DSM 6.x und darunter Hacker Angriffe auf synology und qnap

Alle DSM Version von DSM 6.x und älter
Status
Für weitere Antworten geschlossen.

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
In meinem Fall versucht aber die Syno auf eine .to TLD zu gehen via DNS und das wird blockiert weil verdächtig!
Bin ich schon infiziert?

Habe 2Faktor Authentifizierung also kommt da niemand so leicht rein - DSM Port nur per VPN erreichbar!
 

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Ob eine Infektion vorliegt ? - kein Ahnung. Wenn da auf einmal etwas da ist, was vorher nicht da war, ist das zumindest seltsam.

Lässt sich identifizieren, welcher Prozess da „nach Hause telefonieren“ will ? Wenn ja, den mal googeln.

Es ist ein bekanntes Verhalten bei Erstinfektionen durch Trojaner, einen Kanal nach außen zu öffnen, um die eigentliche Schadsoftware nach zu laden. Firewalls funktionieren nun mal gut nach außen, lassen aber von innen angeforderten Verkehr durch. Da nützt dann auch 2FA und VPN nur bedingt.

Wenn etwas „da“ ist, vermute ich eher, dass es über andere Wege dorthin gelangt ist, als den derzeit beschriebenen Brute-Force auf den admin-Account. Ändert aber im Zweifel nichts, und kann mehr als lästig sein.
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Prozess konnte ich bisher keinen ausmachen, der das verursacht.
Schön langsam glaube ich das ist eine neue IPS Regel von unifi/Ubiquiti die heute um Mitternacht aktiviert wurde und nichts schlimmes passiert ist ;)

Fahre ich die Backupsyno hoch (auf der nichts läuft außer die Standarddinge vom DSM plus Hyperbackup) kommt auch der DNS Block wegen .to TLD,
Sessions laufen keine ungewöhnlichen - hab mit einer identischen Syno vom Kollegen verglichen!

Meine LIFX Lampe hat in der Nacht auch mal so einen block ausgelöst hab ich gesehen :p das spricht eigentlich auch für die neue Regel!


EDIT:
War wirklich falscher Alarm, gehe ich auf boerse.to kommt dasselbe ;)
Viel Wirbel um nichts...sorry!
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Sehr erfahren
Mitglied seit
13. Jul 2019
Beiträge
4.658
Punkte für Reaktionen
1.643
Punkte
214
Schick.

Kannst zur Sicherheit ja noch mal den Support von Ubiquiti diesbezüglich fragen.
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Hallo,
ich habe im gleichen Zeitraum keine Meldung vom Unifi IDS. Allerdings habe ich nur IDS im Einsatz, nicht IPS. Dennoch heißt die Meldung ja übersetzt, dass ein Prozess eine Domain .to via DNS auflösen möchte. Das ist schon ungewöhnlich weil .to selten für "normale" Dienste eingesetzt wird. Kommen die Meldungen noch? Eventuell ist in einem DNS Cache was zu sehen, aber das macht nur Sinn wenn vor wenigen Stunden auch ein Event ausgelöst wurde.

MfG Matthieu
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Ein Bekannter von mir hat die Meldungen mit IPS ebenfalls, aber nicht so häufig....evtl. hängt das mit meinem DDNS den die Syno bei mir macht zusammen - verwende spdns.
Nachdem ich mir sicher bin das es eine neue Regel sein muss, es kommt ja auch beim Zugriff des Laptops auf zB. boerse.to plötzlich diese Meldung aber auch bei .cc Seiten, habe ich die Cloudflare DNS-Server 1.0.0.1 und 1.1.1.1 auf die Whitelist gesetzt, damit Ruhe ist!
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Eventuell ein Plugin der Download Station? spdyn verwendet .de Domains. Glaube nicht dass die Ursache hier liegt.

MfG Matthieu
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Download Station verwende ich nicht, hab nur jDownloader! ;)
 

Matthieu

Benutzer
Mitglied seit
03. Nov 2008
Beiträge
13.222
Punkte für Reaktionen
88
Punkte
344
Dann würde ich erst recht da anfangen nachzusehen ...
Bei mir nach wie vor keine Meldung im USG, obwohl ich ja einige DSen hier habe.

MfG Matthieu
 

DKeppi

Benutzer
Mitglied seit
01. Apr 2011
Beiträge
3.207
Punkte für Reaktionen
62
Punkte
114
Irgendeine Idee wie und wo ich da anfangen kann zu suchen?
Ich habe jetzt mal die Whitelist der DNS Server wieder entfernt, mal abwarten ob die Meldungen immer noch kommen...

EDIT:
Wenn ich am Laptop auf eine .to Seite gehe, kommt die Meldung jedenfalls schon mal nicht mehr.
Echt seltsam! :confused:
 
Status
Für weitere Antworten geschlossen.
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat