Synology SynoLocker: Warnmeldung ausgegeben
von caschy | 35 Kommentare
Heute berichteten wir hier im Blog schon über eine neue Bedrohung namens SynoLocker. Ein Schädling, der es Angreifern ermöglicht, auf euer Synology NAS zuzugreifen und die gesamten Daten zu verschlüsseln. Nutzer haben keinen Zugriff mehr und werden auf eine externe Seite geleitet, über die sie ein Lösegeld bezahlen sollen, um wieder an ihre Daten zu kommen. Synology hat jetzt eine Warnmeldung herausgegeben. In dieser wird darauf hingewiesen, dass derzeit alle Nutzer, die nicht infiziert sind, externe Ports des NAS schließen, zudem auf die aktuellste DSM-Version aktualisieren und unbedingt ein Backup anfertigen sollen. Betroffene Nutzer sollen sich ebenfalls über das Formular melden.
Die Meldung im Original:
SynoLocker Message Issue — If NAS is not infected: First, close all open ports for external access for now. Backup the data on the DiskStation and update DSM to the latest version. Synology will provide further information as soon as possible if you are vulnerable. If NAS is infected, first do not trust (and ignore) any unauthorized, non-Synology messages or emails. Hard shut down the DiskStation to prevent any further issues. Contact Synology support as soon as possible by submitting a form below or email us at security@synology.com. We apologize for any issue this has created, we will keep you updated with latest information as we address this issue.
Wird geladen ...
http://owncloud.org ist eine alternativ, lauft tadellos
@Tom
Die NAS geht über den Router ins Netz, dementpsrechend reicht es im Router Port-Forwarding zu deaktivieren. Bezüglich Sicherheit und NAS gibt es einige gute Videotutorials auf Youtube von iDomix.
Persönlich hat sich das Thema NAS und Inernetzugriff erstmal erledigt, die NAS bleibt nur noch lokal erreichbar. Es war zwar ganz komfortabel für Projekte Dateien schnell austauschen zu können, für viele war aber das Einloggen (Stichwort sichere Passwörter) schon zu umständlich, weswegen es kaum genutzt und Mail/Dropbox/Google Drive bevorzugt wurden. Notfalls wird eben die NAS der FritzBox benutzt werden. Das ist für mich eine gute Lösung, für andere sicherlich nicht, weswegen ich den Frust vieler nur zu gut verstehen kann. Synology muß dringend an ihrem Sicherheitskonzept (Updates) und Informationspolitik arbeiten.
Wie genau schliesse ich die Ports an der Synology?
Diese Info kann ich leider nirgends finden. Ein Portscan zeigt nämlich reichlich offene Ports:
Open TCP Port: 21 ftp
Open TCP Port: 80 http
Open TCP Port: 139 netbios-ssn
Open TCP Port: 161 snmp
Open TCP Port: 445 microsoft-ds
Open TCP Port: 515 printer
Open TCP Port: 548 afpovertcp
Open TCP Port: 631 ipp
Open TCP Port: 3689 daap
Open TCP Port: 5000 commplex-main
Open TCP Port: 5001 commplex-link
Open TCP Port: 5005 avt-profile-2
Open TCP Port: 5432 postgresql
Open TCP Port: 49152
Open TCP Port: 50001
Open TCP Port: 50002
Ich fürchte, diese Frage haben viele
Tom, korrekt, falls du Ports im Router freigegeben hast, entferne diese im Moment. Falls du Quickconnect (auf dem Nas) eingerichtet hast, deaktiviere dies. Diese zwei Schritte schliessen die möglichen Zugänge von aussen.
Für zusätzliche Sicherheit (abgesehen von der momentanen Problematik:
Du kannst (zufinden unter Security in den Systemeinstellungen) den Autoblock einzuschalten. Somit werden erfolglose Versuche geblockt. Falls du bloss aus Deutschland (oder deinem Heimatsland) auf deine Nas zugreifen wirst kannst du als zusätzliche Hürde an gleicher Stelle unter Firewall den Zugriff für alle Länder ausser Deutschland sperren. Wenn du ein Smartphone besitzt kannst du, indem du oben rechts auf die Figur klickst, in deinen Profileinstellungen die 2-Schritt-Auth einschalten und konfigurieren.
Falls du in Zukunft planst dein Nas von aussen erreichbar zu machen empfehle ich dir die Standartports der Synology zu ändern. (nimm eine hohe Nummer im 5stelligen Bereich, diese werden normalerweise nicht gescannt, hat keiner die Zeit für. http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers hier findest du zusätzliche Infos)
Last but not least, halte dein Nas aktuell, soweit ich es beurteilen kann sind bisher bloss Leute mit älteren Versionen und Standartports betroffen, dies ist aber nur eine persönliche Beobachtung und kein technisch verifizierter Fakt.
Also gehe ich recht der annahme das der schädling über die Synology Firmware zugriff bekommen hat, nicht über einen Lokal im LAN laufenden PC ?
Also wer dein NAS nur im Netz betreibt sollte sicher sein ?
Ich bekomme heute im Laufe des Tages übrigens noch weiterführende Infos, melde mich
freenas oder nas4free sind gute Alternativen für eine Selbstbau-NAS.
http://www.freenas.org/
http://www.nas4free.org/
Die Ports schliesst du indem du die Dienste auf dem NAS abschaltest…
Dann kommt aber niemand mehr ran.
Slider, zur Zeit ist nicht bekannt wie der Schädling auf dem Nas landet. Die Meldungen sind teilweise sehr ungenau, da zur Zeit alles im Panikmodus ist, jedoch hatten die meisten (wenn nicht alle) gewisse Standartports gegen aussen offen. Du dürftest somit vermutlich sicher sein. (Ich habe bisher sowieso die Vermutung betrifft nur die ältere DSM versionen, hier auf Arbeit haben 5 Leute ein Nas zuhause, mit mir sind das ein Total von 8 Nas, alle mit der aktuellen DSM version, alle von aussen erreichbar, *aufholzklopf* bisher keiner von uns betroffen)
@Caschy wirst du den Beitrag hier updaten, oder die Info in ein neuen packen? Tiny-RSS rennt auf der Synology, die Ports sind von aussen dicht, daher bin ich Rss technisch zur Zeit blind. 😀
Schön ist auch, das Synology schreibt, man sollte auf die neuste Version der DS updaten….Wenn nun nur die neuste Version anfällig ist? 🙂
(Gruselfilmmusik Einspielung)
Erstelle ich am besten eine Geo IP regel, indem ich De aktiviere und das „zulassen“?
Sind dann automatisch alle anderen geblockt?
Und was ist A1 (anonymer proxy) das müsste doch auch geblockt werden?
Vielen Dank mal an alle und an Caschy, bin jetzt etwas beruhigter 🙂
Lt. einem Post im deutschen Syno-Forum (http://www.synology-forum.de/showthread.html?56206-SynoLocker-TM-Daten-auf-NAS-gecrypted-worden-durch-Hacker&p=445656&viewfull=1#post445656) ist anscheinend nur
DSM 4.3 vor Build 3827
DSM 4.1/4.2 vor Build DSM 4.2-3243
DSM 4.0 vor Build 2259
betroffen. DSM 5.0 soll demnach nicht betroffen sein.
—————————8<————————–
Thank you for contacting Synology support.
From the current investigation, they are still using the old security hole to hack the DiskStation with old DSM:
http://www.synology.com/company/news/article/437
As you are in DSM5.0, this kind of hack can't work. But it's also recommended for securing the log on over Internet by this way:
http://www.synology.com/en-global/support/tutorials/478
Hope this helps.
Best Regards,
—————————8<————————–