Synology Netzwerkspeicher zum Mining von Kryptowährung gehackt
von caschy | 13 Kommentare
Interessante Geschichte, die da einige Synology NAS-Nutzer in den Foren losgetreten haben. Sollte sich auf jeden Fall jeder Synology-Nutzer anschauen, sofern das NAS am Internet hängt und in letzter Zeit irgendwelche Anomalien bezüglich der Leistung festgestellt wurden. Einige Nutzer bemerkten, dass ihre Geräte nur noch schwer in Gang kamen, sprich: überlastet waren. Der Blick in den Ressourcen-Monitor des NAS über DSM brachte wohl nichts Besonderes zum Vorschein, wohl aber der flotte Blick mittels Telnet und der anschließenden Analyse laufender Prozesse.
Durch eine Sicherheitslücke sind anscheinend Hacker auf die Boxen gekommen und konnten so irgendwelche Mining-Software für digitale Währung a la Bitcoin und Co installieren, die die Boxen völlig auslastete. Ebenfalls gab es auf dem NAS den Ordner Pwned zu finden, welcher die benötigten Dateien enthielt. Die Sicherheitslücke ist scheinbar nur bis DSM 4.3-3810 auftretend, das Synology-Team kündigte bereits via Facebook an, der Geschichte nachzugehen. Solltet ihr betroffen sein, so findet ihr eine Lösung im Synology-Forum.
Wird geladen ...
Ein NAS für Mining??? Das müssen aber vieeeeeeeele NAS-Einbrüche gewesen sein, damit sich das auch nur halbwegs lohnt. Wenn ich mir da den Stundenlohn ausrechne, bleibt sicher nicht viel übrig.
bei der miserablen Rechenleistung kann ich mir nicht vorstellen das nur ein bitcoin damit geschürft wurde.
Und das so etwas relativ schnell auffliegt versteht sich wohl von selbst.
Deshalb wächst die Hashrate so schnell!
‚Sicherheitslücke ist scheinbar nur bis DSM 4.3-3810‘ – klingt etwas irreführend!
DSM 4.3 i s t das aktuelle DSM!
An welcher Stelle im Dateisystem befindet sich denn der Ordner ‚Pwned‘?
‘Sicherheitslücke ist scheinbar nur bis DSM 4.3-3810′
Nur? Besser formuliert wäre wohl: „Die Sicherheitslücke ist bis in die aktuellste Version vorhanden.“ Betasoftware installiert sich wohl keiner auf sein NAS in Produktivumgebungen.
Die dsm Version liegt in update 4 vor da wurde die Lücke in jedem fall geschlossen.
(DSM 4.3-3810 Update 4 )
Die Versionen vor update 3 können so weit ich mich nicht irre noch kompromittiert werden.
Das war bestimmt die Lücke, die man für die NSA offen gelassen hat 😀
Mich hats auch erwischt. /PWND, Scripte ausgetauscht, Rootkit. Hatte 4.3.-3810 Update 3. Danke Synology für die Warnung. Im Changelog von U4 steht nix.
Dafür hier:
http://www.cvedetails.com/vulnerability-list/vendor_id-11138/Synology.html
Und wie fängt man sich so was ein?
Remote ausnutzbare Sicherheitslücken und die Weboberfläche war wegen Erreichbarkeit (Dateimanager etc) über NAT weitergeleitet. Bietet die Syno übrigens auch von sich aus an, per UPNP.
Habe eine ds209 und keine Chance an 4.3. oder mehr ranzukommen. Somit steht man ungeschützt da und muss u.U. ein neues NAS kaufen…
Wenn ich mittlerweile Update 4 installiert habe, muss ich dann trotzdem noch fürchten, dass der PWND-Ordner auf meiner NAS existiert? Bzw. wie kann ich feststellen, dass dem so ist? Habe versucht, anhand der Anleitung vorzugehen, komme dort aber nicht so recht weiter…
Momentan gibts dann wohl keine Sicherheitslücken mit Update 4. Aber nach der Erfahrung spar ich mir die direkte Portweiterleitung erstmal und arbeite nur noch über VPN.
Hier habe ich eine kurze Anleitung wie man checken kann ob man von dem Angriff betroffen ist:
http://www.synology-forum.de/showthread.html?50468-Aktive-Hackangriffe-auf-DSM-Versionen-kleiner-4.3.-3810-Update-3&p=402253&viewfull=1#post402253