Auteur Topic: Synology geeft waarschuwing voor ransomware aanval.  (gelezen 86300 keer)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #225 Gepost op: 01 november 2019, 18:20:48 »
De malware heet niet Qnas maar Qsnatch en lijkt alleen voor nassen van het merk Qnap geschreven te zijn.

Ik lees overigens liever de beschrijving op security.nl. Tweakers weet blijkbaar al dat het een virus betreft, terwijl de experts nog niet eens weten hoe het op de nas komt. rara. waar haalt twaekers die kennis vandaan? Het kan b.v. ook een trojan zijn die zelf geïnstalleerd wordt met een besmet pakket of de malware wordt via remote aanvallers op de nas gezet.

Lees ook dit: Qsnatch verwijderingstool
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline maikell

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 0
  • Berichten: 1
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #226 Gepost op: 14 mei 2020, 20:07:51 »
wat moet ik dan doen om mijn nas beter tebeveiligen kan ik zo maar een wacht woord veranderen zonder in problemen te komen


  • Mijn Synology: Synology D
  • HDD's: 6TB
  • Extra's: 4 ram

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #227 Gepost op: 14 mei 2020, 20:11:44 »
Beter dan een nog sterker wachtwoord is het aanzetten van 2-factor authenticatie. Sterke wachtwoorden kunnen ook door keyloggers onderschept worden. Bij 2FA heeft de 'inbreker' ook nog je extra device nodig.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7754
  • Berichten: 43.052
  • EOF
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #228 Gepost op: 14 mei 2020, 20:36:02 »
Citaat
kan ik zo maar een wacht woord veranderen zonder in problemen te komen
Uiteraard kan dat..... en lees ook:
Hoe de beveiliging van uw Synology NAS verbeteren.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline J.Einmahl

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #229 Gepost op: 15 mei 2020, 19:32:02 »
Hoi,

Een tijdlang heb ik ook last gehad van die BruteForce aanvallen. Zie bijlage.
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.
Weet jij waar ik die functie zit ?

Alvast bedankt

Groet Jos
  • Mijn Synology: NAS216PLAY
  • HDD's: 2x2TB

Offline Babylonia

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 802
  • -Ontvangen: 1381
  • Berichten: 7.504
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #230 Gepost op: 15 mei 2020, 20:29:57 »
Opschonen zou ik dan juist NIET doen.  Weet je mogelijk waar vandaan.
Want je hebt kennelijk je beveiliging slecht geregeld.

Kijk eens naar het volgende onderwerp en aanbevelingen daarin:
https://www.synology-forum.nl/ddns-extern-benaderen/dsm-gehacked-gt-firewall-en-poorten-aangepast-en-afgesloten-door-xs4all/msg171574

DS213j   2x 6TB WD Ultrastar     -  DSM 6.2  -  glasvezel 1 Gbps  (Odido) ZyXEL EX5601 + RT1900ac (AP) + Apple Airport Express (bridge)
DS415+  4x 4TB HGST Deskstar  -  DSM 6.2  -  glasvezel 100/100  (KPN) + 2x "SupeWifi" + RT6600ax + RT2600ac + MR2200ac  -  NVDIA Shield TV Pro
DS920+  4x 4TB WD Red Plus     -  DSM 6.2         +         DS420j   4x 4TB WD Red Plus   -  DSM 7.2
             Ervaring met routers van  DrayTek, Fritzbox, TP-Link  -  switches Netgear, ZyXEL  -  Access Points TP-Link, Grandstream.....

Offline J.Einmahl

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 2
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #231 Gepost op: 15 mei 2020, 20:43:51 »
Ik begrijp je reactie. Dat mijn beveiliging slecht geregeld was, was idd zo.
Maar dat is inmiddels al meer dan 7 maanden geleden opgelost.
Vandaar dat ik die lijst met meer dan 11000 meldingen toch eens zou willen opschonen  :)


  • Mijn Synology: NAS216PLAY
  • HDD's: 2x2TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #232 Gepost op: 15 mei 2020, 21:06:44 »
En wat stellen die 11.000 meldingen nu voor? Voor een logbestand is dat peanuts. Mailserver maakt bij mij elke paar maand een logbestand met 30.000 entries.
Is maar 30 MB groot en als je archieven gecomprimeerd opslaat is dit 0,6 MB (Tekst is sterk te comprimeren). Qua opslagcapaciteit stelt het niets voor.

Opschonen is misschien belangrijk bij bedrijven die een een AVG moeten voldoen. Dan kan het zijn dat je bepaalde etries maar 6, 12 of 24 maand mag bewaren. (Maar van die regels heb ik geen kaas gegeten)

Citaat
Hebben op alle voor mij bekende plekken gezocht maar niet kunnen vinden.

De locatie heb je zelf opgegeven en kunnen wij dus ook niet weten.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7754
  • Berichten: 43.052
  • EOF
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #233 Gepost op: 15 mei 2020, 21:23:22 »
Volgens mij worden die meldingen uit het Log Center gehaald.
Daar kun je opschonen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #234 Gepost op: 15 mei 2020, 23:08:01 »
Nee, dit staat los van Log Center. Het wordt ook in een ander formaat opgeslagen. Wat dat betreft maakt Synology er een rommeltje van door niet alles op een consistente plek te loggen.

Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor. En zolang je de logboeken kunt lezen, zal dat pad ook nog correct zijn.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7754
  • Berichten: 43.052
  • EOF
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #235 Gepost op: 16 mei 2020, 12:09:56 »
Maar je moet zelf de plek aangeven, waar je het gaat opslaan en dat zelfgekozen pad staat gewoon in Security Advisor.
TS laat zien Security Advisor > Aanmeldanalyse, dat is wat anders dan het laten zien van een Rapport opgeslagen in Raportinstellingen > Opslaglocatie.

Ik heb getest, een aantal keren fout ingelogd, SA laat zien dit dan ook zien:
48458-0

In het Log Center:
48460-1

Als ik nu in het Log Center > Logboeken > verbinding kies en op Wissen klik, dan zijn alle verbindings- meldingen weg.
Echter, als ik SA weer laat scannen, dan blijft de melding bestaan in Security Advisor > Aanmeldanalyse.

Ben verder gaan testen en zoeken en wat blijkt, de data wordt uiteindelijk opgeslagen in /volume1/@database/synologan/alert.sqlite
Mbrute_force_attackBruteForceAttack2020/05/16 10:17:28{"attempt_count":10,"country_code_list":[],"has_any_public_src_ip":false,"protocol_list":["DSM"],"src_ip_list":["192.168.1.7"],"thresh_minutes":5,"user":"test"}
Nu zou ik de opgeslagen meldingen graag willen opschonen maar kan niet vinden hoe...
Opschonen kan dus niet, tenzij je met SQL die regels verwijdert uit die database maar, daar zou ik dus zeker niet aan beginnen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2615
  • Berichten: 16.229
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #236 Gepost op: 16 mei 2020, 14:23:23 »
Helemaal snappen doe ik die aanmeld analyse niet. Er staan bij mij slechts 37 entries over de periode december 2018 t/m januari 2020. Via logboeken zie ik er heel veel meer staan en de meldingen uit de analyser mis ik er juist.  ::)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7754
  • Berichten: 43.052
  • EOF
    • Truebase
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #237 Gepost op: 16 mei 2020, 22:00:05 »
Ben toch even een stapje verder gegaan maar, als je die meldingen toch wilt verwijderen, dan kan je de Database verwijderen in PuTTY:
rm /volume1/@database/synologan/alert.sqliteJe moet natuurlijk wel root zijn.

REBOOT de NAS en de Database wordt opnieuw gemaakt, dus de meldingen zijn daarmee weg. ;D


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline pappa123

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 0
  • Berichten: 29
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #238 Gepost op: 02 september 2020, 12:31:37 »
Hallo ik weet niet of ik hier goed zit, maar ik ben gehackt met ransomware in mijn nas.
Al mijn bestanden zijn encrypted.
wat te doen nu?

Offline André PE1PQX

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 25
  • -Ontvangen: 153
  • Berichten: 1.315
  • 1st computer rule: GIGO -> Garbage in, Garbage out
    • Mijn Webstee...
Re: Synology geeft waarschuwing voor ransomware aanval.
« Reactie #239 Gepost op: 02 september 2020, 13:10:20 »
In geen geval betalen!

Als je een remote backup hebt, dan de geraakte NAS resetten en opnieuw installeren, en backup terug zetten.
"Anyone who sits on top of the largest hydrogen-oxygen fueled system in the world; knowing they're going to light the bottom - and doesn't get a little worried - does not fully understand the situation" - John Young, Astronaut


DS918+ -> 4x 4TB in RAID5 met 4Gbyte RAM extra (DSM7.2, backup systeem voor PC's)
DS218+ -> 2x 8TB met 4Gbyte RAM extra (DSM 7.2, Mailplus server en client + OpenVPN server)
DS220j -> 1x 8TB + 3TB (DSM7.2)
DS214+ -> 2x 6TB (DSM7.1.1)
DS120j -> 1x 6TB (DSM7.2, off-site backup)


 

DS212j als back-up tussen twee synology NAS-sen en Surveillance Station

Gestart door dolphsBoard NAS hardware vragen

Reacties: 6
Gelezen: 1847
Laatste bericht 23 oktober 2016, 20:25:09
door dolphs
Synology CMS

Gestart door vdhoek1972Board Officiële Packages

Reacties: 8
Gelezen: 2744
Laatste bericht 03 januari 2017, 21:31:50
door vdhoek1972
Synology Quickconnect- u bent niet gemachtigd deze service te gebruiken

Gestart door macxboBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 13
Gelezen: 7322
Laatste bericht 30 maart 2017, 19:46:45
door dvandonkelaar
VERPLAATST: Synology benaderen van buitenaf met iPhone.

Gestart door BirdyBoard FTP, NFS and Samba Server

Reacties: 0
Gelezen: 1897
Laatste bericht 19 juni 2017, 10:31:31
door Birdy
synology firewall

Gestart door stapperBoard Synology DSM algemeen

Reacties: 37
Gelezen: 6624
Laatste bericht 19 september 2017, 18:39:03
door Ben(V)