LET OP: NAS HACK: Synolocker actief.

[Mister13]

Ben beetje een leek maar kan je ook gehackt worden als je geen portforwarding hebt aanstaan?

[blackgoku]

Je bedoelt in dit scherm?

En in welk opzicht moet je dit veranderen in de apps?
Die gebruiken toch allemaal een eigen poort?

Ja die staat standaard 5000 heb er wat anders van gemaakt.

En bij DS file moet je dat nummer in vullen. Dat hoeft volgens mijn niet als hij standaard op 5000 staat

Webdav is 5005 en via https 5006

[Petrovski]

Ben beetje een leek maar kan je ook gehackt worden als je geen portforwarding hebt aanstaan?

Dat is nog niet bekend. Er zijn in theorie een aantal manieren om DSM te hacken. Toegang via internet is wel de meest waarschijnlijke. Mijn mening: als je DS niet via internet bereikbaar is en je installeert geen niet-officiele packages is het risico laag. Paranoide modus: direct je DS uitschakelen tot de aanvalsvector bekend is.

[Robbedoes]

Yep. Buiten poort 5000 naar intern 'nieuw poortnummer'

Ehm, dit moet je dus juist niet doen. Dan heeft het wijzigen van je poort geen nut, want je router zet zo de oude poort door naar de nieuwe.

Andersom heeft wel nut.

[Babylonia]

Ik vraag me af of de aanval wel uitgaat van poort 5000 en 5001 ?

Per dag krijg ik een "straatje" aan meldingen met ip-adressen die van buitenaf proberen in te loggen, waarbij de toegang in mijn geval geweigerd wordt. Als ik de log-bestanden bekijk komen relatief weinig gebruikersnamen voor met admin. En een paar fancy namen van "hobbyisten". Wat echter in bijzondere mate opvalt is dat bij het merendeel de gebruikersnaam "root" wordt gebruikt. Misschien bij 90-95% van de gevallen.

Dat zou kunnen duiden dat men probeert binnen te komen via poort 22 en het SCP protocol
Daarbij gebruik je specifiek de gebruikersnaam "root" voor je default admin gebruikers login. Het gebruikers inlog account admin heb ik om veilheidsredenen echter uitgeschakeld. Dus die stap werkt dan niet. Zou het wel ingeschakeld zijn, hoeft men alleen een wachtwoord te genereren om binnen te komen, geen gebruikersnaam.

Wil je zelf op root-niveau je NAS benaderen kan dat op die wijze bijv. met WinSCP of vergelijkbaar.
-

[blackgoku]

Ik snap wat je bedoeld ik heb dit zelf ook voorbij zien komen, alleen als ze het proberen via poort 22 zie ik de melding in het log dat de gebruiker ''root'' een poging heeft gedaan via SSH.
Vaak word er specifiek aangeduid waar op geprobeerd werd in te loggen.

Dit was trouwens bij een nas van een kennis van me waar ik ook vaak op inlog.

Ik had deze soortgelijke meldingen vroeger ook maar sinds ik een nieuwe router heb (Netgear R700) heb ik dit niet een keer mee gehad   

[Hofstede]

Volgens mij weet niemand op dit moment precies hoe men binnenkomt, zelfs Synology niet. Anders zouden ze niet aangeven dat je voorlopig alle poorten vanaf het internet dicht moet zetten.

[Babylonia]

Ik snap wat je bedoeld ik heb dit zelf ook voorbij zien komen, alleen als ze het proberen via poort 22 zie ik de melding in het log dat de gebruiker ''root'' een poging heeft gedaan via SSH.

Inderdaad via SSH, maar dat kan toch specifiek de bedoeling zijn van degene die dat willen proberen ??
(Ik dacht dat ik de poorten voor de gewone verbindingsmode heb gesloten).

[blackgoku]

Ik moet zeggen dat ik eigenlijk ook nooit poort 22 open heb staan in mijn router en de nas, mocht ik willen inloggen via ssh dan zet ik alleen de poort in de nas weer even open en zet ik een vonkje bij de dienst zelf.

[Babylonia]

Volgens mij weet niemand op dit moment precies hoe men binnenkomt, zelfs Synology niet. Anders zouden ze niet aangeven dat je voorlopig alle poorten vanaf het internet dicht moet zetten.

Maar op zichzelf is de binnenkomst via poort 22 "begrijpelijk". Er hoeft in dat geval slechts een wachtoord gegenereerd worden, geen gebruikersnaam. Vanuit "hack"-overwegingen een logische gedachte die mogelijk eerder succesvol zou kunnen zijn dan via een andere omweg een gebruikersnaam met daarbij een wachtwoord, waarbij je dan ook nog niet eens in de root zit ?

Maar goed, we wachten de berichten wel af.
Ga wat poorten dichtgooien denk ik, plus services inperken. Kijken wat dat oplevert in de login-pogingen.

[whoopi]

Mijn nasje heb ik maar even helemaal uitgeschakeld.  Wel lastig ivm mijn mailserver.

Je kunt wel allerlei poorten wijzigen, maar als je niet weet waar het lek zit, dan ben je van alles aan het aanpassen en ben je straks toch nog het haasje

Ik ben benieuwd of er in de loop van de dag een update komt.  Deze topic houd ik in iedergeval in de gaten.

Succes allen

[CHIWI]

Ik heb hem uitgezet en contact opgenomen met security afdeling van Synology.

Hoop snel op een oplossing grrrr

[Briolet]

Als je zoekt onder de slachtoffers zijn er veel die hun DSM-login via poort 5000 open hadden staan naar het internet. Snap niet waarom mensen dat doen, je kunt veel beter een VPN service opzetten daarvoor.

Maar dan moet je wel zeker weten dat de bug niet in het VPN deel zit, anders open je juist deuren. Dit voorjaar werd b.v. bekend dat in de OpenVPN implementatie van Synology een hardcoded root wachtwoord zat. Met 'root' en 'synopass' kreeg je toegang tot het netwerk. (In elk geval onder DSM 4.3)

[Eddiexbmw]

in welke log kan ik zien welke inlognaam wordt "aangevallen"

[RAT]

De zaak waar ik hem heb gekocht, stuurde ook een waarschuwings mail...wel netjes van ze :-)

dit stond er oa in:

Wat moet u doen? NAS is nog niet geïnfecteerd:
Omdat nu nog niet bekend is hoe de ransomware op de NAS terechtkomt raden wij aan om te zorgen dat de NAS op geen enkele manier via internet bereikt kan worden. Dit kunt u doen door bestaande portforwards te verwijderen, of door de NAS uit te zetten etc.
Wacht vervolgens op nieuws vanuit Synology over te verder te volgen stappen indien van toepassing.

Ik wil niet aan de poorten gaan zitten rommelen, want ik ben daar ook maar een leek in, en ik ben dan bang dat ik het later nooit meer goed krijg..

Is het in dat geval dan maar beter de NAS echt uit te zetten, totdat Synology een oplossing heeft ?
ik kan eigenlijk geen dag zonder, want alles wat ik op tv kijk, is door de NAS gedownload via de newsgroepen.

Is in het verleden wel eens vaker zoiets als dit voorgekomen, en zoja, hoe lang duurde het toen totdat Synology een oplossing had ?