Angeblich NAS (Synology) infiziert

[N_O_K_I_A]

Hi zusammen

mein Provider (Swisscom) hat meinen Internetanschluss gesperrt bzw. stark eingeschränkt.
Als ich in meinen Account reingegangen bin, wurde ich über die Sperrung informiert.
Ich konnte die Sperre aufheben und habe dazu folgenden Hinweis bekommen:

Ich habe dann nochmal auf der Synology das Antivirus Essentials geladen und durchlaufen lassen.
Nichts gefunden.
Nun wurde ich eben erneut gesperrt und kann die Sperre scheinbar nicht mehr selber aufheben.
Den Service erreicht man jetzt auch nicht mehr.
Also lasse ich oder versuche es zumindest, nochmal einen vollständigen Scan der Synology laufen.
Leider ist die etwas...langsam. Alleine das Abrufen und Installieren der Virusdefinitionen dauert locker eine halbe Stunde...

Gibt es noch andere Tipps, wie ich meine Synology prüfen kann oder herausfinden kann, ob wirklich ein Schädling vorliegt oder es eine Fehlerkennung ist?
(Ohne mit dem Provider zu sprechen heute Abend...)


Grüsse

 

[StefanArbe]

mit was infiziert? und warum kann man da einfach gesperrt werden WTF

 

[Rickmer]

Als ersten Schritt würde ich der Synology im Router erstmal jeglichen Zugriff aufs Internet verbieten. Das sollte über Kindersicherungs-Optionen oder Ähnlich gehen.

 

[N_O_K_I_A]

mit was infiziert? und warum kann man da einfach gesperrt werden WTF

Ich war auch überrascht, aber:

Bei Spam:
§ FMG Art 45a
§ FDV Art 83

Bei Angriff:
§ StGB Art 114
§ StGB Art 144

Das wird einem ja nicht genau gesagt.
Es wird immer von Malware geschrieben.
Deswegen bin ich ja doch recht ratlos...

Als ersten Schritt würde ich der Synology im Router erstmal jeglichen Zugriff aufs Internet verbieten. Das sollte über Kindersicherungs-Optionen oder Ähnlich gehen.

Habe ich schon gemacht.

 

[RedRain]

Welche DSM-Version / Update läuft auf deiner DS?

 

[gymfan]

mit was infiziert? und warum kann man da einfach gesperrt werden WTF

Wenn auf dem Gerät irgendwas läuft, dass DoS Attacken o.Ä. fährt, mag das garnicht so verkehrt sein.

In der Vergangenheit gab es wohl von Vodafone und der Telekom ähnliche Warnungen.

Deswegen bin ich ja doch recht ratlos...

Im Zweifel im eigenen Netz mal mitloggen, was da so los ist. Wireshark sollte sowas im einfach aufgebauten Heimnetz schaffen.

Da das NAS ja anscheinend vom Internet aus erreichbar ist, lässt sich nicht ausschließen, dass es jemand von außen gekapter und SW installiert hat. Aber auhc sonst könnte der "Angreifer" aus dem Heimnetz stammen, da weisst nur Du, wie wahrscheinlich sowas bei Dir ist.

 

[N_O_K_I_A]

Welche DSM-Version / Update läuft auf deiner DS?

Installiert ist:

Wenn auf dem Gerät irgendwas läuft, dass DoS Attacken o.Ä. fährt, mag das garnicht so verkehrt sein.

In der Vergangenheit gab es wohl von Vodafone und der Telekom ähnliche Warnungen.


Im Zweifel im eigenen Netz mal mitloggen, was da so los ist. Wireshark sollte sowas im einfach aufgebauten Heimnetz schaffen.

Da das NAS ja anscheinend vom Internet aus erreichbar ist, lässt sich nicht ausschließen, dass es jemand von außen gekapter und SW installiert hat. Aber auhc sonst könnte der "Angreifer" aus dem Heimnetz stammen, da weisst nur Du, wie wahrscheinlich sowas bei Dir ist.

Dann muss ich mal schauen...
Nein, aus dem Heimnetz kann es keiner sein, hier sind nur Frau und ich.
Wenn dann muss es irgendwie von aussen passiert sein, sofern etwas passiert ist.


Hätte ja auch auf paar mehr Details gehofft, aber entgegen der Ansage "In 10 Sek. melden wir uns bei Ihnen" passiert natürlich nichts.

 

[Frettchen!]

Also wenn, müsste sich ja dann direkt auf die Synology was installiert haben. Also als App oder Paket.
Aber da hast du ja schon diesen Malwarscanner durchlaufen lassen.
Per SSH könnte man doch im drunterliegendem Linux nachschauen, ob sich da was installiert hat.
Je nach Router kannste auch (bei ner Fritzbox z.b.), dann direkt Wireshark laufen lassen.

 

[ermel83]

Was sagt denn dein Sicherheitsberater?

So sollte es aussehen...

 

[Rickmer]

Also wenn, müsste sich ja dann direkt auf die Synology was installiert haben. Also als App oder Paket.

Angenommen die Syno war nicht nach außen offen gestellt oder mit dem Cloud-Dienst verbunden oder was auch immer sonst so an Schwachstellen schon ausgenutzt wurde.

 

[N_O_K_I_A]

Doofe Frage:
Wenn wir mal davon ausgehen, dass die reinen Dateien auf der Syn sauber sind, sondern sich iwas ins DSM/OS geschrieben hat, kann ich das DSM nicht zurücksetzen, ohne Datenverlust, und wäre den Kram auch los?
Könnte ich dann nicht zusätzlich die Platten an meinen PC hängen und von einem Programm wie AVAST scannen lassen oder erkennt es die spezifische Formatierung der Syn nicht?

Was sagt denn dein Sicherheitsberater?Anhang anzeigen 1371342
So sollte es aussehen...

Aufgrund des Scans, reagiert die Syn gerade nicht... reiche ich nach...

 

[madmax2010]

Aufgrund des Scans, reagiert die Syn gerade nicht... reiche ich nach...

von so einem scan wuerde ich mir nicht viel erhoffen.

von einem Programm wie AVAST scannen lassen oder erkennt es die spezifische Formatierung der Syn nicht?

Finger weg von avast bitte. die sind als spyware negativ aufgefallen. Wird da auch eher nichts bringen

Welche Dienste hast du darauf öffentlich exposed? Passt die Menge an traffic zu deiner Nutzung?
Sonst könnte man mal schritt für schritt schauen, welche Dienste darauf gerade laufen, wohin und von wo verbindungen aufgebaut werden.

 

[N_O_K_I_A]

Da meine NAS wirklich verdammt langsam war in allem, ausser Dateien speichern, habe ich sie nun mittels RESET-Knopf (4 Sek. halten, Piepton, nochmal 4 Sek. halten, 3x Piepton) zurückgesetzt.
War mir um diese Uhrzeit etwas zu nervig, aber so sollte ja auch alles weg sein?
Aktuell installiert sie noch...

 

[AB´solut SiD]

https://www.tutonaut.de/synology-nas-werkseinstellungen-zuruecksetzen/

Variante 1 oder 2? In beiden Fällen nicht ohne Backup. ymho
Bei Variante 1 wird glaub ich nur die konfig zurückgesetzt, bei 2 wird der Diskmanager neu installiert.

 

[N_O_K_I_A]

Variante 2 mit 2x Resetknopf. Wollte ja das ganze OS neu haben, damit, falls sich was eingenistet hat, auch wirklich weg ist
Ein Teilbackup der wichtigsten Dateien habe ich immer separat.
Daher war alles "sicher".
Hat geklappt. Neuer DSM installiert.
Morgen bzw. nachher dann den Rest wieder neu konfigurieren und parallel beim Provider anrufen, damit die Sperre entfernt wird

 

[PatrickS3]

Auch wenn Deine DS215 das behauptet, aber der DSM ist nicht aktuell:

https://www.synology.com/de-de/support/download/DS215j?version=7.1#system

 

[N_O_K_I_A]

@PatrickS3
Der neuste DSM läuft bereits

 

[chrigu]

Wenn die langsam ist, ist irgendwas am laufen. Möglicherweise hast du eine phishingseite oder ein botbetz am laufen. Deshalb erste Massnahme: zugriff von ausserhalb blockieren (am Router sperren), alle Ordner und Dateien manuell nach fremden Sachen durchschauen.
Daten auf eine externe Festplatte sichern und syno neu aufsetzen. Und…. Ganz wichtig, nur über vpn nach aussen öffnen!

 

[ermel83]

Rein aus Interesse: Hat das Neuaufsetzen des DSM soweit geklappt ohne dass es zu Datenverlust kam? Und jetzt alles grün beim Sicherheitsberater?

 

[N_O_K_I_A]

Ja, hat alles geklappt.
Alle Daten an sich noch vorhanden.
Der Sicherheitsberater hat noch ein paar Hinweise, aber ich arbeite gerade paar Listen, wie z.B. diese hier ab
https://kb.synology.com/de-de/DSM/t...ra_security_to_your_Synology_NAS#x_anchor_id4
um sicher zu sein, dass ich an alles denke beim Einrichten