Hallo,
der Security Advisor auf meiner DS715 (DSM 6.0.1) ist so konfiguriert, dass er einmal wöchentlich einen Sicherheitscheck macht. Seit letzter Woche wird mir anschliessend o.g. Meldung (DSM system files have been modified unexpectedly) präsentiert.
Ich dachte zuerst an einen möglichen Zusammenhang mit dem kürzlich zuvor durchgeführten Update von 6.0 auf 6.0.1 und dass evtl. Signaturen im Security Advisor noch nicht angepasst worden wären und hab das daher erstmal ignoriert.
Nun kam beim heutigen Check die Meldung allerdings erneut und zu den aufgelisteten modifizierten Dateien kamen offenbar neue hinzu, jedenfalls bin ich mir sehr sicher, dass die Liste letzte Woche noch kürzer war (dummerweise habe ich keinen Screenshot davon um das vergleichen zu können).
Die Auflistung der einzelnen Dateien findet ihr im angehängten Screenshot.
Auf der DS sind etliche offizielle Synology-Pakete installiert, aus den hinzugefügten Community-Repositories von Syno Community, CP Hub und Diablo aktuell nichts. Zuletzt hatte ich von dort exiftool auf der DS installiert, das aber wegen des Installer-Bugs, der die Zugriffsrechte auf /tmp verbog wieder entfernt.
Manuell aus anderen Quellen installiert sind Webanwendungen (tt-rss und Unmark, beide aus den Github-Repos gecloned), sowie Home Assistant (installiert über pip).
Von den im Synology FAQ-Eintrag gelisteten Apps war keine zu irgendeinem Zeitpunkt auf der DS installiert.
Die Diskstation ist über DDNS von extern erreichbar, Portweiterleitungen sind eingerichtet für File-, Audio-, Video-, Download- und Notestation (HTTPS, nicht über die Standardports), 80 und 443, OpenVPN und die MailServer Ports 25, 465 und 587. Außerdem Port 8123 für Home Assistant, sowie CardDAV und WebDAV.
Das Protokollcenter zeigt keine Auffälligkeiten, Autoblock ist aktiv und sperrt auch immer wieder Hosts, die über Port 25 ungültige Anmeldeversuche starteten.
Das Synology AntiVirus Paket ist installiert und macht zweimal wöchentlich einen System Scan. Dass das keine 100%ige Erkennung aufweist ist mir bewusst, hier denke ich aber eher es schadet zumindest auch nicht das regelmässig laufen zu lassen.
Meine Frage wäre jetzt: Wie würdet ihr vorgehen um rauszufinden was hier los ist?
Viele Grüße,
Stefan
der Security Advisor auf meiner DS715 (DSM 6.0.1) ist so konfiguriert, dass er einmal wöchentlich einen Sicherheitscheck macht. Seit letzter Woche wird mir anschliessend o.g. Meldung (DSM system files have been modified unexpectedly) präsentiert.
Ich dachte zuerst an einen möglichen Zusammenhang mit dem kürzlich zuvor durchgeführten Update von 6.0 auf 6.0.1 und dass evtl. Signaturen im Security Advisor noch nicht angepasst worden wären und hab das daher erstmal ignoriert.
Nun kam beim heutigen Check die Meldung allerdings erneut und zu den aufgelisteten modifizierten Dateien kamen offenbar neue hinzu, jedenfalls bin ich mir sehr sicher, dass die Liste letzte Woche noch kürzer war (dummerweise habe ich keinen Screenshot davon um das vergleichen zu können).
Die Auflistung der einzelnen Dateien findet ihr im angehängten Screenshot.
Auf der DS sind etliche offizielle Synology-Pakete installiert, aus den hinzugefügten Community-Repositories von Syno Community, CP Hub und Diablo aktuell nichts. Zuletzt hatte ich von dort exiftool auf der DS installiert, das aber wegen des Installer-Bugs, der die Zugriffsrechte auf /tmp verbog wieder entfernt.
Manuell aus anderen Quellen installiert sind Webanwendungen (tt-rss und Unmark, beide aus den Github-Repos gecloned), sowie Home Assistant (installiert über pip).
Von den im Synology FAQ-Eintrag gelisteten Apps war keine zu irgendeinem Zeitpunkt auf der DS installiert.
Die Diskstation ist über DDNS von extern erreichbar, Portweiterleitungen sind eingerichtet für File-, Audio-, Video-, Download- und Notestation (HTTPS, nicht über die Standardports), 80 und 443, OpenVPN und die MailServer Ports 25, 465 und 587. Außerdem Port 8123 für Home Assistant, sowie CardDAV und WebDAV.
Das Protokollcenter zeigt keine Auffälligkeiten, Autoblock ist aktiv und sperrt auch immer wieder Hosts, die über Port 25 ungültige Anmeldeversuche starteten.
Das Synology AntiVirus Paket ist installiert und macht zweimal wöchentlich einen System Scan. Dass das keine 100%ige Erkennung aufweist ist mir bewusst, hier denke ich aber eher es schadet zumindest auch nicht das regelmässig laufen zu lassen.
Meine Frage wäre jetzt: Wie würdet ihr vorgehen um rauszufinden was hier los ist?
Viele Grüße,
Stefan
