Toggle sidebar

Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
T

Tscherno

Benutzer
Registriert
29. März 2008
Beiträge
42
Reaktionspunkte
0
Punkte
0
Eine Warnung an alle: Unbedingt Update 4 installieren und Weboberfläche NICHT ins Internet freigeben.

Mir ist zufällig ein Aufruf unter den init-Scripten in Richtung /PWND aufgefallen, nicht sehr unauffällig. Ordner nicht sichtbar, kurzes Googeln führte dazu:
http://forum.synology.com/enu/viewt...sid=a9b61143dcd1d60c183a03ab4a2072f6&start=15
http://stadt-bremerhaven.de/synology-netzwerkspeicher-zum-mining-von-kryptowaehrung-gehackt/

Es ist tatsächlich so, dass ein Rootkit installiert wurde /root/.profile injection einer .so die den Ordner versteckt, Web-Taskmanager wird gepatcht, Load geringer angezeigt, Prozesse ausgeblendet. Volles Programm.

Nutzen: Bitcoin-Mining per CPU. Total bescheuert, ist aber so. Was sonst noch so an Daten rausging, kann man nicht mehr nachvollziehen.

PWND. Fuck. :mad:

Kurzer Check ob man betroffen ist:
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*
Zum Vergrößern anklicken....

Sollte da etwas Auffälliges rauskommen, Tasks beendet, Wechsel in Verzeichnis möglich => Shit happened!

Meldungen wie:
ERROR: ld.so: object '/PWNED/jynx2.so' from LD_PRELOAD cannot be preloaded: ignored.
Auch schlecht.

PS: Mal schauen wie lange es dauert bis es auf Heise und Golem steht. Schön wäre WIRKLICH ein Hinweis auf die extrem kritische Lücke im Changelog gewesen. Weis wer ob die Beta von DSM 5.0 betroffen ist?
 
Zuletzt bearbeitet:
Tja vielleicht lernen die Leute dann endlich mal dass das DSM nix im Internet zu suchen hat. Wer sowas fürs Internet freigibt ist selber schuld in meinen Augen, aber trotzdem danke für die Warnung.
 
Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.
 
Ich sehe das auch auch so. Wenn ich mir ein Auto kaufe will ich auch überall fahren und nicht nur in einer 30 Zone weil da das Risiko am geringsten ist das was passiert. Mit hinzu lernen hat das meiner Meinung nach nicht viel zu tun.
Synology bietet dienste an und die möchte man auch nutzen.
 
Es heißt aber NAS und nicht IAS :D

(NAS = Network attached Storage ; IAS = Internet attached Storage)

Ich verstehe auch nicht wieso man von außerhalb Einstellungen vornehmen muss und das DSM im Netz freigeben will.
 
Tscherno schrieb:
Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.
Zum Vergrößern anklicken....
Also ich habe am 24.1. eine Mail vom Synology-Newsletter bekommen dass ich unbedingt updaten soll ...
MfG Matthieu
 
Kurzer Check ob man betroffen ist:
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*
Zum Vergrößern anklicken....

Klasse ,das versteht jetzt auch jeder wie man das macht bzw was zu tun ist.
Ich check mal eben die Interthermik. Cool.
 
Die folgenden Punkte sind klare Anzeichen für eine Infektion:
  • Der Ordner "/PWND" existiert
  • Es laufen Prozesse mit "PWN" im Namen (WICHTIG: Über den Ressourcen-Monitor sind diese Prozesse nicht sichtbar!)
  • Der Ressourcen-Monitor zeigt seltsame Werte an (Die Schadsoftware erzeugt Zufallswerte für den Ressourcen-Monitor, daher die Werte)
  • Die Dateien "rsrcmonitor2.cgi", "top.cgi", "upgrade.cgi" sind Shell-Skripte, deren Inhalt sichtbar sind (im Ordner /usr/syno/synoman/webman/modules/ResourceMonitor bzw. /usr/syno/synoman/webman/modules/ControlPanel)
MfG Matthieu
 
Tscherno schrieb:
Kurzer Check ob man betroffen ist:
Rich (BBCode): 
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*
Zum Vergrößern anklicken....
ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?
 
Im ersten Post ist doch ein Link zum Forum von Synology, da wird alles haarklein aufgedrösselt, sogar für weniger versierte User verständlich, sofern man natürlich rudimentäre Schulenglischkenntnisse noch hat.
 
Hab den Check ausgeführt und es ist alles gut. Ich hatte bisher nur die 3810 ohne "Updates" drauf und HTTPS über ein anderen Port als 443 ansprechen lassen. Hatte wohl damit Glück. Lasse nun Update4 installieren.
 
zwantE schrieb:
ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?
Zum Vergrößern anklicken....
Du musst bei deinem NAS unter Systemsteuerung > Terminal > SSH aktivieren
und dann via Putty bzw. mit einen SSH Client dich als root anmelden (pw ist das normale pw vom admin user)
und dort die befehle eingeben. Wenn bei find / -xdev -user 502 nichts rauskommt und du den Ordner PWND nicht hast solltest du nicht davon betroffen sein.

lg
 
Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!
 
RubberDuck schrieb:
Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!
Zum Vergrößern anklicken....

Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user
 
danke prophet...
Rich (BBCode): 
DS214> find / -xdev -user 502
DS214>

fein fein... so weit so gut.
 
Ihr müsst euch als Root User anmelden nicht als admin
also bei benutzer: root
pw: pw von admin user
 
prophet schrieb:
Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user
Zum Vergrößern anklicken....

Das dachte ich ;)

Habe aber admin mit root vertauscht :(

Jetzt kam nix raus. Also befehl ist durchgelaufen, aber nix zu sehen. Das schon mal ein gutes Zeichen, oder ?!:)

Welche Ports sollten denn geschlossen sein?!

Ich habe nur den 5001 bei mir offen.
 
bei mir kam auch nix raus... gut gut.

ist es denn nur kritisch wenn man DSM@5001 freigibt, oder generell wenn die DS im Inet erreichbar ist?
z.B. webstation & FTP?
 
Was ich verstanden habe, die DSM Oberfläche also Port 5000/5001
 
Dann werde ich mal auf die neue Version udpaten :)

aber 5.0 lasse ich noch aus
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten