Synology geeft waarschuwing voor ransomware aanval.

[Babylonia]

Ik zou jullie raad graag willen opvolgen en dus uitvoeren, echter zou ik niet weten hoe daaraan te beginnen.

Er zijn door Synology uitgebreide hulpbronnen, help-files, handleidingen en video tutorials uitgegeven.
Kleine zoekactie met Google en je vindt ze.

[Birdy]

@Menneke In Reactie #7 staat een handige link hiervoor, maar goed, lees dit dan maar.

[Menneke]

Bedankt mensen.

@Birdy ... daar was ik net mee bezig, morgen ga ik het grondig doorlezen en als ik het aandurf uitvoeren.

[Hofstede]

Begin als eerste met het uitvoeren van de Security advisor in DSM. Die controleert een aantal basiszaken.

[Menneke]

Dat doe ik regelmatig, ik zag daar ergens dat mijn ww sterk is ... maar het kan blijkbaar beter / veiliger.

[eentje]

bij het uitzoeken waarom mijn nas sinds gisteren niet meer in slaapstand ging er achter gekomen dat ze bij mij ook druk san brute forcen zijn. heb admin account wel aanstaan nog met een 28 char pasword dus niet bang dat ze binnenkomen. wel vervelend nu met die hitte. ding word flink warm zo. maar hopen dat ze snel klaar zijn

[Briolet]

Aan een sterk wachtwoord heb je niets als je PC b.v. met een keylogger besmet raakt. Voor zo'n programma maakt het niet uit of iets sterk of zwak is. Voor een admin account zou ik dat altijd een factor 2 authenticatie gebruiken.

[Menneke]

Deskundige uitleg / advies.
Zullen een aantal mensen zeker iets aan hebben. Zelf begrijp ik er geen jota van maar dat is mijn probleem.

Ben even bezig geweest via de tips die ik hier intussen heb gekregen.
Ik zie nu dat ik inmiddels 3 accounts heb ...
Een "admin" genaamd.
Nog eentje als "guest"
En dan een derde aangemaakt op "mijn naam".

Echter, wanneer ik nu op "admin" klik zie ik aangegeven "sterk wachtwoord maar bij bevestiging ww staat er een korter ww.
Wanneer ik dan op ok klik krijg ik melding "een aantal van uw instellingen zijn onjuist, vul deze opnieuw in"

Bij het account "guest" ziet het er goed uit.

Het derde account (op mijn naam) geeft zelfde resultaat als bij "admin".

Ik zal er maar eens een IT er moeten gaan bijhalen denk ik. 

[stapper]

ah is dat het.....

pffff, ik ben kennelijk ook de beer...
admin account kan ik niet meer in....

apart ik had gister mijn pc aan plotseling kreeg ik een ding van ransomware bla bla bla met een piep...
via de taskmanager heb ik die melding verwijderd, en direct de pc een deepscan gedaan, en malwarebytes... er werd niets gevonden.

De nas:

meldingen rechts om het uur een melding dat de admin account is beveiligd
admin account kan ik niet meer in.
ik heb gelukkig een gebruikers account met admin rechten... kon er zo bij
bestanden bekeken voor zover ik kan zien werkt alles..
Beveiligingscentrum laten draaien, alles groen...
Logcenter: om de paar minuten doen ze nu een poging... steeds andere ip nummers...Elke keer gaat dat niet door, user admin ip ..... failed due to autherization..

paar vragen:

het account admin kan ik niet meer in... toch proberen ze steeds in te loggen wat kennelijk mislukt... Hoe kan dat ze konden toch dat admin account aanpassen?? Of is dat juist de hack en zijn ze nog niet verder?

kan ik die admin account gewoon weg gooien?

Zijn mijn bestanden nu besmet?

[stapper]

ps. ik heb de admin account eerst maar uitgeschakeld... geen meldingen meer nu.

[Babylonia]

Dat is ook precies de bedoeling voor een meer "veilige" NAS, dat je je normale admin account uitschakelt,
en alleen inlogt met een afwijkende gebruikersnaam met adminrechten.

Omdat de "admin" naam de meest gebruikelijke inlognaam is (= standaard), en de meeste mensen dat niet aanpassen,
wordt juist op die naam geprobeerd in te loggen.
Men hoeft dan alleen nog maar een wachtwoord te raden. Als dat niet al te lang is, is men echt zo binnen.
Dat proberen gebeurt volledig geautomatiseerd met een wachtwoord generator.  Net zo lang tot er een match is.
In dit geval zelfs met een gefingeerde IP-adres wisseling, zodat men het blokken van IP-addressen omzeilt.

Bij gebruik van een andere gebruikersnaam, zijn er twee velden te "raden".
Gebruikersnaam en wachtwoord. De combinatie van die twee is praktisch eigenlijk nauwelijks te doen.
(Als je voor die twee velden geen voor de hand liggende woorden gebruikt, en voldoende "vreemde" karakters).

[wopper]

Wat ik gedaan heb. Is het gebruik van GEO firewall, ik gebruik een aantal diensten van mijn NAS tijdens mijn kantooruren. Het is voor mij fijn als ik er gewoon bij kan vanaf het internet, maar de aanvallers natuurlijk niet.

Het standaard Synology lijstje + de volgende zaken.

-Ik gebruik quickconnect, de connect cloud van synology. Een hoop klanten zetten tegenwoordig hun gastennetwerken dicht en dan is deze cloud de enige manier om bij mijn nas te komen. Na de hack, lang geleden, op deze cloud. Neemt synology security erg serieus. Voordat ze mij aanvallen zullen ze eerst mijn quickid moeten achterhalen, voor ze gericht kunnen aanvallen op mijn NAS.
-Ik heb wel een aantal porten open staan, bv ssh op 5522 en DSM nog wel op de standaard poort. Maar ik heb daar een GEO filewall regel op gezet, alleen Nederlandse IP's mogen erbij. (Vanavond maar de DSM port wijzigen naar een niet standaard poort.)
-In die GEO acl regels heb ik ook een aantal lijnen voor de Top10 hackende landen (google) en die mogen helemaal niets, alles is geblokkeerd vanuit die landen.
-2FA is ook een goede optie
-admin account staat vanzelfsprekend uit, maar dat staat ook in het standaard lijstje van synology.



Je ziet vaak dat de randsomware of echte hacker een aantal zaken probeert welke heel standaard zijn; port 22, port 5001 en dan altijd de gebruiker admin. Als je de combinatie van deze set voorkomt ben ja een forse stap veiliger + een goed wachtwoord.

[stapper]

vraag, ik heb die admin uitstaan... nu...
komen geen meldingen meer binnen van buiten af...

alles werkt...
securiti advisor gaf geen vreemde zaken aan...

melding centrum rechts geeft steeds aan, dat admin beveiligd is...( doet die nas dat?)
kon zelf niet meer inloggen met dat wachtwoord...

ik had wel dat ding draaien naam ff kwijt, maar als ze dan een snelle portscan doen dan gooit hij hem er af....

krijg via logcenter steeds meldingen van inloggen failed via dat en dat ip nummer due to auterization....

zijn ze nu wel binnen geweest of niet???
zweet me de pleuris van het weer en dit .... moet ik me nu zorgen maken, of heb ik mazzel?

bvd

[stapper]

ps ik heb admin uitstaan nu... pfff wist niet dat dit moest

krijg nog steeds meldingen dat ze proberen in te loggen...

hele account verwijderen???

[Babylonia]

Admin account is niet te verwijderen, alleen uit te schakelen.

Als je nog steeds meldingen krijgt van inlogpogingen, heb je de rest mogelijk niet goed ingesteld in je firewall?
Zoals de eerdere genoemde "GEO" (regio) blocking, of eerder gezegd, alleen Nederland toelaten, de rest uitsluiten.

Wil je meer over firewall regels weten, kijk dan eens bij de Synology "router" sectie van het forum.
Daar staat een sticky hoe firwall regels in te stellen: < HIER >
Nu geldt die beschrijving specifiek voor de Synology routers, waar een aantal mogelijkheden meer in zitten dan bij een NAS.
Het principe is echter hetzelfde.  Met een aantal basisregels die daar worden uitgelegd, kun je dat voor een NAS ook instellen.