IoT_reaper oder IoTroop

Status
Für weitere Antworten geschlossen.

Hafer

Benutzer
Mitglied seit
03. Okt 2014
Beiträge
855
Punkte für Reaktionen
12
Punkte
38
Heise berichtet, dass u.a. Synology anfällig für o.a. botnets ist. Gibt's irgendwo mehr Infos?
 

PhilGru

Benutzer
Mitglied seit
26. Feb 2015
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Das würde mich auch interessieren; mein Router (Fb7360) ist unter zu viel traffic (upload) in die Knie gegangen und meine DS115 war danach auch nur noch nach einem kalten Neustart erreichbar. Momentan habe ich den Internetzugriff meiner DS115 blockiert, aber auch über VPN ist sie nicht mehr erreichbar. (Bin nicht zu Hause, aber keine Verbindung über smb, http(s) oder ping.)

Ich habe aber noch folgendes gefunden (vielleicht hat ja jmd hier traffic zu den genannten ip's):
http://blog.netlab.360.com/iot_reaper-a-rappid-spreading-new-iot-botnet-en/
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174

PhilGru

Benutzer
Mitglied seit
26. Feb 2015
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Das interessiert mich auch - meine DS ist ja scheinbar auch ohne Internetverbindung abgestürzt - ich werde also wohl nicht drum herum kommen das ganze NAS platt zu machen und von Null an neu aufzusetzen.. Die Attacke soll sich auf den DiskStation Manager beziehen - deswegen werde ich dann auch vorerst die Portweiterleitungen deaktivieren um die erneute Infizierung zu verhindern.
Interessant wäre auch zu wissen, wie die Übernahme der Geräte erfolgt.. an schwachen Kennwörtern, Standard-Ports etc kann es (zumindest bei mir) nicht liegen.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
Lest die Artikel und Quellverweise etc mal bis zu Ende durch.
Synology ist potentielles Ziel. Es gibt aber keine Anzeichen, dass die aktuell angegriffen wird.
Die Angriffe zielen direkt auf bekannte und unbekannte Lücken in Anwendungen.
Kennwörter sind also völlig belanglos in diesem Zusammenhang.
Wer keine Syno-Standard Ports ins Netz hängt dürfte von den aktuellen Aktivitäten gar nichts mitbekommen.

Da die Angriffe Dateilos erfolgen, also direkt auf die Sicherheitslücken in Anwendungen zielen gibt es auch nicht den einen Prozess, die eine Datei, etc die einen Angriff "markiert".
Die im Zusammenhang mit Syno genannte Slice Upload Lücke habe ich bis jetzt nur mit DSM 4.x gesehen.
Wie weit das mit den aktuellen DSMs kritisch ist, konnte ich noch nicht herausfinden.
 

PhilGru

Benutzer
Mitglied seit
26. Feb 2015
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
Synology ist potentielles Ziel. Es gibt aber keine Anzeichen, dass die aktuell angegriffen wird.
.

Ich hoffe es. Dann bleibt mir die Frage, wieso ich innerhalb von 2 Tagen +200GB Upload hatte, den ich nicht zuordnen kann. Und warum meine DS115 von jetzt auf gleich den Dienst quittiert..
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
@PhilGru - das ist in der Tat eine gute Frage.
Die Gefahren des IoT werden zudem nur noch größer in Zukunft und auch die DS bleibt da ein Ziel (nicht, dass das meine Aussage von oben ins falsche Ohr (es gibt keine Probleme) geht).
Aus der Ferne ist das recht schlecht zu bestimmen, besonders mit den 0815 Boardmitteln die man so auf DSM-GUI und Router hat.
Sicher, dass der Traffic von der DS kam und nicht von einem anderen Gerät im Netz?
Gibt ja auch noch andere Schadsoftware.
Und dass die 115 überhaupt nicht mehr erreichbar ist jetzt ist auch merkwürdig. Aber solange du nicht rankommst, kann man auch nichts suchen/finden.
 

Fusion

Benutzer
Sehr erfahren
Mitglied seit
06. Apr 2013
Beiträge
14.135
Punkte für Reaktionen
898
Punkte
424
In der Tabelle steht ein Minus bei Synology, und oben im Text fällt der Name nur bei einer allgemeinen Liste von möglichen Zielen.
Nur in der Weltkarte ist an einer Stelle in USA Synology, da hast recht.
Vielleicht läuft da noch DSM 4.x :D
 
Zuletzt bearbeitet:

PhilGru

Benutzer
Mitglied seit
26. Feb 2015
Beiträge
6
Punkte für Reaktionen
0
Punkte
1
@Fusion:
Ich kann -eben wegen der beschränkten Boardmittel, und weil ich auch kein Log-File habe- nicht 100%ig sagen, dass es von der DS115 kommt. Aber ich habe sonst nichts anderes, was in Frage käme. Ich habe als Geräte im Dauerbetrieb nur: Philips Hue, Amazon FireTV & Echo, Logitech Harmony und eben die DS115...
Dagegen spricht, dass ich nach dem ersten Neustart der Geräte ein Wireshark habe laufen lassen, und der hat KEINE Verbindungen zu den IP's geloggt, die damit im Zusammenhang stehen.
Die DS115 ist jetzt komplett vom Netz genommen - ich werd die Platte ausbauen, die Daten kopieren und dann die DS komplett neu aufsetzen. Oder habt ihr eine bessere Idee?
 

jensi71

Benutzer
Mitglied seit
03. Sep 2017
Beiträge
149
Punkte für Reaktionen
0
Punkte
0
Hmm würde mich in dem Zusammenhang auch mal interessieren, was meine DS so im Netz treibt. Habe dazu mal in der Fritzbox einen Mitschnitt gemacht und dann mit Wireshark geschaut, was da so passiert. Ich kann zwar sehen, daß die DS irgendendwas an das Gateway der Fritz anfragt, aber nicht, was und an wen das gerichtet ist. In der Fritz zeigt aber die Weltkugel an, daß die DS im Netz sei. Müsste nicht im Wireshark auch die von der DS angefragte Seite/IP Adresse sichtbar sein?

@AndiHeitzer: hast Du die aufgeführten IPs in die Blacklist Deines Routers eingetragen? Gabs irgendwelche Probleme danach?
 

AndiHeitzer

Benutzer
Sehr erfahren
Mitglied seit
30. Jun 2015
Beiträge
3.214
Punkte für Reaktionen
503
Punkte
174
@AndiHeitzer: hast Du die aufgeführten IPs in die Blacklist Deines Routers eingetragen? Gabs irgendwelche Probleme danach?

Ja, ich habe in meiner FB die Einträge vorgenommen.
Im moment kann ich keine Probleme feststellen.
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat