Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 9188 keer)

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 280
  • -Ontvangen: 776
  • Berichten: 4.611
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #30 Gepost op: 25 juli 2019, 20:59:37 »
Ik zou jullie raad graag willen opvolgen en dus uitvoeren, echter zou ik niet weten hoe daaraan te beginnen.

Er zijn door Synology uitgebreide hulpbronnen, help-files, handleidingen en video tutorials uitgegeven.
Kleine zoekactie met Google en je vindt ze.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 984
  • -Ontvangen: 5374
  • Berichten: 32.227
  • Synology is awesome.
    • Synology Support
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #31 Gepost op: 25 juli 2019, 21:10:30 »
@Menneke In Reactie #7 staat een handige link hiervoor, maar goed, lees dit dan maar.
PM mij s.v.p. niet voor Support! Gebruik hiervoor het Forum.

Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-3  [TEST]
RT2600ac                      SRM 1.2.3-8017-3   [PROD]
MR2200ac                      SRM 1.2.3-8017-3   [PROD]

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #32 Gepost op: 25 juli 2019, 21:14:54 »
Bedankt mensen.

@Birdy ... daar was ik net mee bezig, morgen ga ik het grondig doorlezen en als ik het aandurf uitvoeren.

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1235
  • Berichten: 5.180
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #33 Gepost op: 25 juli 2019, 21:15:11 »
Begin als eerste met het uitvoeren van de Security advisor in DSM. Die controleert een aantal basiszaken.

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #34 Gepost op: 25 juli 2019, 21:17:23 »
Dat doe ik regelmatig, ik zag daar ergens dat mijn ww sterk is ... maar het kan blijkbaar beter / veiliger.

Offline eentje

  • Bedankjes
  • -Gegeven: 27
  • -Ontvangen: 9
  • Berichten: 155
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #35 Gepost op: 25 juli 2019, 21:42:49 »
bij het uitzoeken waarom mijn nas sinds gisteren niet meer in slaapstand ging er achter gekomen dat ze bij mij ook druk san brute forcen zijn. heb admin account wel aanstaan nog met een 28 char pasword dus niet bang dat ze binnenkomen. wel vervelend nu met die hitte. ding word flink warm zo. maar hopen dat ze snel klaar zijn

  • Mijn Synology: DS1512+
  • HDD's: 2x3 1x4 1x6
There EENT no place like ://home

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 117
  • -Ontvangen: 1699
  • Berichten: 11.344
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #36 Gepost op: 25 juli 2019, 22:17:58 »
Aan een sterk wachtwoord heb je niets als je PC b.v. met een keylogger besmet raakt. Voor zo'n programma maakt het niet uit of iets sterk of zwak is. Voor een admin account zou ik dat altijd een factor 2 authenticatie gebruiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Menneke

  • Bedankjes
  • -Gegeven: 15
  • -Ontvangen: 3
  • Berichten: 110
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #37 Gepost op: 25 juli 2019, 23:16:45 »
Deskundige uitleg / advies.
Zullen een aantal mensen zeker iets aan hebben. Zelf begrijp ik er geen jota van maar dat is mijn probleem.

Ben even bezig geweest via de tips die ik hier intussen heb gekregen.
Ik zie nu dat ik inmiddels 3 accounts heb ...
Een "admin" genaamd.
Nog eentje als "guest"
En dan een derde aangemaakt op "mijn naam".

Echter, wanneer ik nu op "admin" klik zie ik aangegeven "sterk wachtwoord maar bij bevestiging ww staat er een korter ww.
Wanneer ik dan op ok klik krijg ik melding "een aantal van uw instellingen zijn onjuist, vul deze opnieuw in"

Bij het account "guest" ziet het er goed uit.

Het derde account (op mijn naam) geeft zelfde resultaat als bij "admin".

Ik zal er maar eens een IT er moeten gaan bijhalen denk ik. 

Offline stapper

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 5
  • Berichten: 543
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #38 Gepost op: 26 juli 2019, 06:56:50 »
ah is dat het.....

pffff, ik ben kennelijk ook de beer...
admin account kan ik niet meer in....

apart ik had gister mijn pc aan plotseling kreeg ik een ding van ransomware bla bla bla met een piep...
via de taskmanager heb ik die melding verwijderd, en direct de pc een deepscan gedaan, en malwarebytes... er werd niets gevonden.

De nas:

meldingen rechts om het uur een melding dat de admin account is beveiligd
admin account kan ik niet meer in.
ik heb gelukkig een gebruikers account met admin rechten... kon er zo bij
bestanden bekeken voor zover ik kan zien werkt alles..
Beveiligingscentrum laten draaien, alles groen...
Logcenter: om de paar minuten doen ze nu een poging... steeds andere ip nummers...Elke keer gaat dat niet door, user admin ip ..... failed due to autherization..

paar vragen:

het account admin kan ik niet meer in... toch proberen ze steeds in te loggen wat kennelijk mislukt... Hoe kan dat ze konden toch dat admin account aanpassen????? Of is dat juist de hack en zijn ze nog niet verder?

kan ik die admin account gewoon weg gooien?

Zijn mijn bestanden nu besmet?





  • Mijn Synology: ds216+
  • HDD's: 2 wd red 4T

Offline stapper

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 5
  • Berichten: 543
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #39 Gepost op: 26 juli 2019, 07:00:55 »
ps. ik heb de admin account eerst maar uitgeschakeld... geen meldingen meer nu.
  • Mijn Synology: ds216+
  • HDD's: 2 wd red 4T

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 280
  • -Ontvangen: 776
  • Berichten: 4.611
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #40 Gepost op: 26 juli 2019, 07:27:21 »
Dat is ook precies de bedoeling voor een meer "veilige" NAS, dat je je normale admin account uitschakelt,
en alleen inlogt met een afwijkende gebruikersnaam met adminrechten.

Omdat de "admin" naam de meest gebruikelijke inlognaam is (= standaard), en de meeste mensen dat niet aanpassen,
wordt juist op die naam geprobeerd in te loggen.
Men hoeft dan alleen nog maar een wachtwoord te raden. Als dat niet al te lang is, is men echt zo binnen.
Dat proberen gebeurt volledig geautomatiseerd met een wachtwoord generator.  Net zo lang tot er een match is.
In dit geval zelfs met een gefingeerde IP-adres wisseling, zodat men het blokken van IP-addressen omzeilt.

Bij gebruik van een andere gebruikersnaam, zijn er twee velden te "raden".
Gebruikersnaam en wachtwoord. De combinatie van die twee is praktisch eigenlijk nauwelijks te doen.
(Als je voor die twee velden geen voor de hand liggende woorden gebruikt, en voldoende "vreemde" karakters).
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....

Offline wopper

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 52
  • Berichten: 423
    • http://www.robdehoog.nl
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #41 Gepost op: 26 juli 2019, 07:38:09 »
Wat ik gedaan heb. Is het gebruik van GEO firewall, ik gebruik een aantal diensten van mijn NAS tijdens mijn kantooruren. Het is voor mij fijn als ik er gewoon bij kan vanaf het internet, maar de aanvallers natuurlijk niet.

Het standaard Synology lijstje + de volgende zaken.

-Ik gebruik quickconnect, de connect cloud van synology. Een hoop klanten zetten tegenwoordig hun gastennetwerken dicht en dan is deze cloud de enige manier om bij mijn nas te komen. Na de hack, lang geleden, op deze cloud. Neemt synology security erg serieus. Voordat ze mij aanvallen zullen ze eerst mijn quickid moeten achterhalen, voor ze gericht kunnen aanvallen op mijn NAS.
-Ik heb wel een aantal porten open staan, bv ssh op 5522 en DSM nog wel op de standaard poort. Maar ik heb daar een GEO filewall regel op gezet, alleen Nederlandse IP's mogen erbij. (Vanavond maar de DSM port wijzigen naar een niet standaard poort.)
-In die GEO acl regels heb ik ook een aantal lijnen voor de Top10 hackende landen (google) en die mogen helemaal niets, alles is geblokkeerd vanuit die landen.
-2FA is ook een goede optie
-admin account staat vanzelfsprekend uit, maar dat staat ook in het standaard lijstje van synology.



Je ziet vaak dat de randsomware of echte hacker een aantal zaken probeert welke heel standaard zijn; port 22, port 5001 en dan altijd de gebruiker admin. Als je de combinatie van deze set voorkomt ben ja een forse stap veiliger + een goed wachtwoord.
  • Mijn Synology: 916+

Offline stapper

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 5
  • Berichten: 543
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #42 Gepost op: 26 juli 2019, 07:50:52 »
vraag, ik heb die admin uitstaan... nu...
komen geen meldingen meer binnen van buiten af...

alles werkt...
securiti advisor gaf geen vreemde zaken aan...

melding centrum rechts geeft steeds aan, dat admin beveiligd is...( doet die nas dat?)
kon zelf niet meer inloggen met dat wachtwoord...

ik had wel dat ding draaien naam ff kwijt, maar als ze dan een snelle portscan doen dan gooit hij hem er af....

krijg via logcenter steeds meldingen van inloggen failed via dat en dat ip nummer due to auterization....

zijn ze nu wel binnen geweest of niet??????
zweet me de pleuris van het weer en dit :) .... moet ik me nu zorgen maken, of heb ik mazzel?

bvd
  • Mijn Synology: ds216+
  • HDD's: 2 wd red 4T

Offline stapper

  • Bedankjes
  • -Gegeven: 11
  • -Ontvangen: 5
  • Berichten: 543
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #43 Gepost op: 26 juli 2019, 07:59:45 »
ps ik heb admin uitstaan nu... pfff wist niet dat dit moest :P

krijg nog steeds meldingen dat ze proberen in te loggen...

hele account verwijderen???
  • Mijn Synology: ds216+
  • HDD's: 2 wd red 4T

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 280
  • -Ontvangen: 776
  • Berichten: 4.611
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #44 Gepost op: 26 juli 2019, 09:16:16 »
Admin account is niet te verwijderen, alleen uit te schakelen.

Als je nog steeds meldingen krijgt van inlogpogingen, heb je de rest mogelijk niet goed ingesteld in je firewall?
Zoals de eerdere genoemde "GEO" (regio) blocking, of eerder gezegd, alleen Nederland toelaten, de rest uitsluiten.

Wil je meer over firewall regels weten, kijk dan eens bij de Synology "router" sectie van het forum.
Daar staat een sticky hoe firwall regels in te stellen: < HIER >
Nu geldt die beschrijving specifiek voor de Synology routers, waar een aantal mogelijkheden meer in zitten dan bij een NAS.
Het principe is echter hetzelfde.  Met een aantal basisregels die daar worden uitgelegd, kun je dat voor een NAS ook instellen.
DS213j   2x 3TB WD Red            -  DSM 5.0  -  Ubee EVW3210 + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  RT1900ac + MR2200ac + 8 port switch
DS218+  2x 3TB WD Red            -  DSM 6.2  -  DrayTek 2960.....


 

Synology NAS naam aangepast, niet gewijzigd als "website naam".

Gestart door GenisysNLBoard Synology DSM 6.0

Reacties: 5
Gelezen: 4499
Laatste bericht 10 november 2018, 21:35:18
door Underlyingglitch
Volume crashed ; Disk 2 heeft geen Synology partitie ; Disk 1 crashed

Gestart door atvdlaanBoard NAS hardware vragen

Reacties: 4
Gelezen: 1383
Laatste bericht 22 juni 2019, 23:37:07
door bussie_it_NAS
Externe HD backup via "Time-machine" of Synology backup tool

Gestart door grindalBoard Data replicator & overige backupsoftware

Reacties: 5
Gelezen: 165
Laatste bericht 06 oktober 2019, 11:04:23
door eaz
Synology maakt contact met een vreemd IP-adres en maakt daarna geen contact meer

Gestart door patrick25Board Synology DSM 5.2

Reacties: 6
Gelezen: 10923
Laatste bericht 17 mei 2015, 09:37:01
door Ben(V)
Synology Hybrid Raid vs Raid 1

Gestart door Leader98Board NAS hardware vragen

Reacties: 2
Gelezen: 10133
Laatste bericht 08 november 2012, 22:55:55
door Biite
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.