Seite 1 von 12 12311 ... LetzteLetzte
Ergebnis 1 bis 10 von 116
  1. #1
    Anwender Syno-Entdecker
    Registriert seit
    29.03.2008
    Beiträge
    42

    Ausrufezeichen Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

    Eine Warnung an alle: Unbedingt Update 4 installieren und Weboberfläche NICHT ins Internet freigeben.

    Mir ist zufällig ein Aufruf unter den init-Scripten in Richtung /PWND aufgefallen, nicht sehr unauffällig. Ordner nicht sichtbar, kurzes Googeln führte dazu:
    http://forum.synology.com/enu/viewto...072f6&start=15
    http://stadt-bremerhaven.de/synology...hrung-gehackt/

    Es ist tatsächlich so, dass ein Rootkit installiert wurde /root/.profile injection einer .so die den Ordner versteckt, Web-Taskmanager wird gepatcht, Load geringer angezeigt, Prozesse ausgeblendet. Volles Programm.

    Nutzen: Bitcoin-Mining per CPU. Total bescheuert, ist aber so. Was sonst noch so an Daten rausging, kann man nicht mehr nachvollziehen.

    PWND. Fuck.

    Kurzer Check ob man betroffen ist:
    find / -xdev -user 502
    cd /PWND/
    killall PWNEDm
    killall PWNEDb
    more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
    more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
    more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
    grep LD_PRELOAD /root/.*
    grep LD_PRELOAD /etc/*
    Sollte da etwas Auffälliges rauskommen, Tasks beendet, Wechsel in Verzeichnis möglich => Shit happened!

    Meldungen wie:
    ERROR: ld.so: object '/PWNED/jynx2.so' from LD_PRELOAD cannot be preloaded: ignored.
    Auch schlecht.

    PS: Mal schauen wie lange es dauert bis es auf Heise und Golem steht. Schön wäre WIRKLICH ein Hinweis auf die extrem kritische Lücke im Changelog gewesen. Weis wer ob die Beta von DSM 5.0 betroffen ist?
    Geändert von Tscherno (11.02.2014 um 21:56 Uhr)

  2. #2
    Anwender Syno-Gott
    Registriert seit
    08.05.2012
    Beiträge
    1.787

    Standard

    Tja vielleicht lernen die Leute dann endlich mal dass das DSM nix im Internet zu suchen hat. Wer sowas fürs Internet freigibt ist selber schuld in meinen Augen, aber trotzdem danke für die Warnung.
    Synology DS 412+ | DSM 4.3 3827 Update 8
    Festplatten: 3 TB WD30EZRX Basic // 4 TB ST4000VN000 Basic // 6 TB WD60EFRX Basic

  3. #3
    Anwender Syno-Entdecker
    Registriert seit
    29.03.2008
    Beiträge
    42

    Standard

    Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.

  4. #4
    Anwender Syno-Meister
    Registriert seit
    29.09.2012
    Beiträge
    210

    Standard

    Ich sehe das auch auch so. Wenn ich mir ein Auto kaufe will ich auch überall fahren und nicht nur in einer 30 Zone weil da das Risiko am geringsten ist das was passiert. Mit hinzu lernen hat das meiner Meinung nach nicht viel zu tun.
    Synology bietet dienste an und die möchte man auch nutzen.

  5. #5
    Anwender Syno-Gott
    Registriert seit
    21.08.2011
    Beiträge
    2.562

    Standard

    Es heißt aber NAS und nicht IAS

    (NAS = Network attached Storage ; IAS = Internet attached Storage)

    Ich verstehe auch nicht wieso man von außerhalb Einstellungen vornehmen muss und das DSM im Netz freigeben will.

    DS 213+: MultimediaStation DSM 5.2-5592 (2 x 4TB - Seagate ST4000DM000; als Basis Volumen)
    DX 213 : ArchivStation (2 x 2TB - WD20EARS; Als Basis Volumen an DS213+ angeschlossen)
    DS 115 : DataStation DSM 5.2-5592 (1 x 3TB - Seagate ST3000DM001)
    DS 111 : BackupStation DSM 5.2-5592 (1 x 1TB - WD Green)
    Router: Fritz!Box 7490
    MediaPlayer: SamsungTV + PS4 + PS3 + WD TV Live Gen 3 + WD TV Play + LG BP-430 + Raspberry PI

  6. #6
    Moderator Syno-Gott Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    12.376
    Blog-Einträge
    45

    Standard

    Zitat Zitat von Tscherno Beitrag anzeigen
    Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.
    Also ich habe am 24.1. eine Mail vom Synology-Newsletter bekommen dass ich unbedingt updaten soll ...
    MfG Matthieu
    Projekte: Paketzentrum-Server "Community Package Hub" | Community auf Facebook
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB
    || 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast | Fairphone 2

  7. #7
    Anwender Syno-Meister
    Registriert seit
    13.03.2008
    Beiträge
    259

    Standard

    Kurzer Check ob man betroffen ist:
    find / -xdev -user 502
    cd /PWND/
    killall PWNEDm
    killall PWNEDb
    more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
    more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
    more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
    grep LD_PRELOAD /root/.*
    grep LD_PRELOAD /etc/*
    Klasse ,das versteht jetzt auch jeder wie man das macht bzw was zu tun ist.
    Ich check mal eben die Interthermik. Cool.
    mfg: Nasi

  8. #8
    Moderator Syno-Gott Avatar von Matthieu
    Registriert seit
    03.11.2008
    Beiträge
    12.376
    Blog-Einträge
    45

    Standard

    Die folgenden Punkte sind klare Anzeichen für eine Infektion:
    • Der Ordner "/PWND" existiert
    • Es laufen Prozesse mit "PWN" im Namen (WICHTIG: Über den Ressourcen-Monitor sind diese Prozesse nicht sichtbar!)
    • Der Ressourcen-Monitor zeigt seltsame Werte an (Die Schadsoftware erzeugt Zufallswerte für den Ressourcen-Monitor, daher die Werte)
    • Die Dateien "rsrcmonitor2.cgi", "top.cgi", "upgrade.cgi" sind Shell-Skripte, deren Inhalt sichtbar sind (im Ordner /usr/syno/synoman/webman/modules/ResourceMonitor bzw. /usr/syno/synoman/webman/modules/ControlPanel)

    MfG Matthieu
    Projekte: Paketzentrum-Server "Community Package Hub" | Community auf Facebook
    DS207+ | DS209+II | DS411+II | DS1513+ | DS916+ 8GB
    || 2x WD10EADS, 2x HDS721616, 1x HD204UI, 3x WD30EFRX
    iUSB2 | APC USV | Synology Remote
    | Chromecast | Fairphone 2

  9. #9
    Anwender Syno-Meister
    Registriert seit
    02.02.2012
    Beiträge
    286

    Standard

    Zitat Zitat von Tscherno Beitrag anzeigen
    Kurzer Check ob man betroffen ist:
    Code:
    find / -xdev -user 502
    cd /PWND/
    killall PWNEDm
    killall PWNEDb
    more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
    more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
    more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
    grep LD_PRELOAD /root/.*
    grep LD_PRELOAD /etc/*
    ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?
    Liebe Admins,
    ich würde sehr gerne auch von unterwegs aus auf dieses Forum zugreifen, was man momentan besser niemanden zumuten sollte!
    Bitte macht synology-forum.de via Tapatalk zugänglich. Damit würdet ihr sehr vielen Usern eine Freude bereiten!
    Unterstützerforen: Tapatalk & Aktivierung von Tapatalk
    diese Signatur darf gerne kopiert werden

  10. #10
    Anwender Syno-Gott
    Registriert seit
    08.05.2012
    Beiträge
    1.787

    Standard

    Im ersten Post ist doch ein Link zum Forum von Synology, da wird alles haarklein aufgedrösselt, sogar für weniger versierte User verständlich, sofern man natürlich rudimentäre Schulenglischkenntnisse noch hat.
    Synology DS 412+ | DSM 4.3 3827 Update 8
    Festplatten: 3 TB WD30EZRX Basic // 4 TB ST4000VN000 Basic // 6 TB WD60EFRX Basic

Seite 1 von 12 12311 ... LetzteLetzte

Ähnliche Themen

  1. RS812+ DSM 4.2-3211 im HA Cluster Update auf 4.3-3810
    Von BjoernG im Forum Firmware Updates
    Antworten: 1
    Letzter Beitrag: 10.02.2014, 09:02
  2. Antworten: 0
    Letzter Beitrag: 29.01.2014, 14:34
  3. DSM 4.3-3810 Update-2
    Von Luis942 im Forum Synology Beta Programm
    Antworten: 23
    Letzter Beitrag: 23.12.2013, 10:06
  4. Nach DSM 4.3-3810 Update 2 kein Zugriff auf DS211+ möglich
    Von NAS_Minimalist im Forum Geräte der +-Serie
    Antworten: 1
    Letzter Beitrag: 14.12.2013, 13:40

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •