia op 05 augustus 2014, 19:18:24
Buiten een aantal enkelvoudig genummerde IP-adressen (die één keer voorkomen), de volgende IP-reeksen.
xxx staat voor variabel nummer
Bij elkaar 2 adressen met: 1.93.29.xxx
Bij elkaar 7 adressen met: 61.167.50.xxx
Bij elkaar 29 adressen met: 61.167.51.xxx
Bij elkaar 46 adressen met: 116.10.191.xxx
Bij elkaar 2 adressen met: 122.225.103.xxx
Dan komen er nog IP-adressen voor die net naast de voornoemde groepen nog één keer voorkomen.
Het gaat hierbij allemaal om Chinese IP-adressen.
http://en.utrace.de/
Als je een wat uitgebreidere router hebt, kun je die groepen mogelijk reeds in de router als blok instellen om ze buiten de deur te houden nog voordat het bij de NAS aankomt. (Dubbele veiligheid).
Babylonia@
Bericht door: Erwin1 op 05 augustus 2014, 19:19:12
Citaat
furthermore, to prevent spread of the issue we have only enabled QuickConnect and Synology DDNS service to secure versions of DSM.Wat bedoelen ze hier nu mee?
Bericht door: Babylonia op 05 augustus 2014, 19:27:10
Bericht door: Hofstede op 05 augustus 2014, 19:27:36
Bericht door: GerardR op 05 augustus 2014, 19:38:10
Aan de hand van ip tracker blokkeer ik desgewenst ip adressen.
Bericht door: Dokman op 05 augustus 2014, 19:42:27
gaan jullie weer online of laten jullie hem uit staan.
Bericht door: Babylonia op 05 augustus 2014, 19:49:50
Ik ben niet zo van het paniekerige type dat alles ineens mis gaat. Typische IP's met buitenlandse herkomst werden reeds geblokt.
Bericht door: GerardR op 05 augustus 2014, 19:55:48
Ik ben niet zo van het paniekerige type dat alles ineens mis gaat.Mee eens. Bij mij ook up to date. Toch even alle poorten gesloten gisteravond, ddns en quickconnect uitgezet. Goed voor de nachtrust!
Toch is dit het moment om weer een kritsch te kijken naar de poorten die openstaan, firewall instellingen, backup's, etc
Bericht door: Babylonia op 05 augustus 2014, 20:00:56
Heb een aantal services beperkt en instellingen krapper gezet, zodanig krap dat mijn ex lokaal de NAS niet meer kon benaderen (gevraagd of ze dat wilde testen omdat ik twijfelde over een bepaalde instelling). :D
Bericht door: rodio op 05 augustus 2014, 20:36:24
Eerst bijna alle poorten dichtgegooid, 80 en random poort die intern naar 5000 verwijst staan nog open.
En DSM stond al op 5.0 update 3.
En 2 login pogingen binnen 10 minuten wordt permanent geblokt. In deze lijst staan na 1 jaar sowieso pas 3 IPadressen.
Uiteraard wel nog een 2e back-up aangezet net, just2bsure.
morgen ochtend klopt mijn hart vol verwachting en zie ik het wel 8)
Heb er wel vertrouwen in
Bericht door: rodio op 05 augustus 2014, 21:24:08
Ik heb wel een klein 'pluspuntje' ontdekt.
Hoogste aantal bezoekers ooit was/is vandaag, 335 stuks
</offtopic>
Bericht door: Birdy op 05 augustus 2014, 21:44:18
Citaat
<offtopic>Inderdaad: Hoogst aantal bezoekers online:335 - Vandaag om 11:32:39
Maar, geen wonder, toch ? 8)
Citaat
</offtopic>
Bericht door: rijmpje op 05 augustus 2014, 21:48:45
Bericht door: Patrick J. Jansen op 05 augustus 2014, 22:24:20
Bericht door: Babylonia op 05 augustus 2014, 22:30:17
Zie reactie op vorige pagina < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119768/#msg119768)
En als inleiding < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119733/#msg119733) en de daarin vermeldde verwijzingen.
Bericht door: Patrick J. Jansen op 05 augustus 2014, 22:35:16
Dezelfde IP's zijn mij ook bekend.
Zie reactie op vorige pagina < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119768/#msg119768)
Ja dat er in een week 465 pogingen worden gedaan om op die manier een verbinding te maken (en die dus in het logboek worden geregistreerd), heb ik nog niet eerder mee gemaakt. Kan er dus iets mee te maken hebben. Afwachten waar men mee komt!
Bericht door: Briolet op 05 augustus 2014, 22:38:50
Bericht door: Babylonia op 05 augustus 2014, 22:40:29
Heb typisch poortnummer 22 (en ook 21 en 23) in de DNS Firewall uitgevinkt om als toegang te kunnen gebruiken. Verder alle andere services als toegang buitengesloten die je van buitenaf eigenlijk toch niet gebruikt. (Enkel die services aangevinkt die ik wel gebruik).
Bericht door: iwan073 op 05 augustus 2014, 22:53:55
Bericht door: Birdy op 05 augustus 2014, 23:05:53
Citaat
Stomme vraag misschienMisschien niet een stomme vraag, eigenlijk wel een slimme.
Ik heb geen idee, maar waarom zou dit niet kunnen ? :S
Bericht door: Handige Harry op 05 augustus 2014, 23:10:09
Verstuurd van mijn GT-I9300
Bericht door: Erwin1 op 05 augustus 2014, 23:26:05
Bericht door: Handige Harry op 05 augustus 2014, 23:29:34
Waar ik ook benieuwd naar ben, is hoelang het duurt voordat je NAS versleutelt is. Wanneer je er een dikke 500 GB aan data hebt opstaan, is dt toch niet binnen een uurtje gedaan?Nee dat duurt wel even lijkt me. Maar vraag me ook af als het eenmaal begonnen is, is er dan ook nog een weg terug?
Bericht door: Birdy op 05 augustus 2014, 23:54:11
Bericht door: TonVH op 06 augustus 2014, 08:01:01
Zie het positief: zolang er pogingn gedaan worden is er niets an de hand. Pas als de pogingen ophouden moet je je zorgen maken. :twisted:
Inderdaad. En bedenk ook:
Citaat
Een mens lijdt dikwijls 't meest
Door 't lijden dat hij vreest
Doch dat nooit op komt dagen.
Zo heeft hij meer te dragen
Dan God te dragen geeft.
Bericht door: Birdy op 06 augustus 2014, 08:48:44
Bericht door: Ben(V) op 06 augustus 2014, 09:16:39
Ook hebben ze een test om te kijken of je router mogelijk last heeft van het bekende Upnp lek.
https://www.grc.com/x/ne.dll?bh0bkyd2
Bericht door: Nazgul op 06 augustus 2014, 09:29:43
Monday, August 4th 2014Synology DiskStation Manager Infected with a CryptoLocker Hack
Featured by
btarunrMonday, August 4th 2014 22:06 Discuss (4 Comments)
Synology DiskStation Manager (DSM), the company's in-house NAS operating system, is vulnerable to a CryptoLocker hack, which the company is referring to as "SynoLocker." The nature of how NAS units get infected by this hack is unknown, but when it is, the malware encrypts portion of data stored on your NAS volumes, and holds it for ransom, for 0.6 BTC (US $350 as of now). It decrypts that data only upon payment of that money. There's no guarantee of your data being held for ransom again. The issue is currently localized to NAS units running non-updated versions of DSM 4.3, but Synology is investigating if the hack works on DSM 5.0 as well.
Synology is urging users to take the following steps - close all ports for external (Internet) access, and unplug your NAS from your local network; and with your NAS plugged into just one machine, update DSM to the latest version; and back-up your data. If your NAS unit is infected, disconnect it from the network, perform a hard-shutdown, and contact Synology. The issue highlights one of the many dangers of a distributed currency, in which the beneficiary of funds is difficult to trace.
Here's an emergency statement from Synology (the company is preparing a press-release):
You may have heard by now that DSM is undergoing a CryptoLocker hack called SynoLocker – as of yesterday (08/03/14). It’s a BitCoin Mining hack that encrypts portions of data, and ransoms the decryption key for .6 BitCoin ($350). So far, it looks like the matter is localized to non-updated versions of DSM 4.3, but we are actively working on, and researching the issue to see if it also effects DSM 5.0 as well.
In the interim, we are asking people to take the following precautions:
A. Close all open ports for external access as soon as possible, and/or unplug your Disk/RackStation from your router
B. Update DSM to the latest version
C. Backup your data as soon as possible
D. Synology will provide further information as soon as it is available.
If your NAS has been infected:
A. Do not trust/ignore any email from unauthorized/non-genuine Synology email. Synology email always has the “synology.com” address suffix.
B. Do a hard shutdown of your Disk/RackStation to prevent any further issues. This entails a long-press of your unit’s power button, until a long beep has been heard. The unit will shut itself down safely from that point.
C. Contact Synology Support as soon as possible at, http://www.synology.com/en-global/support/knowledge_base
Bericht door: damonnk op 06 augustus 2014, 09:31:37
https://www.ssllabs.com/ssltest
Hier mijn resultaat. Ben benieuwd bij mensen die besmet zijn/waren of de hearthbleed check wel alarm gaf.
Bericht door: damonnk op 06 augustus 2014, 09:34:52
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fs30.postimg.org%2F7lu1nr3tt%2Fsynolocker_payed.png&hash=f784d8b05e4539f4429f4c097bda8ba3b99fc8e3)
Bericht door: iwan073 op 06 augustus 2014, 09:52:12
Bericht door: Handige Harry op 06 augustus 2014, 09:54:42
Synolocker heeft een Trade Mark?haha ja, ik zat ook al te kijken.
Bericht door: damonnk op 06 augustus 2014, 10:09:06
Synolocker heeft een Trade Mark?haha ja, ik zat ook al te kijken.
Toch hoop ik dat ze de mensen pakken die dit hebben gedaan.
Al is het alleen maar om te weten hoeveel ze hier mee verdiend hebben.
Bericht door: Nazgul op 06 augustus 2014, 10:21:20
Bericht door: Dokman op 06 augustus 2014, 10:40:34
hebben jullie de nassen al weer aanstaan???
Bericht door: jstevens op 06 augustus 2014, 10:50:14
Wel wat poorten uitgezet.
Mailserver staat wel nog aan, 25 en de ssl imap poorten, als wel als 80.
En een willekeurige symform poort
Fingers crossed
Ik had een tijdje poort 5000/5001 aan, wat natuurlijk niet zo slim was. Met het idee die moet ik veranderen.
SSH heb ik al jaren op een andere poort. Ik heb een andere linuxserver draaiend gehad, als je daar ziet in de logging wat er dagelijks aanklopt als je poort 22 naar buiten zichtbaar hebt, wordt je akelig. Maar goed, die staat nu ook dicht, gebruikt ik toch nauwelijks. En via een VPN op mijn router gaat het ook prima.
Jan
Bericht door: TonVH op 06 augustus 2014, 10:53:24
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
Nooit uit gehad. In het ergste geval installeer ik gewoon alles weer vanaf scratch. Zal een dagje kosten maar gaat automatisch. Gewoon kwestie van volledige backup hebben.
Daarnaast zet ik geen (onnodige) poorten 1:1 naar buiten open. Wordt door router (indien nodig) omgezet naar juiste. Ook geen DNS van Synology dat voorkomt ook weer ellende.
Bericht door: Robert Koopman op 06 augustus 2014, 10:56:13
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
Niet eens uit gehad.
Mijn hoofd NAS kan/mag eigenlijk niet uit en ik vertrouw maar op mijn backup....
Als ik mijn films en TV-series kwijt raak (10-13TB) dan heb ik pech omdat ik dat echt niet backup.
Bericht door: damonnk op 06 augustus 2014, 11:04:49
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
Niet uitgehad, wel tijdelijk alle poorten dichtgezet vanaf het internet(80,443,5001,en ds cloud port die ik niet uit me hoofd weet).
Heb nu alles weer aan nu het er naar uitziet dat het om oudere versies gaat.
Wel heb ik voor 5001 (de admin interface) alleen nederland toegang gegeven, maar ik dat dit nog minder maken met alleen mijn eigen netwerken.
Bericht door: Internetter op 06 augustus 2014, 11:07:56
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
Nooit uitgezet, wel mijn externe toegang voor nu volledig uitgeschakeld. Als er een oplossing is dan zet ik mijn inlog via een VPN verbinding pas weer aan.
Bericht door: Ben(V) op 06 augustus 2014, 11:12:45
Geen poorten open.
Alles wat ik van buiten af moet wil doen, doe ik via een VPN verbinding die ik opzet met mijn router.
Blijf het onbegrijpelijk vinden dat mensen de admin poorten (5000/5001) en andere poorten zomaar open zetten naar het internet.
Ik kan begrijpen dat als je een mailserver of een webserver draait je er niet omheen kunt de desbetreffende poorten open te zetten, maar al andere zaken zijn via VPN te regelen. Het enige nadeel is dat je twee keer in moet loggen (1x in je VPN en 1x in je NAS).
Bericht door: Eddiexbmw op 06 augustus 2014, 11:55:11
vroeg me alleen nog iets af: mijn back draait op een usb schrijf die aan de nas hangt. Wordt die ook geencrypt als ze binnenkomen. Met andere woorden hoe weet ik zeker dat mijn back-up wel veilig is?
Bericht door: Briolet op 06 augustus 2014, 11:58:53
Synolocker heeft een Trade Mark?
Dat viel me ook op. Dan kan een ander zijn verdienste niet inpikken door ook een SynoLocker™ te schrijven. En als dat gebeurt kan hij een rechtszaak beginnen wegens het gebruik van zijn geregistreerde naam. ????
……Ergens heb ik het gevoel dat hier iets niet logisch is. :lol:
Bericht door: RAT op 06 augustus 2014, 12:02:15
Ik wil hem wel weer aan zetten, maar wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!
Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ? ja...Ik ben een leek op dit gebied :lol:
Bericht door: Briolet op 06 augustus 2014, 12:05:41
Citaat van: Eddiexbmw link=topic=19646.msg119894#msg119894 date=1407318911mijn back draait op een usb schrijf die aan de nas hangt. Wordt die ook geencrypt als ze binnenkomen. [/quote
Een USB disk is voor de NAS gewoon een extra share dus die zal gewoon mee ge-encrypt worden. Op het engelse forum stond al een opmerking: Nas encrypted… backup encrypted…
Het is beter een backup te hebben die alleen tijdens het backuppen gemount wordt. En gedurende die tijd kan het nog mis gaan.
Bericht door: SPiET op 06 augustus 2014, 12:12:17
Heb een DS413 is dit dan deze file
synology_qoriq_413.pat 10-Jun-2014 06:39 2.6M
via de site http://ukdl.synology.com/download/criticalupdate/update_pack/4493-1/
Dit staat er ook tussen
synology_88f6282_413..> 10-Jun-2014 06:39 2.0M
maar dit is voor de 413j
Of kan je gewoon de laatste update (#3) dl en zo update 1 & 2 automatisch ook hebben? Of alledrie afzonderlijk?
Bedankt
Bericht door: Dokman op 06 augustus 2014, 12:34:24
http://www.bright.nl/ontsleutelen-bestanden-die-door-cryptolocker-zijn-gegijzeld
http://www.synology-forum.nl/firmware-algemeen/update-mbt-synolocker/msg119907/#msg119907
Bericht door: Nazgul op 06 augustus 2014, 12:36:55
Bericht door: Babylonia op 06 augustus 2014, 12:43:38
Of heeft men een vergissing gemaakt met de naam?
"Synolocker" heeft expliciet betrekking op NAS'sen van "Synology"
Bericht door: kuba op 06 augustus 2014, 13:09:58
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
is niet uit geweest...... :D
Bericht door: Hofstede op 06 augustus 2014, 13:11:47
Bericht door: iwan073 op 06 augustus 2014, 13:13:00
Bericht door: Dokman op 06 augustus 2014, 13:20:10
wel even mijn externe harddisk opgehaald even backup maken en dan nog een backup.
1 Harddisk hier en 1 ergens anders en die wissel ik om de zoveel tijd om.
heb wel mijn poort naar buiten verandert. was altijd 6000 heb er maar wat anders van gemaakt.
hoop alleen niet dat ze via de laptop er op komen
Bericht door: Ben(V) op 06 augustus 2014, 13:28:22
De FBI heeft die bende die daar mee bezig was wel opgejaagd, maar dat botnet is natuurlijk gewoon blijven bestaan.
Het zou dus goed kunnen dat de verspreiding van deze synolocker via datzelfde botnet gaat en dus afkomstig is van een PC binnen het LAN.
Een extra scan van je virusscanner op je PC zou dus ook geen kwaad kunnen.
Bericht door: whoopi op 06 augustus 2014, 13:29:54
Toch maar weer de ham vraag.
hebben jullie de nassen al weer aanstaan???
Sinds gisteravond draait ie van mij weer. Na het bericht van Synology dat de versie + 5.0 beschermd moest zijn, heb ik de aan knop maar weer ingedrukt. :D
Bericht door: sciurius op 06 augustus 2014, 13:52:07
Bericht door: Handige Harry op 06 augustus 2014, 13:55:49
Lijkt goed nieuws
Bericht door: SPiET op 06 augustus 2014, 13:56:40
Dear customer,
Thank you for contacting us. We appreciate your continued patience and support during this time.
According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:
1. Follow the steps in this tutorial to reset your DiskStation:
http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here:
http://www.synology.com/download
3. Once DSM has been re‐installed, we would recommend you to backup your data to other location as soon as you can first. Then remove and create the new volume.
4. Log in and restore your backup data.
#2 Stop the ransomware from encrypting more files
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can
1) contact us for information about the already encrypted data, or
2) delete the volume and the encrypted files stored on it.
Please confirm if you would like us to stop the ransomware from encrypting more files, and we’ll have your DiskStation working again as soon as possible.
According to our investigation, the ransomware only affects outdated versions of DSM (your DSM is 4.3.3810). No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
Weet er iemand of in de laatste DSM 5.0 4993 , deze die je afhaalt van de site van Synology of de updates daar ook in zitten of moet je ze allemaal afzonderlijk dl? (manueel of auto)?
Bericht door: Handige Harry op 06 augustus 2014, 14:00:10
En dan is dsm 5.0 ook besmet, dus het kan wel. Maar als je al 5.0 draait ben je er schijnbaar niet gevoelig voor.
Verstuurd van mijn GT-I9300
Bericht door: RAT op 06 augustus 2014, 14:03:01
Gelukkig geen melding van de Hack ::)
Ik had een tijd geleden in Task Schedular aangegeven dat de NAS om 1 uur s nachts uit moest gaan, en s morgens om 6 uur weer aan, maar dat had ik maanden terug al uitgezet, en sindsdien stond hij dag en nacht aan.
zie screenshot...zou dit na de update naar 5.0 update3 vorige week weer kunnen zijn aan gegaan ???
Bericht door: Erwin1 op 06 augustus 2014, 14:04:27
Bericht door: RAT op 06 augustus 2014, 14:07:27
Power on staat nu toch aangevinkt? Dus is het toch gebruikelijk dat hij opstart?
Maar dat heb ik uitgezet maanden terug...vreemd...
Maar ik snap nu dus wel waarom hij is opgestart :-)
Omdat hij sinds die tijd niet meer is uit geweest, heb ik er denk ik niks van gemerkt :-)
Bericht door: RAT op 06 augustus 2014, 14:10:06
Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!
Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ? ja...Ik ben een leek op dit gebied
Bericht door: Goner op 06 augustus 2014, 14:18:55
Kan ik aan nemen dat ik nu veilig ben ?Als je op DSM 5.0 4493 zit en niet recent pas hebt ge-upgrade van 4.3 zit je redelijk veilig (voor zover je op Internet veilig kunt zijn)
Citaat
Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.Ik heb die poorten gewoon open gehouden, kan me niet voorstellen dat ze daar wat me kunnen (totdat natuurlijk iets soortgelijks voor Transmission of zo gevonden wordt)
Citaat
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?Als je van buiten op je NAS wilt via DSM of FileStation moet je die poorten openhouden. Voor de veiligheid kun je aan de 'buitenkant' (router) een ander nummer verzinnen en dat forwarden naar ej NAS, kans dat je gescand wordt is dan een stuk kleiner.
Bericht door: SPiET op 06 augustus 2014, 14:18:58
Kan ik aan nemen dat ik nu veilig ben ?
Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!
Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ? ja...Ik ben een leek op dit gebied
Voor de login pagina staat die bij andere NAS standaard op 5000 (en https op 5001) dus word er aan gedacht dat ze zo de nassen kunnen traceren en aan te vallen.
Als je die poort via DSM verandert naar een willekeurig andere poort is het voor hen veel moeilijker om de poort te weten (via webservices , http in DSM configuratie)
Bericht door: Hofstede op 06 augustus 2014, 14:19:53
Bericht door: Erwin1 op 06 augustus 2014, 14:23:09
Kan ik aan nemen dat ik nu veilig ben ?
Ik wil wel graag weten of ik bepaalde dingen moet uit of aan zetten/vinken in de diverse menu's !?!
Een vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?
En waar zijn die poorten eigenlijk voor bedoeld ? ja...Ik ben een leek op dit gebied
Voor de login pagina staat die bij andere NAS standaard op 5000 (en https op 5001) dus word er aan gedacht dat ze zo de nassen kunnen traceren en aan te vallen.
Als je die poort via DSM verandert naar een willekeurig andere poort is het voor hen veel moeilijker om de poort te weten (via webservices , http in DSM configuratie)
Ik heb die poorten veranderd, maar ik liep ook tegen de lamp dat alle apps niet meer werkte ::)
Bericht door: Briolet op 06 augustus 2014, 14:24:48
Ik lees ook veel over de 5000/5001 poorten...staan die standaard open…
Standaard staan ze in de nas open en is de firewall uit. Maar normaal zijn die poorten niet vanuit het internet naar je nas geforward, dus is er nog niet zo veel aan de hand. Maar als je bij installatie te snel overal Okay klikt zonder te weten waar je toestemming voor geeft, kan het zijn dat je ze zelf, via UPnP, open gezet hebt.
De poorten 5000/5001 zijn voor het inloggen op alle instellingen. Als je familie toegang tot autiostation, filestation oid. wilt geven kun je beter alleen de specifieke poorten voor die features gebruiken en forwarden, maar niet de poorten waarmee je echte dingen op de nas kunt aanpassen.
Via de menus achter poort 5000/5001 kun je na een inlog op een admin account via package center een voorbereid malware package installeren, ook zonder dat je expliciete root toegang hebt.
Bericht door: RAT op 06 augustus 2014, 14:26:00
Kan ik aan nemen dat ik nu veilig ben ?Als je op DSM 5.0 4493 zit en niet recent pas hebt ge-upgrade van 4.3 zit je redelijk veilig (voor zover je op Internet veilig kunt zijn)CitaatEen vriend van me heeft toen ik de NAS had gekocht even wat poorten geforeward, voor bv torrents en newsgroepen, ik hoop dat die poorten geen kwaad kunnen, want die downloads zijn voor mij toch wel 1 vd belangrijkste redenen waarom ik de NAS heb.Ik heb die poorten gewoon open gehouden, kan me niet voorstellen dat ze daar wat me kunnen (totdat natuurlijk iets soortgelijks voor Transmission of zo gevonden wordt)CitaatIk lees ook veel over de 5000/5001 poorten...staan die standaard open, en moeten die dicht worden gedaan ?Als je van buiten op je NAS wilt via DSM of FileStation moet je die poorten openhouden. Voor de veiligheid kun je aan de 'buitenkant' (router) een ander nummer verzinnen en dat forwarden naar ej NAS, kans dat je gescand wordt is dan een stuk kleiner.
Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)
Bericht door: damonnk op 06 augustus 2014, 14:26:49
- Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
- Two factor authentication aanzetten op dat nieuwe account
- Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland
Bericht door: RAT op 06 augustus 2014, 14:30:18
RAT, als je het nog niet gedaan hebt kan je altijd nog een paar extra dingen doen(Dit is ten overvloede misschien maar toch)
- Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
- Two factor authentication aanzetten op dat nieuwe account
- Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland
Ga ik proberen, moet dan wel ff uitzoeken hoe dat allemaal werkt :-)
Ik hoop dat ik op tijd was ge-upgrade, want ik had wel een paar rare dingetjes:
zie:
http://www.synology-forum.nl/firmware-algemeen/dsm-update-naar-5-0-verstandig/30/
Bericht door: Erwin1 op 06 augustus 2014, 14:30:33
Bericht door: damonnk op 06 augustus 2014, 14:34:18
RAT, als je het nog niet gedaan hebt kan je altijd nog een paar extra dingen doen(Dit is ten overvloede misschien maar toch)
- Nieuw account aanmaken en die admin rechten geven en admin account uitzetten
- Two factor authentication aanzetten op dat nieuwe account
- Firewall aanpassen zodat alleen bekende ip's bij 5001 mogen komen of bijvoorbeeld alleen ip's uit nederland
Ga ik proberen, moet dan wel ff uitzoeken hoe dat allemaal werkt :-)
Ik hoop dat ik op tijd was ge-upgrade, want ik had wel een paar rare dingetjes:
zie:
http://www.synology-forum.nl/firmware-algemeen/dsm-update-naar-5-0-verstandig/30/
De eerste 2 staan hier beschreven
http://www.synology.com/en-us/support/tutorials/615 (http://www.synology.com/en-us/support/tutorials/615)
Bericht door: Björn op 06 augustus 2014, 14:39:30
Het decrypten is dus in ieder geval wel echt mogelijk.
[attachimg=1]
[attachimg=2]
Bericht door: Goner op 06 augustus 2014, 14:41:58
Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)Van welke versie ?? Zat je nog op 4.3 vorige week ?
Want dat kan al te laat geweest zijn als ik de berichten zo eens lees ...
Het decrypten is dus in ieder geval wel echt mogelijk.Niet voor Synolocker, alleen voor Cryptolocker ; da's wat anders. Tenzij er betaald is ...
Bericht door: RAT op 06 augustus 2014, 14:47:48
Ik had heel toevallig vorige week ge-update....misschien had ik een voorgevoel :-)Van welke versie ?? Zat je nog op 4.3 vorige week ?
Want dat kan al te laat geweest zijn als ik de berichten zo eens lees ...Het decrypten is dus in ieder geval wel echt mogelijk.Niet voor Synolocker, alleen voor Cryptolocker ; da's wat anders. Tenzij er betaald is ...
Ja, was pas vorige week...maar alles lijkt normaal te werken...
Ik ben nu admin. aan het wijzigen in nieuwe naam :-)
Bericht door: Björn op 06 augustus 2014, 14:49:00
Citaat
Ik moest in 1 geval het losgeld wel betalen aangezien de offline backup ook al grotendeels was gecodeerd.
Het is ongelooflijk goed opgezet. Zelfs een helpdesk die zeer snel reageert (communicatie via Bitmessage).
Als het geen criminelen waren zou je zeggen wat een goede service.
Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key. Nou moet je criminaliteit niet belonen, maar als je nou een bedrijf hebt en op hete kolen zit is dit wellicht toch goed nieuws.
Bericht door: Goner op 06 augustus 2014, 14:50:38
Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key.Tsja, als ze geen key zouden geven en dat nieuws verspreidt zich, dan betaalt er niemand meer ... het zijn wel criminelen, maar ze weten van zaken-doen :evil:
Bericht door: damonnk op 06 augustus 2014, 14:54:25
Antwoord van klant:
Ik moest in 1 geval het losgeld wel betalen aangezien de offline backup ook al grotendeels was gecodeerd.
Het is ongelooflijk goed opgezet. Zelfs een helpdesk die zeer snel reageert (communicatie via Bitmessage).
Als het geen criminelen waren zou je zeggen wat een goede service.
Voor een bedrijf is 350~400 euro waarschijnlijk een stuk goedkoper dat je bestanden kwijt zijn.
Mooi moment om ook je backup methode zo in te richten dat als het gebeurd je niet de encrpyed files synced en de oude weg zijn :D
Deze klant heeft dus in ieder geval wel betaald, en kennelijk krijg je dan ook echt de decryption key. Nou moet je criminaliteit niet belonen, maar als je nou een bedrijf hebt en op hete kolen zit is dit wellicht toch goed nieuws.
Bericht door: SPiET op 06 augustus 2014, 15:14:45
"my brother ds was one of the infected ones. after he installed now the dsm5, and with the locked files still there, he tryed to view some of the affected movies in the media center on the living room, and voilá, they still work loool."
moeten mensen es testen die geinfecteerd zijn.
Bericht door: Ben(V) op 06 augustus 2014, 16:03:49
Dat zou mij in ieder geval wel opvallen.
Bericht door: GerardR op 06 augustus 2014, 16:08:46
http://www.bright.nl/ontsleutelen-bestanden-die-door-cryptolocker-zijn-gegijzeld
Ik hoop dat het hen ook lukt voor synolocker!!!
Bericht door: Hofstede op 06 augustus 2014, 16:11:45
Bericht door: SPiET op 06 augustus 2014, 16:19:40
Bedankt
Bericht door: Goner op 06 augustus 2014, 16:22:24
Daar staan alle gelukte en mislukte logins ...
Kan nu even niet met Putty op m'n NAS (heb SSH maar even dicht gezet) maar misschien werkt 'netstat'.
Code: [Selecteer]
netstat -an | grep ESTABLISHED(Webalizer logt alleen verkeer via Web Services, http port 80 dus)
Bericht door: GerardR op 06 augustus 2014, 16:25:59
Waar kan je de info vinden in DSM 5.0 ivm inkomende verbindingen enz? Om te zien of er iemand verbinding probeert te maken met je DS?kijk eens naar het pakket webalizer van Synology.
Bedankt
wel even in /volume1/web/webalizer een htaccess bestand opnemen met
deny from all
allow from 192.168.xx. (intern ip adres)
anders kan iedereen meekijken.
Bericht door: Björn op 06 augustus 2014, 16:27:28
Tja ik zat me al af te vragen. Een paar Tb aan data encrypten, daar doe je met een NAS toch wel een paar dagen over met 100% cpu belasting.Ik ving ook weer ergens op dat alleen bestanden tot 5MB encrypted zijn. Kan complete onzin zijn, maar zou wel logisch zijn. Daarmee pak je al gauw de belangrijkste bestanden en voorkom je dat je films gaat encrypten die toch simpel opnieuw te downloaden zijn.
Dat zou mij in ieder geval wel opvallen.
Bericht door: Briolet op 06 augustus 2014, 16:37:30
Bericht door: Remy89 op 06 augustus 2014, 16:39:11
Ik ving ook weer ergens op dat alleen bestanden tot 5MB encrypted zijn. Kan complete onzin zijn, maar zou wel logisch zijn. Daarmee pak je al gauw de belangrijkste bestanden en voorkom je dat je films gaat encrypten die toch simpel opnieuw te downloaden zijn.
Zit een stukje logica in. Ook als je kijkt naar de post van SPiet (bovenaan) reactie #240 staat dat een film het nog gewoon doet.
Bericht door: StefaanD op 06 augustus 2014, 16:40:18
Bericht door: HenkdeGans op 06 augustus 2014, 17:17:30
Ik had DSM 4.3.3810 en heb die gisteren naar 5.0.4493 update 3 gebracht.
Volgens mij werkt alles nog naar behoren, maar zie wel dat als ik in het DSM bezig ben, mijn processor met 98 procent bezig is!
Is dat normaal, of ga ik spoken zien ;-)
Bericht door: damonnk op 06 augustus 2014, 17:20:11
Als het synosync is (dacht dat dit hem was) dan kan het zijn dat je te laat bent
Bericht door: SPiET op 06 augustus 2014, 17:25:35
Enige manier denk ik volgens mij is via Putty inloggen op je NAS met admin, via SSH of Telnet en dan moet je een bepaald commando uitvoert nadat je ingelogd bent:
ps | grep synosync | grep -v grep
geeft Putty niets terug na het ingeven van dit commando, dan mag je zeker zijn dat synosync niet draait op je NAS en je nog veilig bent.
Bericht door: HenkdeGans op 06 augustus 2014, 17:35:15
Nu weer opgestart, en nu is de processor rustig (25%).
Zal het vanavond eens in de gaten houden!
Ik zie ook geen proces synosync in de resource manager.
Bericht door: Briolet op 06 augustus 2014, 18:06:12
De ransomware kan ook het process synosync hidden maken…
…via SSH of Telnet en dan moet je een bepaald commando uitvoert nadat je ingelogd bent…
Nadat je bent ingelogd ben je volgens mij al klaar. De synolocker blokkeert poort 22 en 23, dus als je kunt inloggen weet je al genoeg. ;)
Bericht door: Handige Harry op 06 augustus 2014, 18:53:18
Dan zou er toch ook bijna geen mogelijkheid zijn om geïnfecteerd te raken via het Internet. Ongeacht het poort 22, 5000 of 5001 is.
Mits dit lek ook via Internet op te lopen is.
Of zit ik nu helemaal mis?
Bericht door: Hofstede op 06 augustus 2014, 19:01:59
Bericht door: TonVH op 06 augustus 2014, 19:32:03
Kijk in de resource manager onder process wat er zo druk is....
Als het synosync is (dacht dat dit hem was) dan kan het zijn dat je te laat bent
je kunt het wel beëindigen als je nog via SSH kunt inloggen als terminal.
Bericht door: Hofstede op 06 augustus 2014, 19:43:38
Bericht door: xbmc op 06 augustus 2014, 20:21:44
dus de stappen die ik moet volgen zijn weg en hoor ik geen code ofzo ook te zien? want als ik de betaling moet doen, dan horen de hackers toch ook te weten wie het geld heeft overgemaakt?
kan iemand mij aub helpen? ik wil de betaling gaan doen..
Bericht door: xbmc op 06 augustus 2014, 20:22:26
Bericht door: Birdy op 06 augustus 2014, 20:38:15
Hier had uw reclame kunnen staan.Wat bedoel je hiermee ?
Bericht door: Handige Harry op 06 augustus 2014, 20:41:54
Bericht door: wubbert op 06 augustus 2014, 22:02:41
ik had 4,3 en ben ook gehacked.... heb met een anderre HDD in de nas een nieuwe instalatie gedaan naar 5.0
en toen de oude schijven terug geplaatst !en een migratie gedaan....
ben nu al 2 dagen bezig....alles is weer zichtbaar alleen alle foto's / .mp3's zijn niet meer te openen (lijken dus versleuteld te zijn.)
ben de wanhoop al een beetje nabij , muziek kan ik opnieuw rippen, maar babyfoto's van m'n dochter krijg ik zo nooit meer terug...
hoe kan ik de code en de URL terug krijgen en evt betalen...of in contact komen met de hackers?!?!?
Groet,Wubbert
Bericht door: JSSL op 06 augustus 2014, 22:03:19
overigens werkt de site http://cypherxffttr7hho.onion niet met een tor browser, iemand ook dezelfde probleem die dit ervaart?
Klopt, ik lees ook op tweakers dat deze site uit de lucht is. En je persoonlijke code hoort op de pagina bij je DSM te staan. Dus ik vermoed dat de server van de hacker(s) eruit ligt.
Bericht door: damonnk op 06 augustus 2014, 22:04:44
Hier had uw reclame kunnen staan.Wat bedoel je hiermee ?
Ik denk dat Jurgen zijn tapatalk bericht heeft aangepast :)
Bericht door: wubbert op 06 augustus 2014, 22:05:52
Klopt, ik lees ook op tweakers dat deze site uit de lucht is. En je persoonlijke code hoort op de pagina bij je DSM te staan. Dus ik vermoed dat de server van de hacker(s) eruit ligt.
[/quote]
dus al ben je in staat te betalen , krijg je nooit meer je data terug??!!? :oops:
Bericht door: JSSL op 06 augustus 2014, 22:07:51
Klopt, ik lees ook op tweakers dat deze site uit de lucht is. En je persoonlijke code hoort op de pagina bij je DSM te staan. Dus ik vermoed dat de server van de hacker(s) eruit ligt.
dus al ben je in staat te betalen , krijg je nooit meer je data terug??!!? :oops:
[/quote]
Zolang die website uit de lucht is, lijkt mij zelfs betalen niet mogelijk, laat staan contact krijgen met de hacker(s).
Bericht door: TonVH op 07 augustus 2014, 08:21:17
Ik denk dat Jurgen zijn tapatalk bericht heeft aangepast :)Hier had uw reclame kunnen staan.Wat bedoel je hiermee ?
Ze zouden de gratis versie van Tapatalk wereldwijd moeten verbieden/blokkeren. Als je iets frequent gebruik, koop het dan en ben je (en anderen) verlost van reclames.
Bericht door: Handige Harry op 07 augustus 2014, 08:54:28
Bericht door: GerardR op 07 augustus 2014, 09:13:12
Want? Wat bedoel je daar nou mee? Betaal jij voor de lucht die je in ademt?Wat moet ik met al deze non informatie die niets met het onderwerp te maken hebben?
Maak er geen babbelbox van!
Bericht door: Handige Harry op 07 augustus 2014, 09:20:00
Bericht door: GreyForceOne op 07 augustus 2014, 09:31:45
Dear Synology users,
We would like to inform you that a ransomware called "SynoLocker" is currently affecting some Synology NAS users. This ransomware locks down affected servers, encrypts users’ files, and demands a fee to regain access to the encrypted files.
We have confirmed that the ransomware only affects Synology NAS servers running older versions of DiskStation Manager by exploiting a security vulnerability that was fixed and patched in December, 2013.
Affected users may encounter the following symptoms:
When attempting to log in to DSM, a screen appears informing users that data has been encrypted and a fee is required to unlock data.
Abnormally high CPU usage or a running process called “synosync” (which can be checked at Main Menu > Resource Monitor).
DSM 4.3-3810 or earlier; DSM 4.2-3236 or earlier; DSM 4.1-2851 or earlier; DSM 4.0-2257 or earlier is installed, but the system says no updates are available at Control Panel > DSM Update.
If you have encountered the above symptoms, please shutdown the system immediately and contact our technical support here: https://myds.synology.com/support/support_form.php
If you have not encountered the above symptoms, we strongly recommend downloading and installing DSM 5.0, or any version below:
DSM 4.3-3827 or later
DSM 4.2-3243 or later
DSM 4.0-2259 or later
DSM 3.x or earlier is not affected
You can manually download the latest version from our Download Center and install it at Control Panel > DSM Update > Manual DSM Update.
If you notice any strange behavior or suspect your Synology NAS server has been affected by the above issue, please contact us at security@synology.com.
We sincerely apologize for any problems or inconvenience this issue has caused our users. We’ll keep you updated with the latest information as we continue to address this issue.
Thank you for your continued patience and support.
Sincerely,
Synology Development Team
Bericht door: Björn op 07 augustus 2014, 09:33:29
Bericht door: TonVH op 07 augustus 2014, 09:41:10
@GerardR dan moet die bij TonVH zijn. Die begint er over, dus niet ik.
Dan moet je e.e.a. toch eens beter gaan volgen.
Bericht door: damonnk op 07 augustus 2014, 09:43:35
Bericht door: Nazgul op 07 augustus 2014, 09:44:05
Kan iedereen nu even ophouden over Tapatalk in dit topic? Die discussie mag elders gevoerd worden.Nou het liefst via pm dan graag.
Bericht door: damonnk op 07 augustus 2014, 09:55:29
Misschien dat tools zoals Foremost ook wel kunnen helpen.
Deze tools kunnen helpen omdat bij het encrypten de oude files worden verwijderd en dus de datablokken nog wel op disk staan.
Dit is natuurlijk wel afhankelijk van hoeveel ruimte je nog over had en hoeveel er daarna nog op de disk is geschreven.
Kan me goed voorstellen dat mensen die foto's kwijt zijn en niet meer de mogelijkheid hebben om te betalen dit nog wat foto's terug kan halen.
Met foremost heb ik enige ervaring en het is me vaak gelukt files te recoveren voor vrienden die "foutjes" hadden gemaakt.
Zelfs van disken die opnieuw geformateerd waren. Je krijgt alleen de originele filenamen niet terug.
Bericht door: Hofstede op 07 augustus 2014, 10:05:59
Bericht door: damonnk op 07 augustus 2014, 10:22:10
Proberen kan geen kwaad als je er de tijd in wilt steken.
Bij sommige mensen is ook een backup site encrypted geraakt omdat ze syncen.
Daar heeft het zeker nut.
Bericht door: TonVH op 07 augustus 2014, 10:26:47
Bericht door: Briolet op 07 augustus 2014, 10:34:49
Daar kan dus nooit een Synolocker sleutel tussen zitten want hun server waar de sleutels staan is nog onbekend. Maar wie weet, duiken over een half jaar ook nog ergens Synolocker sleutels op. En dan maar hopen dat je de schijf inmiddels al niet geformatteerd hebt.
Bericht door: Remy89 op 07 augustus 2014, 10:54:29
Maar wie weet, duiken over een half jaar ook nog ergens Synolocker sleutels op. En dan maar hopen dat je de schijf inmiddels al niet geformatteerd hebt.
Laten we het hopen. Wat je dan als gebruiker kan doen (als er tenminste belangrijke data voor je opstaat) is de schijf vervangen en de versleutelde schijf ergens wegleggen. 'N schijfje kost tegenwoordig niet heel veel meer. En later, mochten de sleutels bekend raken kun je hem altijd nog unlocken.
Bericht door: Hofstede op 07 augustus 2014, 10:58:10
Bericht door: m4v3r1ck op 07 augustus 2014, 11:06:03
Maar wie weet, duiken over een half jaar ook nog ergens Synolocker sleutels op. En dan maar hopen dat je de schijf inmiddels al niet geformatteerd hebt.
Laten we het hopen. Wat je dan als gebruiker kan doen (als er tenminste belangrijke data voor je opstaat) is de schijf vervangen en de versleutelde schijf ergens wegleggen. 'N schijfje kost tegenwoordig niet heel veel meer. En later, mochten de sleutels bekend raken kun je hem altijd nog unlocken.
Super goede tip! In ieder geval een goed alternatief!
Bericht door: Jazz op 07 augustus 2014, 11:08:04
- de hackers zijn hartloze en onbetrouwbare eikels;
- hun server is mogelijk uit de lucht;
- betaling van het losgeld geeft geen enkele garanties;
- er zijn tools, maar niemand heeft daar echt ervaring mee, uit de eerste hand;
- het raakt alleen DSM versies 4.xx, hoewel er ook geruchten zijn dat 5.xx versie ook niet helemaal veilig zijn;
- als je geraakt bent, zou je kunnen 'experimenteren' met voorgenoemde tools, maar een format en herinstallatie
is eigenlijk op dit moment de enige optie;
- Synology kan helaas niets voor je doen en ze werken aan een patch.
- we houden niet van off-topic posts en al helemaal niet van reclame
Is dat het zo'n beetje?
Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000) Iemand daar wellicht een idee over? Ik heb alles dichtgezet, ssh had ik al over een andere poort laten lopen en toegang is alleen via public-private key mogelijk, dus wachtwoorden kraken heeft dan geen zin. Root toegang uiteraard uitgezet.
De accounts admin en guest staan sowieso uit. Dit lijkt me redelijk afdoende. Iemand daar een idee over?
Bericht door: Briolet op 07 augustus 2014, 11:20:27
CVE-2013-6955 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6955) en CVE-2013-6987 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6987). Dit zijn beide bugs in de webpaginas. Dus via poorten waar je deze ziet. Dat is in elk geval 5000 en 5001. Of dat ook via inlogpaginas zoals filestation of de webserver (poort 80) geldt weet ik niet maar ik denk het wel. Wie?
Bericht door: Björn op 07 augustus 2014, 11:26:10
Synology heeft overigens inmiddels contact met o.a. de FBI en gaat ook in Nederland aangifte doen. Als de daders gepakt worden is er nog een kans dat de sleutels boven water komen en dat er een tool gemaakt kan worden zoals de tool die hierboven genoemd wordt (decryptcryptolocker.com). Zonder deze sleutels is het (nagenoeg) onmogelijk om de data te herstellen.
De mail:
Citaat
Thank you for contacting us. We appreciate your continued patience and support during this time.
As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re-install DSM:
1. Follow the steps in this tutorial to reset your DiskStation: http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here: http://www.synology.com/download
3. Once DSM has been re-installed, log in and restore your backup data.
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. As resetting the DiskStation would remove the information required for decryption, we can back up the encryption information on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about retrieving the encryption information, or 2) delete the encrypted files entirely.
If you would like us to preserve the encryption information, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
1.Power off DS and take out all hard drive.
2.Power on DS without hard drives.
3.Run Synology Assistant and perform the installation using the following DSM patch below: ftp://on-line:online_user@ftp.synology.com/on-line/Tools/fake_pat/a.pat
4.Using this method, the installation will appear to fail, but Telnet service shall be open.
5.Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6.Please re-insert the hard drives into your DiskStation without rebooting and provide us the following information:
(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet
application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
23 is open)
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.
Bericht door: hoogerbeets op 07 augustus 2014, 11:30:49
(https://www.synology-forum.nl/proxy.php?request=http%3A%2F%2Fwww.f-secure.com%2Fweblog%2Farchives%2Fextensions.png&hash=a5d3e9a724766a7da1a3e0989e2470ad83e0a77e)
Je moet dat lezen dat als er .mp staat dat alle *.mp* bestanden encrypt worden.
Zo te zien zijn b.v. .mkv en .m4v en belangrijk *.png bestanden niet geencrypted.
Dus al je *.mp4 hernoemen naar *m4v en *mp3 bestanden omzetten naar *.ogg en afbeeldingen naar *.png
Dan heb je zeker minder last als je toch een infectie krijgt van SynoLocker.
Bericht door: Babylonia op 07 augustus 2014, 11:31:06
Mijn vraag blijft echter onbeantwoord: HOE komen ze binnen? Telnet? Ssh? Http? DSM (poort 5000)
Nou ja, eerder in de draad had ik er ook al een idee over, maar dan m.b.t. poort 22
Kreeg dagelijks een heel rijtje inlog-pogingen met IP's vanuit China. Na afblokken van poort 22 en uitschakelen van de service die gebruik maakt van poort 22 geen enkele meer.
Als ik de NAS niet benader is die nu in slaapmode, dus het is kennelijk echt rustig, want wordt niet door externe IP's opgestart.
Zie eerdere berichten < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119733/#msg119733), < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119768/#msg119768) en < HIER > (http://www.synology-forum.nl/firmware-algemeen/let-op-nas-hack-synolocker-actief/msg119837/#msg119837)
Bericht door: Ben(V) op 07 augustus 2014, 12:16:18
Dus ze komen binnen via de webman interface.
Toont weer eens aan dat het onverstandig is om webman vanaf het internet toe te staan.
Verder zijn het kwetsbaarheden die elke "user" de mogelijkheid geeft file's te uploaden naar je NAS. Dus ook gebruikers die geen admin authorisatie hebben om bijvoorbeeld iets in de systeem partitie te zetten.
Dus naast een webman interface die naar het internet openstaat hadden ze ook nog een username/password nodig al hoefde die geen privileges te hebben.
Ik vermoed dat ze het account "guest" hebben gebruikt dat standaard geen wachtwoord heeft.
Veel mensen zetten dat open voor bepaalde shares voor het gemak(geen username/password nodig).
Het lek is gedicht als je de juiste DSM updates hebt gedaan en het positieve van het verhaal is dat iedereen ineens weer voorzichtiger is geworden en dat de afweging gebruikersgemak versus security er een is die je in ieder geval moet maken.
Zoals ik al vaker heb betoogt, wil je je NAS beheren vanuit het internet gebruik dan een VPN.
Verder is het gebruik van een guest account altijd al af te raden, maar dat hoeft volgens mij geen betoog meer.
Een volgend lek is gewoon nog niet ontdekt maar is gegarandeerd aanwezig.
Bericht door: sciurius op 07 augustus 2014, 19:30:43
Citaat
(1)Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the TelnetWAN access via zoiets gammels als Telnet? Een certificate-only SSH zou heel wat veiliger zijn.
application:http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
(2)The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port
23 is open)
Bericht door: Hofstede op 07 augustus 2014, 20:01:18
Bericht door: sciurius op 07 augustus 2014, 20:14:00
Bericht door: Birdy op 07 augustus 2014, 21:03:20
Je installeert in feite de fake DSM (.pat), daarna kun je met Telnet (poort 23) op de NAS komen, dan komen de schijven er weer in en kun je die mounten, kijken, files aanpassen enz.
Volgens mij zit er n.l. wat standaard DSM software in de rom waaronder busybox.
Ik heb het even getest op m'n DS111 zonder HD.
Dus de procedure gevolgd en ik kreeg verbinding middels PuTTY, weet alleen niet hoe je moet inloggen :lol:
Zal wel geheim zijn.
Bericht door: JSSL op 07 augustus 2014, 23:12:28
Bericht door: Birdy op 07 augustus 2014, 23:33:24
Bericht door: JSSL op 07 augustus 2014, 23:37:05
Bericht door: Briolet op 08 augustus 2014, 09:08:31
Code: [Selecteer]
Remote Access Instructions
===============================================================
1. Standard Ports we need you to open: 23, 5000
(Please see this link on how to forward your ports, and then select the TELNET application:
http://www.portforward.com/english/routers/port_forwarding/routerindex.htm)
2. Please enable the TELNET and SSH function in Web Management of your Synology NAS. ([Network Service] > [Terminal] )
3. WAN IP Address of your Synology NAS:
[Please go to http://www.yougetsignal.com/tools/open-ports/ and check if the port is open or not]
4. A temporary password for the 'admin' account of your Synology NAS (DSM user with administrator access will NOT be sufficient):
===============================================================
Note: our static external IPs are from 118.163.30.16 and 125.227.152.103 in case you would like to set up a firewall rule to allow only our IPs to access the system.Daar staat dus geen poort 22 tussen, hoewel in de tekst wel SSH genoemd wordt. Ik heb later dit jaar nog eens deze mail gekregen en toen stond er wel
Code: [Selecteer]
Standard Ports we need you to open: 22, 23, 5000De rest van de tekst was gelijk, maar nu zonder de voetnoot met de IP adressen aan hun kant.Of ze hebben bijgeleerd, of ze hebben verschillende versies van de instructie. In elk geval is het netjes dat ze ook een bron IP vermelden zodat je expliciet alleen Synology toegang kunt geven.
@JSSL: De truck met het steeds veranderende wachtwoord, werkt niet meer. (Dat heb ik 1 jaar geleden al getest) Dat dagelijks veranderende wachtwoord was handig voor klantondersteuning door Synology, maar sinds de berekening van het wachtwoord 'op straat' ligt, moeten ze het uit DSM gehaald hebben. Nu moet je ook elke keer een tijdelijk wachtwoord maken als je ondersteuning wilt hebben. ( En als het er stiekem toch nog in zit, zullen ze het aan hun twee IP adressen gekoppeld hebben)
Bericht door: HenkdeGans op 08 augustus 2014, 10:09:31
Bericht door: Hofstede op 08 augustus 2014, 10:22:40
- zorg dat je up-to-date bent met DSM.
- zorg dat je een goede backup hebt.
En als je een bedrijf bent, van deze NAS afhankelijk bent en er zelf niet veel van weet zou ik toch iemand er naar laten kijken die er verstand van heeft. Kost misschien een paar cent maar kan je een boel ellende besparen.
Standaard staat alles dicht. Als iets openstaat naar het internet heb je het zelf opengezet ;)
Bericht door: mvrossum op 08 augustus 2014, 10:24:15
http://www.synology.com/en-us/support/tutorials/615 (http://www.synology.com/en-us/support/tutorials/615)
Mike
Bericht door: TonVH op 08 augustus 2014, 10:36:29
Zorg dat je een dubbele backup hebt van je allerbelangrijkste bestanden. Er is namelijk altijd een reëel risico dat of de 1e backup corrupt is of dat evt. ellende op de NAS gebackupped is en dan is de backup ook onbruikbaar. Alles controleren na elke backup zal niet echt realistisch zijn.
Zelf laat ik elke nacht een backup van de NAS maken (waarbij ik wijzigingen archiveer) en idem wekelijks ook weer vanaf de NAS neer een andere HD.
kost wat extra schijfruimte maar leve Raid-0 (of Jbod) om de kosten binnen de perken te houden want 2*3TB is beduidend goedkoper dan 1*6TB.
Bericht door: Babylonia op 08 augustus 2014, 11:41:12
En als je een bedrijf bent, van deze NAS afhankelijk bent en er zelf niet veel van weet zou ik toch iemand er naar laten kijken die er verstand van heeft. Kost misschien een paar cent maar kan je een boel ellende besparen.
Die expertise kan ook wel eens behoorlijk tegenvallen. Bij een collega (beroepsfotograaf) die daarvoor juist een extern bedrijfje inhuurde die om de paar maanden het hele netwerk onderhoud doet, had anderhalf jaar werk (originele fotobestanden) vernagelt omdat ze na verwisseling van een kapotte schijf in een RAID-5 NAS rack, alle schijven maar gingen formatteren (waarom?), terwijl het systeem geen automatische back-ups genereerde naar een ander systeem terwijl dat in die anderhalf jaar wel de bedoeling had moeten zijn.
Bericht door: Hofstede op 08 augustus 2014, 11:44:35
Bericht door: Remy89 op 08 augustus 2014, 11:48:13
Die expertise kan ook wel eens behoorlijk tegenvallen. Bij een collega (beroepsfotograaf) die daarvoor juist een extern bedrijfje inhuurde die om de paar maanden het hele netwerk onderhoud doet, had anderhalf jaar werk (originele fotobestanden) vernagelt omdat ze na verwisseling van een kapotte schijf in een RAID-5 NAS rack, alle schijven maar gingen formatteren (waarom?), terwijl het systeem geen automatische back-ups geneerde naar een ander systeem terwijl dat in die anderhalf jaar wel de bedoeling had moeten zijn.
Ik mag hopen dat hij daarvoor wel een dikke vette schade claim heeft gekregen! :o
Bericht door: Babylonia op 08 augustus 2014, 12:39:45
Bericht door: sciurius op 08 augustus 2014, 13:59:13
Ook serieuze cloud providers (Google, Dropbox, Microsoft, ...) vergoeden niets in geval je data bij hun verloren gaat.
Bericht door: Babylonia op 08 augustus 2014, 14:10:13
Bijv. in de fotobranche gespecialiseerde bedrijven die de chip schoonmaken van een digitale camera ken ik bedrijven (http://www.chipclean.nl/content/view/23/35/lang,nl/) die specifiek de reparatie voor vervanging van de chip vergoeden als zij onder hun verantwoordelijkheid die chip beschadigen bij het schoonmaken. Je huurt tenslotte specifiek hun expertise in om de risico's te verkleinen. Als een bedrijf niet instaat voor die risico's kun je het net zo goed zelf doen.
Als hier een aannemer komt om het zaakje te verbouwen, maar door een onhandigheid komt er een lekkage en heb ik daardoor fikse waterschade wat verder in huis, zal die aannemer ook aansprakelijk worden gesteld. En echt niet dat het gewoon mijn eigen risico zou zijn.
Bericht door: Björn op 08 augustus 2014, 14:59:13
Bericht door: Febiunz op 08 augustus 2014, 15:00:17
Ik heb deze vragen ook meteen gesteld aan de security bij Synology, dus ik ben benieuwd of er een antwoord uit die hoek komt...
Bericht door: Björn op 08 augustus 2014, 15:02:57
Bericht door: SPiET op 08 augustus 2014, 15:15:17
Kan iemand es zien of je hier nog veilig mee bent met mijn instellingen? Ook ivm andere firewall instellingen?
Bedankt!
Bericht door: Febiunz op 08 augustus 2014, 15:27:01
Volgens mij staat in die mail ook voor welke firmware versies dit geldt..
Klopt, en daar staat DSM 5 update 3 niet bij! Maar belangrijker nog: Hoe kunnen ze dan detecteren dat ik een lek heb? Terwijl ik de laatste versie van DSM al heb draaien? Ik weet dus nu niet of ik veilig ben, en ik vraag me af of iedereen deze mail heeft gekregen...
Bericht door: m4v3r1ck op 08 augustus 2014, 15:32:22
Beetje on topic graag dames en heren ::)
Ik ben een heer en wil het toch nog even over foto's hebben. Deze link is wel even goed voor ons aller lachspieren na al de vorige posts ivm de onheilstijding mbt onze zo geliefde Syno! ;D
"De Fotowinkel" ~ Koot & Bie
Tijdens mijn opleiding aan de School voor Fotografie in Den Haag werkte ik ook in een fotowinkel als bijbaantje, ik had alleen toen geen bril. :lol:
https://www.facebook.com/photo.php?v=589020481214375&set=vb.100003192842370&type=2&theater
Veel amusement en ik hoop dat de meeste van de onze forumleden de 'locker' bespaard is gebleven!!!
Fijn weekeinde allemaal!
Bericht door: Hofstede op 08 augustus 2014, 15:44:03
Bericht door: Björn op 08 augustus 2014, 16:01:35
Bericht door: Hofstede op 08 augustus 2014, 16:07:28
Bericht door: SPiET op 08 augustus 2014, 16:08:33
Zie ik iets over t hoofd of is dit goed beveiligt?
Ivm Transmission en Sab, is dit doel of bronpoort ?
Bericht door: Briolet op 08 augustus 2014, 16:13:44
Overigens zegt het niet veel of je Update 3 hebt geïnstalleerd. Er zijn vele updates 3, dus het vermelden van een versie zou handiger zijn.
Bericht door: Hofstede op 08 augustus 2014, 16:13:57
Wellicht kun je hier beter ook een ander topic voor openen?
Bericht door: m4v3r1ck op 08 augustus 2014, 16:14:12
Volgens mij gaat dit over de algemene mail die gisteren verzonden is..
Deze ontving ik vandaag om 12:16
Citaat
Dear Synology users,
We have discovered security vulnerabilities on the software currently installed on your Synology product. These vulnerabilities might result in unauthorized parties compromising your Synology product.
We strongly suggest you install the newest version of DSM as soon as possible. To do so, please visit our Download Center and download DSM 5.0-4493, DSM 4.3-3827, DSM 4.2-3250, or DSM 4.0-2263 according to your current version. Then, log in to DSM and go to Control Panel > Update & Restore > DSM Update > Manual DSM Update (for DSM 4.3 and earlier, please go to Control Panel > DSM Update > Manual DSM Update) and manually install the patch file.
For more information about security issues related to Synology products, please check our Synology Product Security Advisory page.
Running the latest version of DSM is essential to guarantee your Synology product is protected from threats fixed in previous versions. In this respect, we are no longer providing DDNS and QuickConnect services for Synology products that are running vulnerable versions of DSM. To continue enjoying Synology’s DDNS and QuickConnect service, please follow the instructions above to update your Synology product.
We apologize for any inconvenience caused by this issue. Should you encounter any further problems, please feel free to contact our technical support team.
Sincerely,
Synology Development Team
Ik zit op 5.0 - 4493.3
Bericht door: SPiET op 08 augustus 2014, 16:15:55
Ik zie niks fouts, maar waarom heb je zaken zoals netwerkprinter etc. openstaan voor België? Print je vanaf internet naar je printer?
IK denk aan bijv een file die ik benader via een Synology NAS app op mijn mobiel?
Bericht door: Hofstede op 08 augustus 2014, 16:17:52
Maar start hier a.u.b. Een apart draadje voor. :)
Bericht door: Febiunz op 08 augustus 2014, 16:23:35
Bericht door: Hofstede op 08 augustus 2014, 16:30:55
Bericht door: Björn op 08 augustus 2014, 16:47:13
Bericht door: m4v3r1ck op 08 augustus 2014, 16:53:13
Ik heb deze mail net ook gekregen op een adres dat bij MyDS geregistreerd is en waaraan alleen een NAS hangt die up to date is. Deze mail is inderdaad erg verwarrend. Ik ga even navragen bij Synology of deze mail een onhandige tekst bevat, of dat deze eigenlijk alleen bij users met outdated software had moeten aankomen.
Ik was al lang over op DSM 5.0 4493.3 - dus m.i een ZEER verwarrende 'algemene' mail. Ik dacht ook i.e.i. : "wat heb ik nu weer aan mijn Syno hangen...." :ugeek:
Bericht door: Björn op 08 augustus 2014, 16:56:14
Bericht door: m4v3r1ck op 08 augustus 2014, 16:57:16
Antwoord: dit was inderdaad een algemene mail. Onze contactpersoon begrijpt de verwarring en spreekt het marketing team die hier verantwoordelijk voor is aan. Kleine oeps in tekstkeuze..
Foutje.... Bedankt! 8)
Bericht door: SPiET op 08 augustus 2014, 17:12:50
Daarvoor hoef je de netwerkprinter en een heleboel andere zaken niet open te zetten.
Maar start hier a.u.b. Een apart draadje voor. :)
DSM heeft dit zelf toegepast wanneer ik de printer hebt geadd, tis geen netwerkprinter, printer hangt aan pc boven, nas beneden maar wel wifi.
Maar bedoeling was om naar de FW instellingen te kijken met betrekking to Synolock :)
Bericht door: Briolet op 08 augustus 2014, 17:20:37
Ik vraag me af of deze mail zin heeft. Ik heb even terug gekeken en op 17 februari jl. heb ik ook al een mailtje gehad die over dezelfde kwetsbaarheid ging. (CVE-2013-6955 and CVE-2013-6987) Toen was het de bitcoin miner die gebruik van dit lek maakte. Ik neem aan dat ze nu dezelfde database met e-mail adressen gebruiken. Dus waarom zouden de mensen nu reageren als het hun toen ook niets kon schelen?
Het probleem lijkt me meer om die mensen te bereiken die zich niet geregistreerd hebben. ::)
Bericht door: Ben(V) op 08 augustus 2014, 17:29:26
Mensen die zich niet geregistreed hebben lezen dit forum ;D
Bericht door: Handige Harry op 08 augustus 2014, 18:05:16
Zal wel wat niet goed hebben staan...
Bericht door: Birdy op 08 augustus 2014, 20:19:38
[attach=1]
Bericht door: Handige Harry op 08 augustus 2014, 20:57:19
Bericht door: Birdy op 08 augustus 2014, 21:44:55
Hiermee misschien: http://wrgms.com/synologys-secret-telnet-password/ ::)Heb het geprobeerd maar krijg niet het juiste password :(
Denk dat mijn source code in de rom een andere algoritme heeft dan die van wrgms.com en heb geen zin om dat verder uit te zoeken.
Maar wel grappig om even achter de schermen een kijkje te nemen en te weten hoe ze e.e.a. doen. ;D
Overigens, die a.pat file van Synology hoeft niet gebruikt te worden om zogenaamd te installeren om zo telnet te kunnen gebruiken.
Heb gewoon een lege a.pat gemaakt en dat werkte ook ;)
Tenzij die file, welke gewoon een ups.conf file is, iets doet met:
Code: [Selecteer]
pollinterval = 5
[ups]
driver = usbhid-ups
port = autoMaar dat lijkt mij heel sterk 8)
Bericht door: Hofstede op 08 augustus 2014, 22:11:27
Bericht door: pcraenme op 08 augustus 2014, 22:14:52
Zal het bovenste vinkje dan het probleem zijn? Heb het nu maar aangevinktIk had alles aangevinkt, maar ook de email niet gehad. Maar ik denk dat het aan de taal instelling ligt. Waarschijnlijk is de mail alleen in het Engels verstuurd. Mijn instelling stond op Nederlands, net als die van jou. Birdy heeft 'm op Engels staan.
Bericht door: Handige Harry op 08 augustus 2014, 22:16:57
Dus wat het dan wel is?
Bericht door: Hofstede op 08 augustus 2014, 22:47:48
Bericht door: Birdy op 08 augustus 2014, 22:56:54
Bericht door: Birdy op 08 augustus 2014, 22:59:42
@Birdy: Dat secret password heeft Synology kort nadat het algemeen bekend werd al verwijderd.Geeft niet, en misschien wel beter zo anders is dat misschien wel weer een lek ;) , maar het was wel even aardig om het uit te proberen, blijft een hobby, begrijp je :lol:
Bericht door: Hofstede op 08 augustus 2014, 23:02:32
Ik zou maar eens een seriële console aansluiten. Kun je mooi kijken wat er tijdens de boot allemaal gebeurt. Is ook heel verhelderend.
Bericht door: blackgoku op 08 augustus 2014, 23:10:13
Ik kan me namelijk voorstellen dat ze dan geen mail sturen :)
Bericht door: Handige Harry op 08 augustus 2014, 23:12:23
Bericht door: blackgoku op 08 augustus 2014, 23:23:43
Wel even kijken of dit achter een router (NAT) nog wel werkt.ik heb gisteren van alles geprobeerd maar bij mij werkte dit idd niet achter een router.
Aangezien NAT het source ip adres herschrijft.
Dit zou betekenen dat het alleen werkt als je de Synology rechtstreeks op het internet staat.
Leuk om even uit te zoeken :D
Oke dit werkt blijkbaar toch.
De rede waarom ik dacht dat het niet werkte was omdat ik het met de Tor browser testte van uit een ander land, maar Tor weet dus blijkbaar dat het word geblokt en zet het ip op NL zo dat ik mijn nas als nog kan benaderen waardoor ik dacht dat het niet werkte.
Eigenlijk heeft het blokken van een land ook niet zo veel zin lijkt me, of heb ik dit mis ?
Bericht door: Briolet op 09 augustus 2014, 00:08:07
Het mooie is dat de Synology producten er niet tussen staan. :lol: Of men vond die te onbelangrijk om te testen (niet waarschijnlijk) of ze konden geen lekken in vinden.
Zie ook Security.nl (https://www.security.nl/posting/398106/Groot+aantal+kritieke+lekken+in+populaire+NASsen+ontdekt)
Bericht door: JSSL op 09 augustus 2014, 01:05:21
Bericht door: Briolet op 09 augustus 2014, 09:11:57
Maar wel interessant. Op al mijn PC's zijn de cloudfolders uitgesloten in de backupsoftware omdat de inhoud toch al over meerdere harde schijven verdeeld wordt en de nas ook nog oude files bewaard.
Bericht door: JSSL op 09 augustus 2014, 10:07:08
Bericht door: sciurius op 09 augustus 2014, 14:06:22
[attach=1]
Bericht door: Birdy op 09 augustus 2014, 14:23:29
Nee hoor, niks hobby, security is een serieuze zaak. Dat blijkt uit dit topic wel ;)De hobby opmerking is volledig voor mijn rekening want mijn test was in het kader van mijn hobby/nieuwsgierigheid ;)
Ik zou maar eens een seriële console aansluiten. Kun je mooi kijken wat er tijdens de boot allemaal gebeurt. Is ook heel verhelderend.
In het kader van mijn hobby/nieuwsgierigheid ga ik misschien ook wel eens aan de slag met die seriële console. ;D
Ben uiteraard WEL eens met je stelling "security is een serieuze zaak" zowel voor de thuis gebruikers als voor bedrijven.
Bericht door: Hofstede op 09 augustus 2014, 14:26:46
Bericht door: Birdy op 09 augustus 2014, 14:34:05
O jee, misschien vraagt dit wel om commentaar 8)
Doe maar niet leden, dit wordt dan echt off topic, behalve dan: "security is een serieuze zaak"
Bericht door: Bliek op 09 augustus 2014, 15:02:48
Met de update van 4.3 naar 5.0 ging het bij mij fout, hij startte na de update niet meer op. Heb toen via een truukje de meeste bestanden kunnen redden. Door de schijven opnieuw te formatteren en een nieuwe install naar 5.0 nog geen problemen mee gehad, tot afgelopen maandag dan.
Bericht door: Nelesss op 09 augustus 2014, 15:33:42
Bericht door: Birdy op 09 augustus 2014, 15:54:29
PuTTY:
1 - Zorg ervoor dat SSH-Service aan staat: Configuratiescherm > Terminal.
2 - Download putty.exe
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
3 - Start putty.exe
4 - Geef je IP-adres van je NAS op
5 - Zorg dat SSH aangeklikt is
6 - Save....geef een naam in "Saved Sessions"
7 - Klik op Open
8 - Je krijgt Putty scherm met "login as:"
9 - Geef in: root <enter>
10 - password: <Admin password> <enter> (PS: je ziet de cursor niet verplaatsen).
Dan met het commando
Code: [Selecteer]
top kijken, hierbij wordt het proces die de meeste CPU gebruikt bovenin gezien.
Bericht door: Bliek op 09 augustus 2014, 16:32:27
Bericht door: sciurius op 09 augustus 2014, 23:05:43
Dit is dus als de NAS is opgestart terwijl de schijven er uit zijn. Dan kan de NAS op dat ogenblik alleen nog maar een simpele telnet server draaien.Is er ergens een beschrijving van hoe DSM precies werkt? Dus hoe boot het, wat komt het eerst aan de orde (bootloader, ROM/EPROM based firmware). Dan de schijven, hoe? Elke schijf heeft een partitie 1 met een (over alle schijven RAID1 gesharede) root filesystem, kennelijk het 'echte' DSM. Partitie 2 is swap. Data is partitie 5, waarom 5? Etc.
Bericht door: Birdy op 09 augustus 2014, 23:30:51
http://forum.synology.com/enu/viewtopic.php?f=39&t=11234
http://www.synology-wiki.de/index.php/Startup
Bericht door: Irene op 10 augustus 2014, 11:36:48
Heb de NAS gereset en dsm opnieuw erop gezet.
Tot zo ver geen punt.
Nu had ik verwacht dat de volumes ook leeg gemaakt zouden worden, maar dat is deels gebeurd.
Moet ik wat ik nog zie eraf halen? Of kan ik mijn backup er gewoon overheen zetten?
Of zitten er nog verminkte / encryptie bestanden op de volumes die niet zichtbaar zijn?
Ik zocht een soort formatteer prog , maar die kan ik in dsm niet vinden.
Wat moet ik doen ? ( ik heb twee eenvoudige schijven gedefineerd, dus geen raid)
Bericht door: Hofstede op 10 augustus 2014, 12:03:30
Je kunt ook een reset naar fabrieksinstelling uitvoeren via DSM.
Bericht door: Irene op 10 augustus 2014, 12:20:36
Bericht door: Birdy op 10 augustus 2014, 12:35:30
Je kunt ook een reset naar fabrieksinstelling uitvoeren via DSM.Ik ben erachter gekomen dat terug naar fabrieksinstellingen via DSM niets met je volume(s) doet (getest in 5)
Bericht door: Hofstede op 10 augustus 2014, 12:38:52
Nou ja, volumes weggooien werkt ook.
Bericht door: Irene op 10 augustus 2014, 12:42:48
Hij gaf ook aan dat config was lost.
Inmiddels heb ik alle gewijzigde cat na 1 aug 2014 verwijderd, en zet dan mijn goede backuo terug.
Moet volgens mij ook voldoen.
Of zie ik iets over het hoofd.
Anders doe ik het vanavond nog maar een keer opnieuw.
Bericht door: Robert Koopman op 10 augustus 2014, 12:52:16
Doet verder niets met het volume.
Bericht door: Hofstede op 10 augustus 2014, 12:54:38
Bericht door: Robert Koopman op 10 augustus 2014, 12:56:13
Is tenslotte een paar keer voorbij gekomen op het forum, en dat dit eigenlijk niet de bedoeling was!
Bericht door: Hofstede op 10 augustus 2014, 12:57:18
Bericht door: Hofstede op 10 augustus 2014, 12:59:26
Maar heb nu even geen zin om het te testen :)
Bericht door: Robert Koopman op 10 augustus 2014, 13:09:49
Bericht door: Irene op 10 augustus 2014, 13:10:44
Ga vanavond de schijven verwijderen via de dsm, en hopelijk lukt het dan via opslagbeheer/maken om de schijven weer opnieuw te koppelen ( schoont die m dan wel met deze actie?)
Bericht door: Handige Harry op 10 augustus 2014, 13:11:53
Bericht door: Hofstede op 10 augustus 2014, 13:16:45
In ieder geval ben je zeker alles kwijt als je via DSM de volumes weggooit en opnieuw aanmaakt. Dan kun je schoon beginnen.
Bericht door: blackgoku op 10 augustus 2014, 13:26:50
Bericht door: Birdy op 10 augustus 2014, 14:20:29
(In de mappen maar wat jpg's erin gezet.)
[attachimg=1][attachimg=2][attachimg=3][attachimg=4][attachimg=5][attachimg=6][attachimg=7][attachimg=8][attachimg=9][attachimg=10][attachimg=11][attachimg=12][attachimg=13]
Bericht door: Hofstede op 10 augustus 2014, 14:27:28
Ik denk dat Synology dit aangepast heeft omdat het verwarring veroorzaakte en afweek van de reset-knop procedure.
Bedankt voor het testen.
Bericht door: Birdy op 10 augustus 2014, 14:27:42
Dit was niet het geval in het begin van DSM5 (kan ik mij nog herinneren) dus, in 1 van de 3 updates is dit gewijzigd, alhoewel, niet in 3 omdat ik dit al in update 2 had ontdekt. ;)
Bericht door: Birdy op 10 augustus 2014, 14:28:35
Citaat
Toch was er recent nog een topic waarin iemand al zijn data kwijt was, tegen zijn verwachting in.Klopt helemaal :!:
Bericht door: Hofstede op 10 augustus 2014, 14:30:00
Bericht door: blackgoku op 10 augustus 2014, 14:38:31
Overigens had een keer iemand van uit DSM zijn nas gereset en dacht dat de data behouden bleef, maar omdat hij ongeduldig was trok hij onder het proces de stekker van de nas uit het stopcontact waardoor er maar 1 schijf was gewist en op de andere schijf alle data behouden bleef.
Bericht door: Birdy op 10 augustus 2014, 14:47:45
Kan natuurlijk ook zijn dat het wissen van de data nooit de bedoeling was van Synology en dat dit één van de bugs is die ze gefixt hebben.Of het is juist nu een bug dat er niet gewist wordt? :S
Als het de bedoeling is om niet te wissen dan moeten ze de text in de app, help en handleiding wijzigen.
Overigens, zoals het nu gaat, dus niet wissen, vind ik persoonlijk de beste optie, volumes niet wissen en dit aan de gebruiker overlaten b.v. volume(s) verwijderen na een backup.
En.....het valt mij op dat die gedeelde mappen ook nog bekend zijn in:
[attachimg=1]
En dat zijn toch DSM (root) data die dan kennelijk eerst worden saved en later, na de volledige nieuwe installatie van DSM, weer worden teruggezet.
Dan is het bewust gedaan en niet een bug 8)
Bericht door: Birdy op 10 augustus 2014, 14:51:25
Overigens had een keer iemand van uit DSM zijn nas gereset en dacht dat de data behouden bleef, maar omdat hij ongeduldig was trok hij onder het proces de stekker van de nas uit het stopcontact waardoor er maar 1 schijf was gewist en op de andere schijf alle data behouden bleef.Daar kan je natuurlijk geen taart van bakken, als de stekker eruit wordt getrokken tijdens zo'n belangrijk proces, daarvan weet niemand de gevolgen, die weet je alleen achteraf en heeft geen recht tot klagen ;)
Bericht door: Hofstede op 10 augustus 2014, 14:53:18
Bericht door: Birdy op 10 augustus 2014, 14:57:05
Als iemand besluit om een dergelijk proces te starten is een backup maken van de (belangrijkste) data een must :!:
Je doet immers ALLES op eigen risico/verantwoording.
Loopt het mis EN geen backup, dan moet die persoon niet zitten klagen.
Spreekt toch voor zich ?
Bericht door: blackgoku op 10 augustus 2014, 15:00:51
Overigens zit er een bug in SMB als ik via windows verkenner en dan netwerk mijn nas benader zie ik alle mappen, ook de mappen waar de gebruiker geen rechten over heeft.
Ik heb aangevinkt ''mappen en bestanden verbergen voor gebruikers zonder machtigingen''
Ook is het zo dat als ik in de gebruikersgroep ''users'' een map aanvinkt op ''geen toegang'' dat dan een gebruiker die lid is van de groep ''administrators'' en op de zelfde map lezen/schrijven aangevinkt is, hij niet meer in die ene map kan.
Ook is het zo dat als je de map Homes aanvinkt voor bepaalde gebruikers op ''geen toegang'' de mail voor die gebruikers ook niet meer werkt vanuit mailstation.
Bericht door: Birdy op 10 augustus 2014, 15:01:24
Klinkt onlogisch voor mij ervan uitgaande dat het de bedoeling was om ALLES te verwijderen bij die bewuste optie.
Maar goed, het werkt nu zoals het werkt.
Blijft uitkijken dus met wat je doet en zie mijn laatst reactie ;)
Bericht door: GerardR op 10 augustus 2014, 15:01:29
Bericht door: Birdy op 10 augustus 2014, 15:04:30
Dat heeft verder niet te maken met deze Topic, lijkt mij.
Als je dit verder wilt bespreken dan graag een nieuwe Topic maken of gelijk Tickets inleggen bij Synology als het inderdaad bugs zijn. ;)
Bericht door: Hofstede op 10 augustus 2014, 15:10:04
Nu lijkt het er op dat de data volumes niet worden gewist. Na herinstallatie van DSM vindt DSM de nog bestaande data volumes en maakt er gebruik van. Klinkt mij niet onlogisch in de oren toch?
Maar ik denk dat de enige mogelijkheid om er achter te komen is navraag te doen bij Synology of de data nu wel of niet gewist moet worden.
Bericht door: Birdy op 10 augustus 2014, 15:34:26
Citaat
Klinkt mij niet onlogisch in de oren toch?Daar kunnen we van mening verschillen, maar goed, kennelijk scannend DSM dus altijd op welke manier je ook DSM er op(nieuw) zet, maar als hierdoor je machtigingen (instellingen) en zo allemaal weg zijn dan hebben we daar ook niet veel aan dus, in dit geval niet echt handig ;)
Ik zal er eens een ticket aan wagen. 8)
Bericht door: Hofstede op 10 augustus 2014, 15:54:33
Na herinstallatie van DSM zie je je shares al direct terug. De rechten moet je dan zelf weer instellen of terugzetten met een configuratiebackup.
Je zou ook niet blij zijn als je de nog aanwezige shares na herinstallatie van DSM via de reset-knop niet meer zag ;)
Mijn vermoeden is dat DSM na herinstallatie elke directory die aanwezig is in de root van het data volume automatisch als share beschouwd.
Bericht door: m4v3r1ck op 10 augustus 2014, 16:11:09
Weet je 100% zeker dat je van die Synolocker shit af bent, toch?
Bericht door: Tim__ op 10 augustus 2014, 16:20:35
Bericht door: Irene op 10 augustus 2014, 16:23:29
Gelukkig heb ik een goede backup om allle data terug te zetten.
Veel werk, alles opnieuw instellen. Zaten ook drie cameras aan verbonden.
Zocht ook nog het beperken van ip nummers uit buitenland, kon dit niet zo snel vinden. Alleen specifieke ips uitsluiten of toestaan. Iemand een idee?
Bericht door: m4v3r1ck op 10 augustus 2014, 16:25:59
Bericht door: Ben(V) op 10 augustus 2014, 16:34:57
Bericht door: Hofstede op 10 augustus 2014, 16:56:54
Bericht door: Handige Harry op 10 augustus 2014, 17:04:09
Bericht door: Irene op 10 augustus 2014, 17:09:42
Betekent dat als ik aangeef nederland toestaan, dat automatisch de rest van de wereld is uitgesloten?
Bericht door: Briolet op 10 augustus 2014, 17:17:23
Bericht door: blackgoku op 10 augustus 2014, 17:17:26
vergeet niet bij de firewall zelf - indien niet voldaan wordt aan de regels: van toegang toestaan naar toegang weigeren in te stellen
Bericht door: Handige Harry op 10 augustus 2014, 17:17:41
Bericht door: Irene op 10 augustus 2014, 17:23:57
Bedankt voor alle hulp!
Bericht door: Hofstede op 10 augustus 2014, 17:26:47
- je moet alles uitsluiten.
- dan adressen vanuit Nederland toestaan.
- je interne netwerk toestaan.
Bericht door: blackgoku op 10 augustus 2014, 17:29:20
Nou, voor de duidelijkheid de test nogmaals gedaan op m'n TEST DS111, maar dan met plaatjes:
(In de mappen maar wat jpg's erin gezet.)
(Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage) (Link naar bijlage)
Ik heb dit ook even getest en bij mij word tot 3 x toe alles gewist.
De gedeelde map die ik aan maak en de bestanden die ik dan er in zet worden gewoon verwijderd.
Ik Zet net als bij jou de standaard instellingen terug van uit DSM, ik heb dan de meest recente versie van DSM 5 versie 3.
Vervolgens installeer ik DSM opnieuw via Synology Assistan.
Dit zelfde heb ik nogmaals gedaan maar dan via de webbrowser
en ik heb het getest met en zonder het aan maken van een SHR volume na de installatie
Bericht door: Irene op 10 augustus 2014, 17:31:05
Bericht door: Birdy op 10 augustus 2014, 17:33:58
Ik zal er eens een ticket aan wagen. 8)
Ticket ingelegd.
Heb hiervoor een nieuwe Topic gemaakt (http://www.synology-forum.nl/synology-dsm-5-0/functie-standaardinstellingen-herstellen/new/#new) voor de duidelijkheid.
Bericht door: blackgoku op 10 augustus 2014, 17:37:23
Ook kan je een subnet invullen bijvoorbeeld 192.168.1.1 / 255.255.255.0
Bericht door: Irene op 10 augustus 2014, 17:39:39
Bedankt.
Jammer dat de handleiding niet zo diep op de materie ingaat.
Ben geen systeembeheerder! Moet het van goed nadenken, goed lezen en goede tips hebben!
Bericht door: Birdy op 10 augustus 2014, 17:46:01
Ik zie jouw reactie nu pas omdat ik druk bezig was met een ticket in te leggen bij Synology, zie eerder ;)Nou, voor de duidelijkheid de test nogmaals gedaan op m'n TEST DS111, maar dan met plaatjes:
(In de mappen maar wat jpg's erin gezet.)
Ik heb dit ook even getest en bij mij word tot 3 x toe alles gewist.
De gedeelde map die ik aan maak en de bestanden die ik dan er in zet worden gewoon verwijderd.
Ik Zet net als bij jou de standaard instellingen terug van uit DSM, ik heb dan de meest recente versie van DSM 5 versie 3.
Vervolgens installeer ik DSM opnieuw via Synology Assistan.
Dit zelfde heb ik nogmaals gedaan maar dan via de webbrowser
en ik heb het getest met en zonder het aan maken van een SHR volume na de installatie
Ik vind het merkwaardig dat jouw test het anders uitpakt :S
Maar goed ticket is ingelegd, bewijs kan ik alsnog leveren aan Synology 8)
Bericht door: Daliti op 10 augustus 2014, 18:00:45
Bericht door: Hofstede op 10 augustus 2014, 19:00:52
Bericht door: GerardR op 10 augustus 2014, 19:45:57
Je hoeft de landen niet allemaal specifiek uit te sluiten:De volgorde is toch precies andersom zoals ik hierboven heb aangegeven?
- je moet alles uitsluiten. (3)
- dan adressen vanuit Nederland toestaan. (2)
- je interne netwerk toestaan. (1)
Bericht door: blackgoku op 10 augustus 2014, 19:47:14
Bericht door: Hofstede op 10 augustus 2014, 19:51:27
- Eerst alles uitsluiten en daarna specifieke dingen toestaan.
- Specifieke dingen toestaan en dan de rest uitsluiten.
Is maar subtiel verschil en het resultaat hetzelfde.
Maar je hebt gelijk, de laatste methode is het makkelijkst te realiseren met de Synology firewall.
Bericht door: GerardR op 10 augustus 2014, 19:54:59
Toen ik in de synology firewall niet de door mij gemelde volgorde wilde aanhouden kreeg ik een melding dat ik mijzelf zou uitsluiten van toegangf
Bericht door: m4v3r1ck op 10 augustus 2014, 20:04:27
Bij update & restore zit een tabje save configuration backup
Dus voor alle settings van je Syno? Thnx!
Bericht door: Briolet op 10 augustus 2014, 20:05:01
…Je kunt het op twee manieren benaderen.
- Eerst alles uitsluiten en daarna specifieke dingen toestaan.…
Volgens mij niet. Een firewall begint de regels te checken vanaf regel 1. Als er een treffer is, dan is hij klaar. Is er geen treffer, dan pakt hij de volgende regel. Als je dus begint met alles uit te sluiten, is dat ook het resultaat.
Uit de handleiding van de NAS:
Citaat
Opmerking:
u kunt tot 100 regels maken voor een netwerkinterface.
Met slepen en neerzetten kunt u de regels in de lijst opnieuw rangschikken.
De prioriteit van de regels wordt bepaald door hun positie in de lijst.
Als u meerdere netwerkpoorten heeft die verbonden zijn met hetzelfde subnet, werken de firewallregels mogelijk niet correct.2
Wanneer u meerdere LAN-poorten combineert met link aggregation, zullen firewall-regels van de eerste netwerkinterface worden toegepast.
Maakt uw Synology NAS-apparaat via PPPoE een verbinding met het internet, dan moeten de gerelateerde firewallregels op de desbetreffende PPPoE-interface worden geconfigureerd.
En volgens mij is dat een algemene werking van firewalls. En zo zet ik mijn firewall ook op. Mijn laatste regel is steeds alle IP adressen en alle poorten sluiten.
Bericht door: GerardR op 10 augustus 2014, 20:08:02
Bericht door: Hofstede op 10 augustus 2014, 20:09:22
Bericht door: blackgoku op 10 augustus 2014, 20:37:22
Bericht door: Daliti op 10 augustus 2014, 22:43:56
Lees eerst even het begin van het topic door. Synolocker is geen bestand dat je even verwijderd.Weet ik, synolog, bestanden staan intussen voor 96% terug en ik wil zeker zijn dat synolog ook verdwenen is. Die pipo's hebben tot hier hun woord gehouden..mits betalen uiteraard
Maar ik moest bepaalde bestanden, heel recente zeker terug hebben. Die zaten niet i mijn USB HD backup.
Bericht door: Hofstede op 10 augustus 2014, 22:47:33
Dat is de enige manier om zeker te weten dat er niks meer op je NAS is te vinden.
Bericht door: Goner op 11 augustus 2014, 11:47:34
Dat is de enige manier om zeker te weten dat er niks meer op je NAS is te vinden.Zou het niet voldoende zijn om DSM opnieuw te installeren ??
Dus geen upgrade, maar een reset en van scratch installeren, dan weet je zeker dat alles wat met het OS/firmware te maken heeft, schoon is ...
Bericht door: blackgoku op 11 augustus 2014, 11:51:59
Bericht door: Hofstede op 11 augustus 2014, 11:52:09
Bericht door: baco1963 op 11 augustus 2014, 12:47:24
Bericht door: Hofstede op 11 augustus 2014, 12:56:27
Bericht door: baco1963 op 11 augustus 2014, 13:08:52
gelukkig geen belangrijke data ofzo
Bericht door: baco1963 op 11 augustus 2014, 13:40:16
Bericht door: m4v3r1ck op 11 augustus 2014, 13:42:28
krijg de schijf niet te zien in de bracket kan dus niet formateren
Toch wel errug benieuwd wat die Synolocker allemaal kan op "schijf nivo" als je deze HDD niet eens meer kun zien... Suc6
Bericht door: Hofstede op 11 augustus 2014, 13:52:20
Ofwel: geef iets meer info.
Let wel: als je een HDD uit de NAS aansluit op een PC zie je hem niet in Windows Verkenner maar alleen in Diskmanagement.
Bericht door: baco1963 op 11 augustus 2014, 14:12:16
en idd die ziet hem niet ook via schijfbeheer is de schijf wel te zien maar ook niet te formateren
Bericht door: Handige Harry op 11 augustus 2014, 14:20:20
Installeer dit op je Windows pc. En je kunt het lezen.
Want Windows kan ext4 niet lezen, daar heb je dus een apart programma voor.
Bericht door: m4v3r1ck op 11 augustus 2014, 14:29:00
Bericht door: Handige Harry op 11 augustus 2014, 14:31:22
Weet het niet helemaal zeker waar precies zo uit mijn hoofd. Maar bij schijfbeheer kun je een volume formateren.
Bericht door: Hofstede op 11 augustus 2014, 14:45:29
Bericht door: Irene op 11 augustus 2014, 14:52:45
Maar we kunnen nu weer rustig alles opbouwen. Heb goede backup.
Ook alle cameras weer configureren etc.
Pff, zo n hacker zorgt wel voor veel werk.
Andere kant, goed leer moment.
Bericht door: baco1963 op 11 augustus 2014, 15:22:30
Ben bezig om de nas compleet opnieuw te installeren,
Bericht door: TonVH op 11 augustus 2014, 15:51:52
En anders werkt een Lowlevel format altijd.
Bericht door: Handige Harry op 11 augustus 2014, 16:45:33
Bericht door: Hofstede op 11 augustus 2014, 16:47:15
Bericht door: TonVH op 11 augustus 2014, 16:56:51
Overigens heb ik nog steeds nergens gelezen hoe de Malware nu precies op de NAS is terechtgekomen.
Bericht door: TonVH op 11 augustus 2014, 16:58:25
TonVH. Windows ziet standaard sommige extensies niet. Dus dan kan die die ook niet formatteren. Zal voor mac waarschijnlijk ook zo zijn, maar daar heb ik geen verstand van
Kun je aan en uitzetten maar dat geldt voor bestanden. Een formatteringsprogramma (of Low Level format) kijkt naar de HD en niet wat erop staat.
Bericht door: Handige Harry op 11 augustus 2014, 17:00:15
Bericht door: Robert Koopman op 11 augustus 2014, 17:02:53
Helaas eigenlijk maar wie weet als het wel bekend zou zijn er meer kapers op de kust komen?
Bericht door: jeko op 11 augustus 2014, 17:11:27
Ik heb 2 Synology 212j NASsen (1 werk, 1 privé), 1 besmet, 1 schoon (met laatste update).
Op de besmette NAS staan een aantal voor mij zeer belangrijke documenten van na de laatste back-up.
Wat is de beste manier om die documenten terug te krijgen?
Kan ik zien of ze versleuteld zijn als ik de schijven in de niet besmette NAS stop? Of raakt die hierdoor juist besmet?
Betalen? (Ik wil liever de criminelen niet stimuleren, maar de documenten zijn te belangrijk om verloren te laten gaan)
Afwachten tot Synology met een oplossing komt? Hoe zijn de vooruitzichten op een oplossing?
bvd.
Bericht door: Hofstede op 11 augustus 2014, 17:19:06
Ik zou zelf overigens liever een week werk besteden met het recreëren van de bestanden dan ook maar één cent aan die criminelen te betalen.
Bericht door: blackgoku op 11 augustus 2014, 17:21:02
Nou weet ik dat je de gedeelde mappen kan versleutelen, ben je dan ook vatbaar ?
Bericht door: Hofstede op 11 augustus 2014, 17:25:53
Bericht door: Birdy op 11 augustus 2014, 17:30:15
Citaat
Kan ik zien of ze versleuteld zijn als ik de schijven in de niet besmette NAS stop?
DAT is zeker geen optie !
Bericht door: Ben(V) op 11 augustus 2014, 17:35:23
Hang ze dat aan je PC en zoek een windows programmaatje dat ext4 (of ext3 als je dat hebt) kan lezen.
Die synolocker is voor linux gemaakt en kan je windows PC niet besmetten.
Je kun ook een mac nemen natuurlijk.
Bericht door: TonVH op 11 augustus 2014, 17:45:33
Het argument van Open Source is altijd (naast andere) dat daardoor de kans op gaten waardoor Malware z'n kans krijgt kleiner is. Maar ook geloof ik niet dat openheid voor nieuw misbruik zal zorgen. Het gat wat door Synolocker gebruikt wordt is nu zeer zeker bij een grote groep al bekend dus (mits het goed gedicht wordt) levert openheid weinig tot geen extra risico op.
Bovendien (maar dat is een psychologisch voordeel) kan het geen kwaad dat mensen er met de neus op worden geattendeerd dat Unix (en al zijn derivaten) geen absolute veiligheid bieden. Net als Windows is ook daar het grootste probleem dat gebruikers te snel software uit onbekende hoek installeren en nog sneller op "OK' klikken zonder te kijken. gebruikers (dus van alle platforms Windows, Unix, Linux, Darwin) moeten gewoon leren dat zijzelf de belangrijkste "firewall" zijn en dat al het andere daaraan ondergeschikt is.
Bericht door: blackgoku op 11 augustus 2014, 17:46:41
Bericht door: TonVH op 11 augustus 2014, 17:52:26
"jein" (net terug van weekendje Duitsland, jein= ja & nein).
Het argument van Open Source is altijd (naast andere) dat daardoor de kans op gaten waardoor Malware z'n kans krijgt kleiner is. Maar ook geloof ik niet dat openheid voor nieuw misbruik zal zorgen. Het gat wat door Synolocker gebruikt wordt is nu zeer zeker bij een grote groep al bekend dus (mits het goed gedicht wordt) levert openheid weinig tot geen extra risico op.
Bovendien (maar dat is een psychologisch voordeel) kan het geen kwaad dat mensen er met de neus op worden geattendeerd dat Unix (en al zijn derivaten) geen absolute veiligheid bieden. Net als Windows is ook daar het grootste probleem dat gebruikers te snel software uit onbekende hoek installeren en nog sneller op "OK' klikken zonder te kijken. gebruikers (dus van alle platforms Windows, Unix, Linux, Darwin) moeten gewoon leren dat zijzelf de belangrijkste "firewall" zijn en dat al het andere daaraan ondergeschikt is.
@blackgoku:
OS X is gewoon een van de vele Unix Derivaten (basis is dacht ik Debian) en dus niet een Linux derivaat! Wordt door niemand een geheim van gemaakt.
Linux is ook niets meer dan een Unix derivaat. (Volgens sommigen zelfs illegaal)
Bericht door: Briolet op 11 augustus 2014, 17:53:11
Citaat
Goede vraag idd hoe die malware erop is gekomen. Weet iemand daar al meer over?Het officiële statement van Synology is dat het via een van de twee eerder genoemde lekken in 'webman' gebeurd is. En webman zie je alleen bij een inlog over poort 5000 en 5001. (Ook niet bij 7000 of een van de andere subpoorten)
Het zal voor Synology vooral gissen zijn. De mallware staat er op en via welk lek dat gebeurd is, zie je niet. Dat echt uitzoeken kost veel tijd. Dan moet je al een nas prepareren met extra logging features en hopen dat deze dan aangevallen wordt.
Maar omdat, volgens Synology alleen nassen besmet zijn die nog niet voor die twee lekken ge-update waren, lijken dat de beste kandidaten. Als er nieuwere machines besmet zijn, is dat een probleem omdat dat dan via onbekende lekken gebeurd moet zijn.
Bericht door: Handige Harry op 11 augustus 2014, 17:53:42
Bericht door: TonVH op 11 augustus 2014, 17:55:00
Spammer TonVH
LOL: Jij drukt nooit per ongeluk op de verkeerde knop?
Bericht door: Briolet op 11 augustus 2014, 17:57:07
Tot nu toe is helaas de enige optie betalen.
Of je de decryptie key dan krijgt is de vraag. Ik las al dat de website waar de key gehaald moest worden, uit de lucht gehaald is. Tijdelijk of niet, weet ik niet.
Bericht door: Handige Harry op 11 augustus 2014, 17:57:19
Bericht door: Hofstede op 11 augustus 2014, 18:00:39
Ook al was het met pijn in het hart, ze gaven wel toe dat de support van de hackers erg goed is.
Bericht door: Tien op 11 augustus 2014, 19:43:22
Heb ik nou altijd met die bedankt-knop ;-)Spammer TonVH
LOL: Jij drukt nooit per ongeluk op de verkeerde knop?
Bericht door: sciurius op 11 augustus 2014, 20:14:01
Tot op heden is de oorzaak van deze "besmetting" onbekend dacht ik.Volgens de informatie uit http://forum.synology.com/enu/viewtopic.php?f=108&t=88770 vindt de besmetting plaatst via opengestelde (dus via internet toegankelijke) poorten 5000 en 5001 (voor de DSM management UI) in 4.x systemen die niet de security updates van vorig jaar december hebben aangebracht.
Bericht door: Birdy op 11 augustus 2014, 20:54:23
Die "spam" heb ik al verwijderd ;)Spammer TonVH
LOL: Jij drukt nooit per ongeluk op de verkeerde knop?
Bericht door: Birdy op 11 augustus 2014, 21:06:16
Wat ik wel weet is dat CryptoLocker (Windows) vorig jaar september actief was (http://)
stop ze in een usb behuizing of een quick port.
Hang ze dat aan je PC en zoek een windows programmaatje dat ext4 (of ext3 als je dat hebt) kan lezen.
Die synolocker is voor linux gemaakt en kan je windows PC niet besmetten.
Je kun ook een mac nemen natuurlijk.
Dus wel oppassen met bovenstaande, je weet maar nooit als je zo'n besmette HD gaat uitlezen op een PC....
Ben geen Virus/Hackers kenner maar, wilde dit toch even kwijt.
Bericht door: Ben(V) op 11 augustus 2014, 21:18:02
Er wordt niet vanaf geboot en er zit geen executable op die onder windows zou kunnen draaien en al was ie er wel dan ben je vast wel zo slim hem niet op te starten.
Ps ik blijf op dit moment het meeste geloof hechten aan synology die aangeeft dat het via het gat in DSM ging dat eind vorig jaar gedicht is en waarbij een bestand op je NAS gezet kon worden via de weman interface zonder root authorisatie.
Bericht door: Hofstede op 11 augustus 2014, 21:23:12
Volgens mij heeft iemand hier een stuk over CryptoLocker gekopieerd en hier en daar iets aangepast.
Bericht door: Briolet op 11 augustus 2014, 22:28:37
Citaat
The infection might come from various sources – infected files from various P2P networks, torrents or other file sharing applications, bogus flash player, Silverlight updates or fake video software for viewing online content, email attachments etc.
Alle infecties vonden binnen een paar dagen plaats. Dat maakt het heel onlogisch dat er dan in één keer de 7 verschillende vectoren gebruikt worden uit die zin. De echte clue zit in het woord "might". Daarmee zegt hij eigenlijk dat hij de ballen verstand van heeft van de Synolocker en alleen een lijst opsomt van methodes die in het verleden gebruikt zijn door andere locker malware. Maar om en PC te besmetten moet je vaak truckjes uithalen omdat die niet standaard vanuit het internet benaderbaar is. De nas staat gewoon open naar het internet, met een bekend lek. Dus waarom moeilijk doen via een PC als je hem rechtstreeks kunt besmetten?
In de laatste alinea staat ook dat de private key op de nas staat, terwijl in de alinea ervoor het tegengestelde staat. Als de private key op de nas staat kun je alle files ook zelf de-crypten. Maar op die lokatie had Synology hem ook gevonden en al lang wereldkundig gemaakt.
Bericht door: nielsvo op 13 augustus 2014, 01:16:02
Alle files zijn inmiddels automatisch decrypted (op 1 na, script hangt?). Heb de "support afdeling" daarover een Bitmessage berichtje gestuurd ;)
Overigens staat er nu het volgende op de Tor site:
6 days, 14 hours, 25 mins, 50 secs
This website is closing soon...
If you lost your identifier, it is still possible to retrieve the required information from your NAS MAC address.
If the DSM software was updated then a custom decryption tool will be provided.
Please contact support via Bitmessage at this address: BM-NC3f9qUMWo54Aik8L2qrtsc9Nxj8Ub4L
There is still over 5500 unclaimed private keys. The database is available for sale at 200 bitcoins. Purchase can be completed in 5 separate transactions. When this site close then all related databases will be permanently deleted.
For purchase inquiry please contact support via Bitmessage at this address: BM-NBzSiJzLAVcXCrhQaQ6PxvNuKheE2htd
Misschien dat Synology de database kan kopen en op die manier de getroffen gebruikers een echte laagdrempelige oplossing kan bieden?
Bericht door: Hofstede op 13 augustus 2014, 01:35:13
Tenslotte had Synology het lek al in december 2013 gepatcht en ook mails rondgestuurd dat mensen hun NAS moesten updaten, naar mijn mening treft Synology in deze geen schuld.
Bericht door: nielsvo op 13 augustus 2014, 02:01:15
Verder kan het mij eerlijk gezegd niet schelen wat Synology doet, mijn probleem is inmiddels vanuit de bron opgelost.
Bericht door: Hofstede op 13 augustus 2014, 02:06:24
Synology heeft zelf patches uitgebracht voor DSM versies die eigenlijk al niet meer door hen gesupport werden.
Bericht door: Briolet op 13 augustus 2014, 09:09:07
Dus als je inlogpaginas hebt die vanaf het internet bereikbaar zijn, kun je er op wachten dat er verborgen bugs in zitten en ooit gevonden worden. Het beste is om dergelijke producten altijd te registreren zodat een serieuze fabrikant je op de hoogte kan houden van updates.
Gelukkig heeft DSM 5 nu een nieuwe feature dat hij automatisch op updates checkt en deze zelfstandig download. Je kunt nog instellen of hij achter elke update aan moet, of alleen achter kritieke updates. Hierna krijg je een mailtje dat er een update klaar staat. Je hoeft dan alleen handmatig de update te starten op een tijd die je uitkomt. Hopelijk scheelt dat in de toekomst problemen zoals met de coin-miner en de SynoLocker.
Bericht door: Björn op 13 augustus 2014, 12:12:34
Er valt natuurlijk altijd vanuit meerdere invalshoeken te beargumenteren, maar Synology heeft na ontdekking van het lek (dat in heel veel apparatuur van veel merken heeft gezeten of zelfs nog zit) enorm snel een patch aangeboden. Als mensen deze patch niet installeren (om welke reden dan ook) dan nemen ze zelf het risico voor de gevolgen. Zeggen 'dat je het niet wist' vind ik daarin persoonlijk niet echt een argument. Dat is een kwestie van onderhoud plegen aan een product waaraan je al je belangrijke gegevens toevertrouwt.
Synology heeft niet echt meer kunnen doen dan ze nu gedaan hebben. Zij kunnen de software patchen, maar uiteindelijk is er ook nog een stukje inspanning van de gebruiker nodig.
Bericht door: damonnk op 13 augustus 2014, 12:34:31
Je houd hier ook klanten mee vast en krijgt er nieuwe bij.
Voor een bedrijf als Synology lijkt me 83k ook niet zoveel geld.
Bericht door: Handige Harry op 13 augustus 2014, 12:46:59
@ synology Ik heb nog nooit 1 mail gehad van synology over dit 'hack' gebeuren. Misschien toch maar eens een ticket sturen.
Bericht door: Hofstede op 13 augustus 2014, 12:51:40
Ik zou liever hebben dat Synology dit geld besteed aan het nog verder verbeteren van de security en er ook voor zorgt dat mensen zich beter gaan realiseren dat al je data op een NAS zetten zonder enige vorm van backup een slecht idee is.
Bericht door: Ben(V) op 13 augustus 2014, 12:52:35
Kun je net zo goed meteen je bedrijf opdoeken.
Bericht door: Irene op 13 augustus 2014, 13:12:31
Bericht door: Robert Koopman op 13 augustus 2014, 13:18:05
Bericht door: Irene op 13 augustus 2014, 13:19:40
Bericht door: Irene op 13 augustus 2014, 13:21:46
Thank you for contacting us. We appreciate your continued patience and support during this time.
According to the information you provided, we can confirm that your DiskStation has indeed been infected by the recent ransomware called “SynoLocker.” As we are unable to decrypt files that have already been encrypted, there are two ways to proceed.
#1 Reset your DiskStation and restore backup data
If you happen to possess a full backup copy of your files (or there are no critical files stored on your DiskStation), we recommend following the below steps to reset your DiskStation and re‐install DSM:
1. Follow the steps in this tutorial to reset your DiskStation:
http://www.synology.com/support/tutorials/493#t3
2. The latest version of DSM can be downloaded from our Download Center here:
http://www.synology.com/download
3. Once DSM has been re‐installed, please make sure you have a full backup and delete your current volume.
4. Restore your backup data to the new volume.
#2 Reset your DiskStation, but preserve encryption information
According to our investigation, we can stop the ransomware from continuing to further encrypt files. We cannot decrypt those files which have been encrypted already. However, we can leave the already encrypted files intact on your data volume, just in case you wish to decrypt them yourself.
Once your DiskStation has returned to normal status, you can 1) contact us for information about the already encrypted data, or 2) delete the volume and the encrypted files stored on it.
If you would like us to stop the ransomware from encrypting more files, please follow the below steps to provide us with the necessary information to remotely access your DiskStation:
1. Power off DS and take out all hard drive.
2. Power on DS without hard drives.
3. Run Synology Assistant and perform the installation using the following DSM patch below:
ftp://on‐line:online_user@ftp.synology.com/on‐line/Tools/fake_pat/a.pat
4. Using this method, the installation will appear to fail, but Telnet service shall be open.
5. Please open port 23 on your router to allow DiskStation NAT IP (ex. 192.168.xx.xx or 10.0.xx.xx) and we could login via Telnet.
6. Please re‐insert the hard drives into your DiskStation without rebooting and provide us the following information:
*Standard ports we need you to open: 23 (Please see the following link on how to forward your ports, and then select the Telnet application: http://www.portforward.com/english/routers/port_forwarding/routerindex.htm )
*The WAN IP address of your DiskStation (Please go to http://www.canyouseeme.org/ to find your IP address and check whether or not port 23 is open)
According to our investigation, the ransomware only affects outdated versions of DSM. No vulnerability has been found in the latest version of DSM. To keep yourself informed about new DSM updates, we highly recommend registering at MyDS Center and subscribing to Synology eNews.
We sincerely apologize for any problems or inconvenience this has caused you. We shall do our utmost to provide any feasible solution. Thank you.
Sincerely,
Kirby Liu
Technical Support
...........
Ik heb de eerste optie uitgevoerd
Bericht door: TonVH op 13 augustus 2014, 14:26:30
Niet alleen omdat het een ijzersterk argument is voor hackers op zich volop Synology te storten (soort van MS effect) maar ook omdat Synology maar beperkte blaam treft.
Het is wellicht in de oren van sommigen hard maar laten we eerlijk zijn: iemand die echt belangrijke data alleen op een NAS heeft staan vraagt om ooit eens in de problemen te komen. de data is nu onbereikbaar net als wanneer er of een hardwarefout was opgetreden of een grove gebruikersfout (iemand verwijderd een Share, helaas dus ook op Raid-x).
Een basisles is om altijd te zorgen voor een volledige backup (en liefst 2 alternerende). Doet men dat niet dan zit men op de blaren en het gaat dan niet aan om de schuldige elders te zoeken.
Bovenstaand zal zeker niet in dank afgenomen worden en kan natuurlijk met hele lieve woordjes verpakt worden maar het is een goede les die iedereen wel 1 keer zal meemaken. (Over ezels (3 maal) praten we niet eens).
Bericht door: Nelesss op 13 augustus 2014, 14:50:21
Bericht door: damonnk op 13 augustus 2014, 15:29:34
Geen zaken doen met criminelen klinkt leuk maar zo werkt de wereld helaas niet.
Kijk maar naar de mensen die al zelf betaald hebben.
Je moet altijd uitdragen dat je geen zaken doet met criminelen maar "onderwater" kan je misschien alsnog zaken doen.
Overheden roepen het ook altijd, wij onderhandelen niet met criminelen, maar ondertussen doen ze dat wel met goede reden.
Vind het mooi dat andere mensen er anders over denken, maar ik had van deze "crisis" een kans gemaakt om als Synology iets uit te dragen.
Gelukkig mogen we allemaal een mening hebben , toch? :-)
Bericht door: Tien op 13 augustus 2014, 17:03:52
@jurgen : Voor mij is dat ook veel geld voor een bedrijf als synology niet
en daarmee nog geen steekhoudend argument
Bericht door: Handige Harry op 13 augustus 2014, 18:01:07
Beste Synology-gebruikers,
Graag willen wij u informeren dat een ransomware genaamd "SynoLocker" momenteel enkele Synology NAS-gebruikers beïnvloedt. Deze ransomware vergrendelt getroffen servers, versleutelt bestanden van gebruikers en eist een vergoeding om toegang tot de versleutelde bestanden te krijgen.
We hebben bevestigd dat de ransomware alleen van invloed is op de Synology NAS-servers met oudere versies van DiskStation Manager door het uitbuiten van een beveiligingsprobleem, dat in december 2013 werd opgelost.
Getroffen gebruikers kunnen de volgende symptomen ervaren:
Als men zich aanmeldt bij DSM verschijnt er een scherm dat de gebruikers op de hoogte brengt dat de gegevens zijn gecodeerd en een vergoeding is vereist om toegangte krijgen tot deze gegevens.
Abnormaal hoog CPU-gebruik of een lopend proces genaamd "synosync" (kan worden gecontroleerd in Hoofdmenu> Broncontrole).
DSM 4.3-3810 of eerder; DSM 4.2-3236 of eerder; DSM 4.1-2851 of eerder; DSM 4.0-2257 of eerder is geïnstalleerd, maar het systeem zegt dat er geen updates beschikbaar zijn op Configuratiescherm > DSM bijwerken.
Als u de bovenstaande symptomen ervaart, sluit dan onmiddellijk het systeem af en neem contact op met onze technische support: https://myds.synology.com/support/support_form.php
Als u de bovenstaande symptomen niet bent tegengekomen, dan raden we aan om DSM 5.0, of onderstaande versie te installeren:
DSM 4.3-3827 of later
DSM 4.2-3243 of later
DSM 4.0-2259 of later
DSM 3.x of vroeger wordt niet beïnvloed
U kunt handmatig de laatste versie vanDownload Center downloaden en deze installeren op Configuratiescherm > DSM bijwerken > Handmatig DSM bijwerken.
Als u een vreemd gedrag opmerkt of vermoedt dat uw Synology NAS-server is getroffen door het bovenstaande probleem, neem dan contact met ons op security@synology.com.
Onze oprechte excuses voor de eventuele problemen of ongemakken dat dit probleem heeft veroorzaakt. We houden jullie op de hoogte over de laatste informatie bij het aanpakken van dit probleem.
Bedankt voor jullie begrip en geduld.
Met vriendelijke groet,
het Synology Development Team
Bericht door: GerardR op 13 augustus 2014, 18:24:16
Kennelijk zit ik in de groep die zijn mail van synology per postkoets :D ontvang
Bericht door: Hofstede op 13 augustus 2014, 18:27:03
Edit: Ik heb hem zojuist ook in het Nederlandse versie ontvangen, nadat ik een aantal dagen terug hem al in het Engels kreeg.
Bericht door: Briolet op 13 augustus 2014, 18:32:24
Bericht door: blackgoku op 13 augustus 2014, 22:31:25
Hier had hij op zich best wel wat meer tijd in mogen steker.
Ik vind ook niet Synology hiervoor moet op draaien om de bestanden zo gezegd vrij te kopen als de gebruiker niet eens echt de tijd en de moeite neemt om in ieder geval te snappen hoe je de nas moet updaten.
Verder moet synology hier natuurlijk ook geen gehoor aan geven ook al is het voor zon bedrijf een klein bedrag, als Synology dit moet vergoeden voor meer klanten kunnen de kosten hoog oplopen en ook voor Synology duur uitpakken ;)
Verder vind ik dat Synology best veel doet om de gebruiker op de hoogte te houden als er een belangrijke update is.
Bericht door: Briolet op 14 augustus 2014, 00:08:51
Ze hadden daar blijkbaar 2 Synology Nassen die beide besmet geraakt zijn. Uit het verhaal blijkt niet duidelijk of ze de data echt kwijt zijn, of dat ze toch nog backups hadden.
Bericht door: Storm op 14 augustus 2014, 09:55:07
Ik heb vorige week de update gedaan naar DSM 5.0 update 3.
Is deze veilig of moet ik nog andere dingen doen?
alvast bedankt.
Gr,
Storm
Bericht door: Handige Harry op 14 augustus 2014, 12:00:16
Is dat als je inlogt op je synology en je geen melding krijgt dat je systeem besmet is met SynoLocker, dan mag je ervan uitgaan dat je 'gespaard' bent gebleven.
En je kunt eventueel zoeken naar het proces 'synosync', dat kan ook duiden op besmetting.
Bericht door: Remy89 op 14 augustus 2014, 12:16:31
Ik heb vorige week de update gedaan naar DSM 5.0 update 3.
Is deze veilig of moet ik nog andere dingen doen?
Ligt er een beetje aan. Van welke versie kom je af?
Bericht door: JB_Walton op 14 augustus 2014, 12:43:58
Ik ben ook slachtoffer van Synolocker.
Direct volgens één van de procedures ge-update naar 5.0. Gelukt, data was er nog gelukkig, maar het meeste wel encrypted.
Geen backup helaas (Ja, ik weet het: heel dom).
Aangezien de data veel waard is overwoog ik de 0.6 bitcoin te betalen.
Echter geen identification code meer te achterhalen, aangezien ik de update had uitgevoerd.
Daarom geen Synolocker pagina meer via de admin.
Uiteindelijk via de tor browser de melding gezien dat ik via bitmessage contact op kon nemen.
Allemaal gedaan en keurig de identificatie code ontvangen, betaald (helaas 1.2 bitcoin) en vervolgens de private key ontvangen.
Nu mijn probleem:
Aangezien ik de update heb uitgevoerd werkt Synolocker niet meer zoals beschreven (pagina is gewoon weg).
Nu moet ik de decryption software dus op enige wijze activeren. Er is ook een Expert mode (command line) mogelijkheid staat beschreven (/etc/synolock/synolock).
Maar: Die staat niet meer op de NAS. Wel nog de /etc/synolock map, maar deze is niet volledig lijkt het.
Van de Synolocker mensen na herhaaldelijk een mail sturen via bitmessage nog geen reactie mogen ontvangen.
Kan iemand mij verder helpen?
Alvast dank,
Jan
Bericht door: blackgoku op 14 augustus 2014, 17:18:50
De criminelen achter de SynoLocker-ransomware, waarmee data op een Synology-nas heimelijk wordt versleuteld, hebben aan 5500 slachtoffers een tijdslimiet gesteld. Zij krijgen nog enkele dagen om bitcoins over te maken in ruil voor de decryptiesleutel.
Op de website waarop een sleutel 'gekocht' kan worden door 0,6 bitcoin, omgerekend circa 260 euro, over te maken, wordt momenteel een aftellende klok getoond. Slachtoffers van de ransomware zouden nog maar enkele dagen de tijd hebben om te betalen, zo meldt het Finse F-Secure.
De SynoLocker-makers stellen dat er nog 5500 sleutels niet zijn gekocht door slachtoffers van de malware. Ook dreigen ze de resterende sleutels te verkopen. Daarvoor vragen de criminelen 200 bitcoin, omgerekend bijna 77.100 euro. Na het verstrijken van de tijd zou de website verdwijnen. Verder claimen de criminelen dat alle databases met rsa-encryptiesleutels gewist zullen worden.
Onduidelijk is nog steeds hoe de ransomware, die sterk lijkt op het oudere CryptoLocker, nas-systemen van Synology heeft kunnen besmetten. Wel is bekend dat DSM 5.0 en DSM 3.x niet kwetsbaar zijn, en diverse DSM 4.x-versies wel een lek bevatten als een DSM-update van december 2013 niet is geïnstalleerd. Synology heeft inmiddels diverse updates voor DSM 4.x uitgebracht om het gat te dichten.
Bericht door: Hofstede op 14 augustus 2014, 17:35:52
Bericht door: blackgoku op 14 augustus 2014, 17:37:34
Bericht door: Briolet op 14 augustus 2014, 17:44:05
Het gaat wel om een bericht uit dezelfde bron.
f-secure.com (http://www.f-secure.com/weblog/archives/00002733.html) gaf nog wel nadere info over de inside van de code, maar ook zij kunnen niet met zekerheid zeggen via welk lek de malware binnenkwam.
Bericht door: Martijn85 op 14 augustus 2014, 19:41:16
Bericht door: Handige Harry op 14 augustus 2014, 19:53:40
Bericht door: baco1963 op 14 augustus 2014, 20:14:38
die zijn nas heeft verkocht omdat ik niks meer kreeg geregeld geen rechten meer geen sanzb geen download station en geen nzbget niks meer kunnen doen, ook niet na het formateren van de schijven en updaten naar dsm 5.0 update 3 helemaal niks meer.
Bericht door: TonVH op 14 augustus 2014, 20:51:30
Onzin natuurlijk want met een full reset had je gewoon je backup (die je uiteraard hebt ..... of niet soms) terug kunnen zetten en was er niets meer aan de hand geweest.
Dus het enige "gezeik" (jouw woordkeus) komt van jou.
Bericht door: nielsvo op 14 augustus 2014, 20:52:49
Puur speculeren, maar zou mij niet verbazen als het een Nederlandse hackgroep is die hier achter zit.
Heeft er al iemand aangifte gedaan bij de politie? Ik zelf overigens niet, al mijn data is gered na betalen van 0.6 bitcoin en ik ben bang dat als ik oom agent moet gaan uitleggen dat mijn NAS is gekraakt en daarvoor als losgeld bitcoins moet betalen dat ie me eerst glazig staat aan te kijken en vervolgens ook niet weet wat daarvoor nou het bijbehorende aangifteformulier is en in welke lade dat verdwijnt ;)
Was nog wel even spannend, het decrypt script bleef hangen op het laatste bestand (had ik een kopie van i.t.t. sommige andere data). Geen reactie gehad op mijn bitmessage, dus toch maar met enige gezonde twijfel de uninstall knop ingedrukt die de boel zou moeten deinstalleren en de NAS vrijgeven.... en hopelijk niet alsnog de data opnieuw encrypt of delete. Vervolgens kreeg iki eerst een blanco scherm en vervolgens opnieuw de pagina om de private key in te vullen, ik dacht meteen: dit is waarschijnlijk niet helemaal zoals het hoorde te gaan :evil:
Aanmeldscherrm kreeg ik nog wel, maar er bleef een service draaien waardoor ik niet kon inloggen. Invullen van de private key deed niks meer, kreeg elke keer dit scherm terug. NAS gereset, service bleef draaien :o
Na een paar keer resetten is het toch gelukt, kon eindelijk DSM versie 5 installeren, meteen step 3 geüpdatet. Al mijn data terug 8)
Bericht door: TonVH op 14 augustus 2014, 20:58:00
Bericht door: baco1963 op 14 augustus 2014, 21:05:55
Je hebt wel alles volledig vanaf scratch geïnstalleerd (liefst extern formatteren HD's) zodat er niets achter is gebleven?
full reset alle 2 schijven extern geformateerd en al 2 dagen bezig geweest met het op nieuw instellen van backup en rechten. en begin nou niet van het enige gezeik komt van jou daar pas ik een beetje voor en ja ik heb een kort lontje en voor de rest heb ik de nas verkocht niet de schijven die gaan in een andere
Bericht door: TonVH op 14 augustus 2014, 22:12:52
2. Je haalt wat antwoorden door elkaar. (Het 2e antwoord was aan iemand anders.)
3. Denk aan je bloeddruk.
Bericht door: ReneBel op 15 augustus 2014, 01:19:15
Nou merk ik wel wat issues (uiteraard), waarvan ik me afvraag hoe ik die het beste aan kan pakken. Sommigen zijn open deur, maar door de vele uren klooien wil ik het zekere voor het onzekere en gewoon even checken:
1- cloudstation. Lokaal een backup gemaakt voor de NAS opnieuw werd geïnstalleerd. Na installatie ging eea synchroniseren en inderdaad werken nu ook lokale bestanden niet meer. De encrypted files worden dus vrolijk lokaal overschreven want kennelijk ziet cloudstation ze wel als geüpdate. Het beste nu alles op de NAS deleten en vervolgens vanaf backup weer op de NAS zetten dus.
2 - remote backup. Ik heb van een groot deel van mijn foto's een remote backup. Hiervoor geldt ws hetzelfde als cloudstation? Helaas heb ik niet alles want ik ben vergeten de nieuwe map 2014 toe te voegen aan te backuppen folders... sukkel!!
3 - Hoe kan ik zien wat er wel/niet encrypted is? Moet ik echt duizenden foto's checken??? Ik zie dat in sommige folders de RAW bestanden nog te openen zijn maar de JPG bestanden niet. Herkent iemand dit?
4- Time Machine backup draait ook weer. Ik heb de oude overschreven (NAS heeft nieuwe naam dus plaats in laten nemen). Zijn hier issues mee bekend?
5 - nog verdere tips/hints? Sorry, ik zal een groot deel van de 35 pagina's forum gaan lezen, maar heb daar nu de puf niet meer voor.
Bedankt alvast!!!
gr
Rene
Bericht door: Hofstede op 15 augustus 2014, 08:48:33
Helaas weet ik geen methode om snel te zien welke files wel of niet geencrypt zijn.
Bericht door: MilkoW op 15 augustus 2014, 08:50:10
Ik heb nog 1 disk eruit gehaald waar DSM nog geen veranderingen op heeft aangebracht, dus daar zou alles nog op moeten staan van Synolock installatie files.
Gr,
Milko
Bericht door: Briolet op 15 augustus 2014, 08:58:26
Ik zie dat in sommige folders de RAW bestanden nog te openen zijn maar de JPG bestanden niet. Herkent iemand dit?
Er staat eerder in dit topic een lijst met extensies die encrypted worden. Files met andere extensies blijven blijkbaar intact.
Bericht door: Hofstede op 15 augustus 2014, 10:01:36
Bericht door: ReneBel op 15 augustus 2014, 10:53:49
Ik ben nog naarstig op zoek naar twee dingen:
1 - is er een manier om te vinden welke files wel/niet encrypt zijn?
2 - wat doe ik met de folder synoloc:
drwxr-xr-x 2 root root 4096 Aug 3 13:38 .
drwxr-xr-x 34 root root 4096 Aug 15 10:33 ..
-rw-r--r-- 1 root root 451 Aug 2 13:38 RSA_PUBLIC_KEY
-rwxrwxr-x 1 root root 529960 Aug 2 10:59 server
-rwxrwxr-x 1 root root 808192 Aug 2 10:59 synosync
-rwxrwxr-x 1 root root 128 Aug 2 10:59 watch.sh
Het synoloc proces draait niet meer, ik heb niet betaald (en ben het ook niet van plan ... volgens mij heb ik de meeste bestanden nog in tact, maar weet het pas zeker nadat ik punt 1 duidelijk heb)
Iemand suggesties? Ik kan helaas geen script schrijven -zonder nachten doortrekken- maar het zou toch mogelijk moeten zijn om dmv een script een dump te krijgen van alle encrypted files (met padnaam)?
Bericht door: Briolet op 15 augustus 2014, 11:08:15
En onderaan die f-secure pagina staat een lijst met alle files die geïnstalleerd worden. Sommige pas ná decryptie.
Bericht door: JB_Walton op 15 augustus 2014, 11:43:46
Wellicht staat dit al ergens maar ik wil mijn ervaring van de decryptie hier posten.
Wellicht hebben anderen daar ook iets aan.
Ik ben ondertussen met mijn decryptie bezig (ongeveer 12 uur verder, 36.000.000 files gehad (volgens het aantal regels in decrypted..log !).
Met de software die zij hadden geleverd is het mij niet gelukt dit uit te voeren.
Instructie gevolgd, maar geen succes.
De software die zij leveren is synosync (volgens de bitmessage: speciaal voor mijn machine / type synology gemaakt ??)
Er stond ook al een versie van synosync op de DSM op /etc/synolock, echter een andere grootte (strange ?).
Oude synosync gekopieerd naar synosync-old.
Nieuwe synosync gekopieerd naar die map.
RSA_PUBLIC_KEY (stond er nog) en de RSA_PRIVATE_KEY ook in die map geplaatst.
Allereerst maar eens de nieuwe uitgeprobeerd in de expert mode (command line).
/etc/synolock/synosync "ENCRYPTED.FILE": error: invalid public key
Dus de public key past niet bij de synosync die ik heb gekregen?
Misschien toch maar gewoon de software draaien?
Gedaan volgens de instructie, maar na een uur wachten lijkt er niets te gebeuren.
Dus afgebroken.
Wel gek: Na het draaien van synosync lijkt de RSA_PUBLIC_KEY te worden verwijderd.
Dus voor de volgende test maar weer de Public Key in de etc/synolock gecopieerd en direct een .BAK versie aangemaakt.
Mijn gedachte: Blijkbaar is er iets met de synosync versie niet goed. Dus mijn eigen (old) synosync versie maar gestart.
Synosync copy naar -new.
Old naar synosync !
Command line regel gestart als eerder beschreven: EUREKA.
Vervolgens volgens de instructie het synosync opgestart en hij gaat volume1 langs.
Daar is hij nog steeds mee bezig.
Als ik al wat files controleer: allemaal weer goed !!
1 probleem: De grotere files (filmpjes boven 10 MB) worden niet ge-decrypt, terwijl tot een bepaalde grootte (? 100MB ?) wel ge-encrypt zijn.
Dus niet alles wordt ge-decrypt, maar dat zal ik straks nog wel proberen met de command line.
Tot zover.
Wellicht heeft iemand hier iets aan.
Gr.
Jan
Bericht door: ReneBel op 15 augustus 2014, 12:57:36
Edit: boeken??? Dit is 2014 ... http://www.cyberciti.biz/faq/howto-search-find-file-for-text-string/
Moet lukken. Vanavond maar eens even stoeien ;)
Bericht door: MilkoW op 15 augustus 2014, 14:47:28
Bericht door: Michel5 op 15 augustus 2014, 15:02:20
Als ik via een browser mijn NAS probeer te benaderen, krijg ik de Synolocker pagina/messages.
Wat wel lijkt te lukken is dat ik via de mappenstructuur (Finder in mijn iMAC) de NAs server benader lijk ik gewoon bij veel files op de server terecht te kunnen.
Kan ik deze files probleemloos over zetten op een andere harde schijf zonder gevaar, of kopieer ik dan iets mee van de encryptor? Of zeg ik nu iets raars?
Zou dit graag eerst doen voordat ik boel op nieuw installer (en nee, ja dom, heb geen back up van NAS)
txs
Grt
M.
Bericht door: ReneBel op 15 augustus 2014, 15:37:04
NB ik heb DSM opnieuw geïnstalleerd met behoud van alle data. Ik weet niet of iedereen dat zo ervaart.
Bericht door: Michel5 op 15 augustus 2014, 15:41:29
Mis ik iets? hoe dan? via synology assistent? (want ik kom niet by configcenter op server)
txs again
M.
Bericht door: ReneBel op 15 augustus 2014, 17:10:42
1. Shut down the NAS
2. Remove all the hard drives from the NAS
3. Find a spare hard drive that you will not mind wiping and insert it into the NAS
4. Use Synology Assistant to find the NAS and install the latest DSM onto this spare hard drive (use the latest DSM_file.pat from Synology)
5. When the DSM is fully running on this spare hard drive, shut down the NAS from the web management console.
6. Remove the spare drive and insert ALL your original drives.
7. Power up the NAS and wait patiently. If all goes well after about a minute you will hear a long beep and the NAS will come online.
8. Use Synology Assistant to find the NAS. It should now be visible with the status "migratable".
9. From Synology Assistant choose to install DSM to the NAS, use the same file you used in step 4 and specify the same name and IP address as it was before the crash.
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.
11. After a few minutes, the installation will finish and you will be able to log in to your NAS with your original credentials.
Bericht door: Birdy op 15 augustus 2014, 17:14:42
http://www.synology.com/nl-nl/support/tutorials/493
Punt 3.
Bericht door: nielsvo op 15 augustus 2014, 21:26:11
Ik ben nog naarstig op zoek naar twee dingen:Je kunt er ruwweg vanuit gaan dat alle files die een timestamp hebben gekregen rondom het tijdstip van andere encrypted files geraakt zijn door Synolocker.
1 - is er een manier om te vinden welke files wel/niet encrypt zijn?
Bericht door: ReneBel op 15 augustus 2014, 21:36:05
Edit: ik snap er geen bal meer van. Heel veel hebben een nieuwe time stamp maar ook heel veel bestanden niet. Dacht eerst dat foto's (CR2, RAW, JPG) de oude datum nog hadden maar ik heb ook JPG bestanden met veranderde timestamp. Voor de duidelijkheid: ook heel erg veel bestanden met oude timestamp die encrypted zijn.
Bericht door: sciurius op 18 augustus 2014, 22:34:52
Bericht door: roald op 19 augustus 2014, 16:14:24
Heb lokale backup, timebackup en offsite netbackup.
De eerste twee zijn ook gedeeltelijk aangetast omdat de schijf nog wel gekoppeld was.
De timebackup lijkt nog redelijk. mogelijk is de encrypter gestrand in de grote hoeveelheid bestanden.
De netbackup heeft maar 1350 aangetaste bestanden omdat de internetverbinding verbroken was.
Met de combinatie van de netbackup en de timebackup moet ik meeste wel weer kunnen herstellen maar OS moet natuurlijk eerst teruggezet.
Heb in forum de instructie al gevonden (via resetknop lijkt me beste). Maar heb gehoord dat je een backup alleen maar kunt terugzetten in gelijke OS-versie?
- Kan je bij de installatie vanuit de assistant zelf de juiste .pat aanleveren (die staat in de downloads van synology)?).
- Hoe kom ik achter de juiste versie (hoe nauw luistert het).
- Zal ik 1 schijf uit de syno halen voor dit proces zodat die altijd nog als (gehackte) versie terug te zetten is (ze staan in mirror op mijn 213+) ?
Alvast bedankt voor jullie tips.
Bericht door: Michel5 op 19 augustus 2014, 18:52:06
twee keer reset knopje indrukken, geel lampje, double klikken in Assistent op server - indicating 'configuratie verloren', maar krijg op dat moment weer de pagina van " Synlocker actief". NIets installatie scherm dus.
Wat te doen, m.a.w. hoe kan ik nu op nieuw DSM installeren (volgens deze methode?!
Dank
Bericht door: Birdy op 19 augustus 2014, 20:02:58
Had je deze tut goed gevolgd ? Punt 3 ? (http://www.synology.com/nl-nl/support/tutorials/493)
Bericht door: ReneBel op 19 augustus 2014, 22:23:21
Voor het herstel heb ik de procedure bovenaan deze pagina gevolgd. Ging in no-time, fluitje van een cent. Geen reset knoppen indrukken gedurende x-seconden maar gewoon korte stapjes. Moet je echter wel losse disc hebben btw. Ik heb meteen de laatste versie DSM 5.0 version 3 gedownload en geïnstalleerd.
Succes!
Bericht door: Michel5 op 19 augustus 2014, 22:36:48
Na paar keer klikken op Diskstation in Assistent, verdween opeens de Synlocker pagina en kon ik DSM opnieuw installeren incl. update DSM 5.0 versie 3.
Klaar.
Dacht ik.
Verscheen opeens in plaats van mijn DSM home page weer de Synlocker page....
Die vervolgens na een tiental seconden weer verdween.
M.a.w e.e.a doet het nu dus, vraag me niet hoe en vertrouw het voor geen zier meer...
Moet ik nog iets met mijn schijven doen?
Hoe kan bijv. ik deze checken om te zien welke bruikbare files er nog op staan en wat niet betrouwbaar is
Ik weet het, beginners vragen, maar toen ik diskstation uitzette toen ik synlocker er op zag staan, heb ik kunnen zien dat al mijn files er nog op stonden en benaderbaar waren -via map-structuur iMAc-.
Nu na Herinstallatie volgens methode 3 -dus met behoud van bestanden- staan alleen *.jpg-files er nog op: verder zie ik helemaal niets...)
Nogmaals dank
m.
Bericht door: ReneBel op 20 augustus 2014, 06:20:05
Via
grep -r -H "THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337" . | cut -d: -f1 > /volume1/download/result2014.txt
heb ik alle besmette bestanden getraceerd en kon ik gericht restores doen van deze bestanden. Ik kon niet massaal terug, omdat het Cloudstation files betreft. Gelukkig zijn door deze Synolocker niet de oude versies overschreven maar kun je dus een vorige versie terugzetten. File voor file ... !
Als je via de Resource Monitor het proces met de naam 'synosync' nog ziet draait de ellende nog steeds. Of dit proces onder DSM 5 schade aan kan richten weet ik niet, DSM 5 is veilig zegt men bij Synology. Of dat tegen nieuwe installatie van (besmetting met) deze software is of tegen het draaien en uitvoeren van encryptie door de software is weet ik niet.
Bericht door: sciurius op 20 augustus 2014, 13:45:34
Of dit proces onder DSM 5 schade aan kan richten weet ik niet, DSM 5 is veilig zegt men bij Synology. Of dat tegen nieuwe installatie van (besmetting met) deze software is of tegen het draaien en uitvoeren van encryptie door de software is weet ik niet.DSM 5 (en recente versies van 4.x) zijn veilig voor besmetting. Maar als de besmetting al 'aan boord' is gaat het gewoon verder.
Vandaar het steeds terugkerende advies om, als je je gegevens kunt restoren van backup, eerst de disks volledig te formatteren en DSM ook geheel opnieuw te installeren.
Bericht door: Kwazie op 21 augustus 2014, 13:18:28
Dank voor reacties.Komt waarschijnlijk nog uit de cache van je browser
Na paar keer klikken op Diskstation in Assistent, verdween opeens de Synlocker pagina en kon ik DSM opnieuw installeren incl. update DSM 5.0 versie 3.
Klaar.
Dacht ik.
Verscheen opeens in plaats van mijn DSM home page weer de Synlocker page....
Die vervolgens na een tiental seconden weer verdween.
M.a.w e.e.a doet het nu dus, vraag me niet hoe en vertrouw het voor geen zier meer...
Bericht door: nielsvo op 21 augustus 2014, 22:17:00
Ik weet het, beginners vragen, maar toen ik diskstation uitzette toen ik synlocker er op zag staan, heb ik kunnen zien dat al mijn files er nog op stonden en benaderbaar waren -via map-structuur iMAc-.Dat ze er nog op staan zegt niet zoveel: als ze encrypted zijn staan ze er ook nog steeds op, aan de file zelf zie je het niet. Heb je ze daadwerkelijk kunnen openen? Bij mij kon ik het aan de timestamp zien: als die veranderd was naar de datum vanaf dat synolocker actief was, waren ze encrypted.
Bericht door: nielsvo op 21 augustus 2014, 22:23:30
10. Because the NAS is recognized as "migratable", the DSM installation will NOT wipe out the data on either the system partition nor the data partition.Ik heb het iets anders gedaan volgens mij (weet het eigenlijk niet meer precies). Wel via Synology Assistant na reset, maar bij mij werd de system partitition wel geformatteerd. Was even bang dat daarna de data partition zou volgen want dat stond op het scherm als volgende stap maar die werd vervolgens overgeslagen (gelukkig, heb je net 0.6 bitcoin betaald om alles terug te krijgen en zou alles vervolgens alsnog geformatteerd worden :o).
Maar was eigenlijk wel blij dat de system partitition WEL geformatteerd werd, daar stond immers ook die synolocker.
Bericht door: Kwazie op 21 augustus 2014, 22:41:07
Iemand een idee?
Bericht door: nielsvo op 21 augustus 2014, 22:44:38
Als iemand bereid is om 200 bitcoins te betalen misschien wel ;)
Bericht door: Björn op 22 augustus 2014, 16:45:25
Was even bang dat daarna de data partition zou volgen want dat stond op het scherm als volgende stap maar die werd vervolgens overgeslagen (gelukkig, heb je net 0.6 bitcoin betaald om alles terug te krijgen en zou alles vervolgens alsnog geformatteerd worden :o).Hoezo? Je hebt toch onmiddelijk na het decrypten een backup van de data gemaakt? ;)
Bericht door: Tien op 22 augustus 2014, 17:43:34
Bericht door: Briolet op 22 augustus 2014, 18:44:09
Dat script is dus alleen bruikbaar voor hen die al de sleutel gekocht hebben, maar waar het de-crypten toch niet werkt omdat ze de nas al van de malware bevrijd hebben. Maar ik dacht hier al zo'n reactie gezien te hebben van zo'n slachtoffer.
Bericht door: Kwazie op 22 augustus 2014, 19:55:41
Ik zag net op security.nl (https://www.security.nl/posting/399491/Tool+helpt+slachtoffers+SynoLocker+bij+terugkrijgen+bestanden) dat het Finse anti-virusbedrijf F-Secure een script geschreven heeft dat de files de-cryps als je in bezit van de sleutel bent.Het is in ieder geval alweer een stap in de goede richting :)
Bericht door: Kwazie op 25 augustus 2014, 09:16:42
Dear customer,
Thank you for contacting us. We appreciate your continued patience and support during this time.
Unfortunately, as far as we know, those files are encrypted by RSA-2048 certificate which is the most powerful encryption technology at the moment.
Synology are unable to decrypt files that have already been encrypted.
Also, we do not have any report and detail about decryption program such as CryptoLocker.
Ik wacht nog op bericht van Fox-IT. :ugeek:
--------------------------------------------------------
Bericht van Fox-IT:
Hello,
Unfortunately I have to tell you that we don’t have a way to decrypt other variants (like CryptoWall, Synolocker, Cryptolocker V2) and so on, and we will not have it in the foreseeable future… The infrastructures involved are totally different, and we just don’t have the information.
Hope you find a way around any problems you might have
Dan toch maar kijken of we nog bruikbare gegevens uit de besmette backup kunnen krijgen :'(
Bericht door: Patchie op 25 augustus 2014, 12:21:13
http://www.telegraaf.nl/digitaal/23002737/__F-Secure_helpt_slachtoffers_SynoLocker__.html
Niet getest,
Zou het zeker proberen
https://github.com/F-Secure/Synounlocker
Bericht door: Bzztoh op 25 augustus 2014, 17:09:21
Bericht door: Birdy op 25 augustus 2014, 17:41:14
Bericht door: Briolet op 25 augustus 2014, 17:57:23
Citaat
gaat eeuwig durenDat is een beetje optimistisch. Ik denk dat het toch langer gaat duren. :twisted:
Bericht door: nielsvo op 25 augustus 2014, 22:39:54
Nog zo'n 15 jaar geduld hebben dus ;)
Bericht door: Kwazie op 26 augustus 2014, 15:51:09
Bericht door: mchind op 26 augustus 2014, 22:23:41
Ik heb nu de harde schijf uit mijn nas gehaald en wil die nu als externe harde schijf zichtbaar maken in Windows verkenner. Maar het lukt mij niet om deze zichtbaar te krijgen. Via schijfbeheer is de schijf wel zichtbaar, maar ik kan deze dus niet benaderen. Hij geeft ook geen bestandssysteem aan, terwijl dit volgens mij NTFS zou moeten zijn.
Iemand een suggestie?
Bericht door: Handige Harry op 26 augustus 2014, 22:26:47
Bericht door: TonVH op 26 augustus 2014, 22:28:22
Bericht door: Handige Harry op 26 augustus 2014, 22:29:23
Bericht door: TonVH op 26 augustus 2014, 22:31:17
Zat ik toch bijna goed
Ik heb ooit (Mac) eens alle mogelijke drivers geïnstalleerd en weet niet exact welke wanneer gebruikt wordt.
Bericht door: nielsvo op 26 augustus 2014, 22:32:05
Ik heb ook het vermoeden dat synolocker actief is op mijn nas. Het lijkt erop dat ik een groot deel van de bestanden heb kunnen redden, omdat mijn nas nog via het netwerk te bereiken was.Dat zegt verder ook niks. Alle bestanden staan er nog gewoon, maar sommigen zijn encrypted (op basis van extensie geselecteerd door synolocker). Je kunt ze dus nog wel zien maar niet meer openen en zijn dus onbruikbaar.
Als je er nu pas achter komt dan heeft synolocker voldoende tijd gehad om alles te versleutelen.
Bericht door: Handige Harry op 26 augustus 2014, 22:36:12
En dan even bij bestandssysteem, interne stations kijken.
Staat ext 4
Bericht door: mchind op 27 augustus 2014, 09:14:20
Bericht door: Remy89 op 27 augustus 2014, 13:05:49
Ik heb ook het vermoeden dat synolocker actief is op mijn nas. Het lijkt erop dat ik een groot deel van de bestanden heb kunnen redden, omdat mijn nas nog via het netwerk te bereiken was.
Ik heb nu de harde schijf uit mijn nas gehaald en wil die nu als externe harde schijf zichtbaar maken in Windows verkenner. Maar het lukt mij niet om deze zichtbaar te krijgen. Via schijfbeheer is de schijf wel zichtbaar, maar ik kan deze dus niet benaderen. Hij geeft ook geen bestandssysteem aan, terwijl dit volgens mij NTFS zou moeten zijn.
Iemand een suggestie?
Wat je ook kan doen is een (als je er bekend mee bent) virtuele Linux machine maken (met Virtualbox, VMware Workstation bijv.). Vervolgens de disk als een externe schijf aansluiten en laten omleiden naar de Linux machine.
OF
Een Linux live CD laten inladen op je PC en de bestanden van je externe schijf overkopieeren naar je interne HDD.
Want Linux is ext4 en zal hem wel herkennen.
Bericht door: Birdy op 27 augustus 2014, 13:11:32
Bericht door: Robbedoes op 27 augustus 2014, 20:54:05
http://www.paragon-software.com/home/extfs-windows/
(Free)
Hiermee wordt de schijf onder Windows gemount en kun je hem gewoon met verkenner benaderen.
Lezen en schrijven.
Heb alleen wel een taak in Windows taakplanner gemaakt die het programma start als de gebruiker gestart wordt, dus niet als Windows start. Hiermee komt hij netjes in de systeemtaakbalk terecht.
Je kunt natuurlijk ook met de hand het programma starten als je het pas nodig hebt.
Bericht door: Birdy op 27 augustus 2014, 21:03:51
ext2explore leest kan n.l. ext* filesystemen lezen dus, download:
http://sourceforge.net/projects/ext2read/
Dit is een zip file, uitpakken en je krijgt ext2explore.exe en is het programma zelf (dus geen installatie en ook geen registratie of key nodig).
Zorg dat die HD aan de PC hangt via eSATA/USB of in je PC aan een SATA kabel.
Start ext2explore.exe op:
[attachimg=1]
Bericht door: Kwazie op 05 september 2014, 21:42:59
Gelukkig heb ik bijna alle gegevens kunnen terug krijgen via de back-up, (alhoewel deze wel was verbonden met de NAS) alleen de root-directories waren gecodeerd, de sub-directories waren bijna allemaal nog in takt.
De klant was blij :D
Veel succes nog iedereen.