Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Eine Warnung an alle: Unbedingt Update 4 installieren und Weboberfläche NICHT ins Internet freigeben.

Mir ist zufällig ein Aufruf unter den init-Scripten in Richtung /PWND aufgefallen, nicht sehr unauffällig. Ordner nicht sichtbar, kurzes Googeln führte dazu:
http://forum.synology.com/enu/viewt...sid=a9b61143dcd1d60c183a03ab4a2072f6&start=15
http://stadt-bremerhaven.de/synology-netzwerkspeicher-zum-mining-von-kryptowaehrung-gehackt/

Es ist tatsächlich so, dass ein Rootkit installiert wurde /root/.profile injection einer .so die den Ordner versteckt, Web-Taskmanager wird gepatcht, Load geringer angezeigt, Prozesse ausgeblendet. Volles Programm.

Nutzen: Bitcoin-Mining per CPU. Total bescheuert, ist aber so. Was sonst noch so an Daten rausging, kann man nicht mehr nachvollziehen.

PWND. Fuck. :mad:

Kurzer Check ob man betroffen ist:
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*

Sollte da etwas Auffälliges rauskommen, Tasks beendet, Wechsel in Verzeichnis möglich => Shit happened!

Meldungen wie:
ERROR: ld.so: object '/PWNED/jynx2.so' from LD_PRELOAD cannot be preloaded: ignored.
Auch schlecht.

PS: Mal schauen wie lange es dauert bis es auf Heise und Golem steht. Schön wäre WIRKLICH ein Hinweis auf die extrem kritische Lücke im Changelog gewesen. Weis wer ob die Beta von DSM 5.0 betroffen ist?
 
Zuletzt bearbeitet:

borg2k

Benutzer
Mitglied seit
08. Mai 2012
Beiträge
1.789
Punkte für Reaktionen
0
Punkte
0
Tja vielleicht lernen die Leute dann endlich mal dass das DSM nix im Internet zu suchen hat. Wer sowas fürs Internet freigibt ist selber schuld in meinen Augen, aber trotzdem danke für die Warnung.
 

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.
 

chats

Benutzer
Mitglied seit
29. Sep 2012
Beiträge
400
Punkte für Reaktionen
0
Punkte
16
Ich sehe das auch auch so. Wenn ich mir ein Auto kaufe will ich auch überall fahren und nicht nur in einer 30 Zone weil da das Risiko am geringsten ist das was passiert. Mit hinzu lernen hat das meiner Meinung nach nicht viel zu tun.
Synology bietet dienste an und die möchte man auch nutzen.
 

nachon

Benutzer
Mitglied seit
21. Aug 2011
Beiträge
2.622
Punkte für Reaktionen
0
Punkte
76
Es heißt aber NAS und nicht IAS :D

(NAS = Network attached Storage ; IAS = Internet attached Storage)

Ich verstehe auch nicht wieso man von außerhalb Einstellungen vornehmen muss und das DSM im Netz freigeben will.
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.185
Punkte für Reaktionen
73
Punkte
344
Naja die DSM schreit ja gerade zu mit der Möglichkeit sich direkt um DynDNS und UPNP zu kümmern. Es ist auf jeden Fall eine Sauerei keine Warnung rauszugeben. Wie es besser klappt sieht man gerade bei AVM mit der Lücke in den Fritzboxen.
Also ich habe am 24.1. eine Mail vom Synology-Newsletter bekommen dass ich unbedingt updaten soll ...
MfG Matthieu
 

Nasi

Benutzer
Mitglied seit
13. Mrz 2008
Beiträge
332
Punkte für Reaktionen
0
Punkte
16
Kurzer Check ob man betroffen ist:
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*

Klasse ,das versteht jetzt auch jeder wie man das macht bzw was zu tun ist.
Ich check mal eben die Interthermik. Cool.
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.185
Punkte für Reaktionen
73
Punkte
344
Die folgenden Punkte sind klare Anzeichen für eine Infektion:
  • Der Ordner "/PWND" existiert
  • Es laufen Prozesse mit "PWN" im Namen (WICHTIG: Über den Ressourcen-Monitor sind diese Prozesse nicht sichtbar!)
  • Der Ressourcen-Monitor zeigt seltsame Werte an (Die Schadsoftware erzeugt Zufallswerte für den Ressourcen-Monitor, daher die Werte)
  • Die Dateien "rsrcmonitor2.cgi", "top.cgi", "upgrade.cgi" sind Shell-Skripte, deren Inhalt sichtbar sind (im Ordner /usr/syno/synoman/webman/modules/ResourceMonitor bzw. /usr/syno/synoman/webman/modules/ControlPanel)
MfG Matthieu
 

zwantE

Benutzer
Mitglied seit
02. Feb 2012
Beiträge
302
Punkte für Reaktionen
0
Punkte
16
Kurzer Check ob man betroffen ist:
Rich (BBCode):
find / -xdev -user 502
cd /PWND/
killall PWNEDm
killall PWNEDb
more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi
more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
grep LD_PRELOAD /root/.*
grep LD_PRELOAD /etc/*
ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?
 

borg2k

Benutzer
Mitglied seit
08. Mai 2012
Beiträge
1.789
Punkte für Reaktionen
0
Punkte
0
Im ersten Post ist doch ein Link zum Forum von Synology, da wird alles haarklein aufgedrösselt, sogar für weniger versierte User verständlich, sofern man natürlich rudimentäre Schulenglischkenntnisse noch hat.
 

Wetter

Benutzer
Mitglied seit
10. Jul 2010
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Hab den Check ausgeführt und es ist alles gut. Ich hatte bisher nur die 3810 ohne "Updates" drauf und HTTPS über ein anderen Port als 443 ansprechen lassen. Hatte wohl damit Glück. Lasse nun Update4 installieren.
 

prophet

Benutzer
Mitglied seit
12. Mai 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
ich versteh das auch nicht... könnte das jemand detaillierter erklären was zu tun ist um herauszufinden ob man betroffen ist?
Du musst bei deinem NAS unter Systemsteuerung > Terminal > SSH aktivieren
und dann via Putty bzw. mit einen SSH Client dich als root anmelden (pw ist das normale pw vom admin user)
und dort die befehle eingeben. Wenn bei find / -xdev -user 502 nichts rauskommt und du den Ordner PWND nicht hast solltest du nicht davon betroffen sein.

lg
 

RubberDuck

Benutzer
Mitglied seit
24. Aug 2011
Beiträge
369
Punkte für Reaktionen
0
Punkte
0
Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!
 

prophet

Benutzer
Mitglied seit
12. Mai 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Wo müsste denn der Ordner PWND sein?!

Dazu bekomme ich noch wenn ich den xdev Befehl ausführe folgende Meldung:

find: /root/.pulse: Permission denied
find: /root/.ssh: Permission denied
...

Ist das normal?!

Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user
 

zwantE

Benutzer
Mitglied seit
02. Feb 2012
Beiträge
302
Punkte für Reaktionen
0
Punkte
16
danke prophet...
Rich (BBCode):
DS214> find / -xdev -user 502
DS214>

fein fein... so weit so gut.
 

prophet

Benutzer
Mitglied seit
12. Mai 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Ihr müsst euch als Root User anmelden nicht als admin
also bei benutzer: root
pw: pw von admin user
 

RubberDuck

Benutzer
Mitglied seit
24. Aug 2011
Beiträge
369
Punkte für Reaktionen
0
Punkte
0
Hast du dich als Root angemeldet?
login as: root
pw: pw von admin user

Das dachte ich ;)

Habe aber admin mit root vertauscht :(

Jetzt kam nix raus. Also befehl ist durchgelaufen, aber nix zu sehen. Das schon mal ein gutes Zeichen, oder ?!:)

Welche Ports sollten denn geschlossen sein?!

Ich habe nur den 5001 bei mir offen.
 

zwantE

Benutzer
Mitglied seit
02. Feb 2012
Beiträge
302
Punkte für Reaktionen
0
Punkte
16
bei mir kam auch nix raus... gut gut.

ist es denn nur kritisch wenn man DSM@5001 freigibt, oder generell wenn die DS im Inet erreichbar ist?
z.B. webstation & FTP?
 

prophet

Benutzer
Mitglied seit
12. Mai 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
Was ich verstanden habe, die DSM Oberfläche also Port 5000/5001
 

RubberDuck

Benutzer
Mitglied seit
24. Aug 2011
Beiträge
369
Punkte für Reaktionen
0
Punkte
0
Dann werde ich mal auf die neue Version udpaten :)

aber 5.0 lasse ich noch aus
 
NAS-Central - Ihr Partner für NAS Lösungen