Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

  • Lange schon haben wir uns gewünscht, diese Mitteilung veröffentlichen zu können. Seit langer Zeit planen wir den Umzug auf neue Server und nun ist es geschafft. Um euch einen Einblick hinter die Kulissen zu geben haben wir einen extra Beitrag geschrieben:

    Das Forum hat eine neue Heimat bei netcup gefunden

    Wir möchten uns ganz herzlich bei netcup bedanken! necup stellt uns die neuen Server. Schaut mal in unsere Beiträge, was sich durch den Umzug alles verbessert hat.

gutername

Benutzer
Mitglied seit
28. Okt 2013
Beiträge
12
Punkte für Reaktionen
0
Punkte
0
DSM 5.0 Beta habe ich auf der 414 seit der Veröffentlichung drauf und konnte noch kein Fehlverhalten oder Bugs feststellen. Nachher werde ich erstmal die DS Checken...
 

mediamemphis

Benutzer
Mitglied seit
08. Mrz 2013
Beiträge
21
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

wer sich generell nicht sicher ist, der sollte das NAS lieber einmal neu installieren.
Auf der Synology- Seite gibt es einen schönen link dazu, wie man dies bewerkstelligt: http://www.synology.com/de-de/support/tutorials/493#t3

Ladet die für euch aktuelle Version herunter (http://www.synology.com/de-de/support/download) und installiert diese im Anschluss. Auch ältere Versionen wurden von denen nochmal gefixt.

Ich weiß nicht, ob die Sicherung der Systemkonfiguration den müll mit übernehmen würde, vermute aber mal nein. Wenn man die Konfiguration sichert, ist diese in dem DSS File gepackt und verschlüsselt, also kann man diese nicht einsehen.

Das eine solche Lücke noch im DSM 5.0 vorhanden sein wird, glaube ich wohl kaum, schließlich werden die in der Entwicklung ja was dazu gelernt haben.
Zumindest gibt es inzwischen auch öfter mal kleine "smallfix"es.

Beste Grüße,
MM
 

Wicki

Benutzer
Mitglied seit
29. Dez 2013
Beiträge
323
Punkte für Reaktionen
0
Punkte
22
Hi zusammen,

zum Thema Sicherheit habe ich da mal eine Frage, da ich erst seit kurzem eine DS besitze. Ich habe in der FritzBox keine Weiterleitungen eingerichtet. In der FritzBox läuft DynDNS, allerdings ist der Zugriff auf die FB übers Internet deaktiviert. Ich habe mir einen VPN-Zugang in der FB angelegt, mit dem ich dann auf die FB und die DS zugreifen kann. Ich denke das ist sicherheitstechnisch so OK, oder sollte ich daran doch etwas ändern?
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.200
Punkte für Reaktionen
81
Punkte
344
Ich denke das ist sicherheitstechnisch so OK, oder sollte ich daran doch etwas ändern?
In puncto Sicherheit hast du damit so ziemlich das Optimum erreicht was man als "Privatperson" bekommen kann - vorausgesetzt die Config hat keine unbeabsichtigten Fehler, aber das halte ich für recht unwahrscheinlich.

MfG Matthieu
 

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Sorry, dass ich es gestern nicht mehr detailierter beschrieben habe. Ich kann den Beitrag leider auch nicht mehr ändern.

Also jetzt:
1. SSH aktivieren über Systemsteuerung
2. Per Putty (SSH Client) verbinden, User root, Passwort wie für Admin-Account vergeben (Sicherheitswarnung wegen SSH beim ersten Verbinden mit OK/Yes bestätigen)
3. Die Befehle wie hier angegeben einfach nacheinander ausführen (per rechtsklick einfügen in das Fenster). Erwartete Ausgabe schreibe ich dazu:

find / -xdev -user 502
<== Sollte nichts ausgeben, bzw. nichts finden

cd /PWND/
<== sollte sowas ausgeben: -ash: cd: can't cd to /PWND

killall PWNEDm
<== PWNEDm: no process found

killall PWNEDb
<== PWNEDb: no process found

more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
<== No such file or directory ODER sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false
<== "echo '{ "boot" : false, "success" : true }';" sonst nix

more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

grep LD_PRELOAD /root/.*
<== Keine Ausgabe

grep LD_PRELOAD /etc/*
<== Keine Ausgabe
 
Zuletzt bearbeitet:

iChristoph

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Danke für die Anleitung. Bis auf zwei der Befehle ist bei mir alles negativ, also wie beschrieben. Diese beiden sind aber anders - und zwar wie folgt:

Bei Eingabe von "more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi" heißt es:

;?;?@@T@ @ @ ??DDD dt?P6L6L6L??dt?Q/lib/ld.so.1GNU
6%" (#FC:;
'8$0,@D& *!?+E7A.5<
13B
??"?B?p~B?8^B?$?B???B?qB?$sB?,FB?(wB???B?$qB??jB?0KB?%B? jB?d~C?44
?X?C,?C CC dRC(tyC08?C8?C@(?CH?-CP?*CX:?
?C`?VCh?cCp@Cx?C? JC???C?$&ET???C??--More-- (9% of 18540 bytes)

Und bei "more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi" kommt Folgendes:

4LF&?4@4( 444444
???DDD dt?P???

dt?Q/lib/ld.so.1GNU
???F*=v!?,y;?]j5 M?tpod .E?`rh??xn?sY8|zg"?_\u??Dq{O?mcf?C'iBSN}U-?H7Q?w^e6?J

1&(G)04K+I9/X2Pb%WT@A>lZV3a$~Rk#L
#? ????"
??Pd"

??|V???4?? ??2?????,
?--More-- (2% of 72512 bytes)

Ich bin nun etwas überfragt. Was bedeutet das für meine NAS? Infiziert?

Wäre für Hilfe wirklich dankbar. Chr
 

borg2k

Benutzer
Mitglied seit
08. Mai 2012
Beiträge
1.789
Punkte für Reaktionen
0
Punkte
0
Danke für die Anleitung. Bis auf zwei der Befehle ist bei mir alles negativ, also wie beschrieben. Diese beiden sind aber anders - und zwar wie folgt:

Bei Eingabe von "more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi" heißt es:

;?;?@@T@ @ @ ??DDD dt?P6L6L6L??dt?Q/lib/ld.so.1GNU
6%" (#FC:;
'8$0,@D& *!?+E7A.5<
13B
??"?B?p~B?8^B?$?B???B?qB?$sB?,FB?(wB???B?$qB??jB?0KB?%B? jB?d~C?44
?X?C,?C CC dRC(tyC08?C8?C@(?CH?-CP?*CX:?
?C`?VCh?cCp@Cx?C? JC???C?$&ET???C??--More-- (9% of 18540 bytes)

Und bei "more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi" kommt Folgendes:

4LF&?4@4( 444444
???DDD dt?P???

dt?Q/lib/ld.so.1GNU
???F*=v!?,y;?]j5 M?tpod .E?`rh??xn?sY8|zg"?_\u??Dq{O?mcf?C'iBSN}U-?H7Q?w^e6?J

1&(G)04K+I9/X2Pb%WT@A>lZV3a$~Rk#L
#? ????"
??Pd"

??|V???4?? ??2?????,
?--More-- (2% of 72512 bytes)

Ich bin nun etwas überfragt. Was bedeutet das für meine NAS? Infiziert?

Wäre für Hilfe wirklich dankbar. Chr

"more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden"

Was davon ist denn hier nicht zu verstehen, also manchmal frag ich mich echt ob die Leute die Beiträge überhaupt lesen und auch versuchen zu verstehen.
 

iChristoph

Benutzer
Mitglied seit
25. Dez 2012
Beiträge
3
Punkte für Reaktionen
0
Punkte
1
Aber der Hinweis steht nicht beim erstgenannten Befehl dabei, dort heißt es vielmehr "<== No such file or directory".
Und unter binären Zeichen verstehe ich eine Folge solcher Zeichen ohne Sonderzeichen. Oder irre ich mich da?
 

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Aber der Hinweis steht nicht beim erstgenannten Befehl dabei, dort heißt es vielmehr "<== No such file or directory".
Und unter binären Zeichen verstehe ich eine Folge solcher Zeichen ohne Sonderzeichen. Oder irre ich mich da?
Das scheint wohl unterschiedlich je Diskstation zu sein, bei mir existiert sie nicht mehr. Habe mittlerweile auch die DSM 5 Beta drauf (in der Hoffnung, dass möglichst viele Systemdateien dadurch überschrieben werden). Es sollte nur kein normales Shellscript kommen, im Zweifelsfall posten. Binaries als Text ausgeben kann schon wieder zu allen möglichen Zeichen führen, das ist etwas verwirrend, sorry.

Was man bei dem ganzen nicht vergessen darf: Das war jetzt eine konkrete Angriffsvariante. Die Lücke könnte auch noch auf andere Arten ausgenutzt worden sein...
 

lopo_ch

Benutzer
Mitglied seit
25. Mrz 2013
Beiträge
139
Punkte für Reaktionen
1
Punkte
18
Hi zusammen,

ich hab seit einigen Tagen festgestellt, dass mein IPCop in den Firewall-Logs diverse Angriffe auf den Port 5000 geblockt hat.

Das ist die Liste ab heute früh 6 Uhr:
121.63.75.x
110.154.115.x
81.218.169.x
89.230.0.x
188.3.100.x
188.173.252.x
120.63.210.x
218.93.177.x
187.185.178.x
91.187.96.x
190.2.218.x
78.188.68.x
77.70.100.x

Es scheint also weltweit eine grössere Welle unterwegs zu sein.

Gruss
lopo
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.200
Punkte für Reaktionen
81
Punkte
344
Für mich persönlich sehr interessant:
Gemäß dem ältesten Bericht zu den Angriffen den ich finden konnte (http://thesbsguy.com/?p=244) stammen die IPs der C&C-Server und Angreifer aus den Niederlanden und sind gehackte DiskStations die zwecks Colo dort untergebracht sind. Das bedeutet, dass die Länder-Firewall-Sperren die im Forum gern besprochen werden, in dem Fall ziemlich sinnlos sind. Es dürfte für die Angreifer auch kein Problem sein, C&C-Server in Deutschland zu finden, wenn sie es darauf anlegen. Auch ist nicht bekannt ob es bereits weitere C&C-Server gibt...

MfG Matthieu
 

lopo_ch

Benutzer
Mitglied seit
25. Mrz 2013
Beiträge
139
Punkte für Reaktionen
1
Punkte
18
Hi Matthieu,

was aber durchaus hilft, ist eben jener IPCop als Firewall.
Installiert auf einem stromsparenden alix2d3, 1. Lan internes Netzwerk, 2. Lan DMZ, 3. Wan.
Die "offentliche" DS/RS als Server natürlich in die DMZ. Sollte diese doch auf irgendeine Weise (fehlerhaftes PHP-Script etc) kompromitiert werden, besteht keinerlei Zugriff ins Lan.
In den Firewall-Regeln festlegen, welche IP auf welchem Port von Wan auf DMZ zugreifen darf.
Bildschirmfoto3.jpg

Dann ist fertig mit unberechtigten Zugriffen, egal auf welchen Port.

Gruss lopo
 

bfpears

Benutzer
Mitglied seit
09. Feb 2009
Beiträge
449
Punkte für Reaktionen
29
Punkte
28
@ liebe Moderatoren
könnt ihr bitte darüber nachdenken ein extra Forenbereich zum Thema Sicherheit an prominenter Stelle einzurichten!
Die Sicherheitslücken und "Sonstige" zu verstecken scheint mir für unsere Gemeinschaft nicht sinnvoll (wie auch "Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities")
leider gibt Synology ja keine Warnungen oder sonstige Infos zu den Themen.

evtl. ein moderiertes Forum (mit dem Hinweis das ganze "Forum" zu abonnieren) und eins zum Diskutieren.

Auf diesen Thread bin ich (recht zeitnah) durch den Beitrag in Caschy`s Blog aufmerksam gemacht worden.
"Synology DiskStation Manager (DSM) 4.3-3776 - Multiple Vulnerabilities" habe ich erst viele Tage später in einem Nebensatz in einem CT Artikel gefunden.
 
Zuletzt bearbeitet:

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Mein Plan um den Zugriff auf die Webstation übers Internet zu ermöglichen, aber dennoch möglichst sicher zu halten, sieht vor auf einem Raspberry Pi einen Reverse Proxy mit HTTP-Auth aufzusetzen. Ich denke das sollte das ganze doch um einiges sicherer gestalten. Doof ist wenn man mal schnell eine Datei über einen Link teilen will.
 

jiraya

Benutzer
Mitglied seit
03. Apr 2010
Beiträge
259
Punkte für Reaktionen
3
Punkte
18
Gerade gesehen:

"Ältere Versionen der DSM-Software auf Storage-Systemen des Herstellers Synology haben Sicherheitslücken, durch die es Angreifern gelungen ist, die Geräte mit Bitcoin-Mining-Schadcode zu infizieren. Angreifer infizieren momentan NAS-Systeme von Synology mit einem Schädling, der die Netzwerkspeicher zu Bitcoin-Miner umfunktioniert. Anfällig sind laut betroffenen Nutzern alle Versionen bis 4.3.-3810 Update 3 der DiskStation-Manager-Software (DSM). In neueren Ausgaben der Software soll das Problem behoben sein." http://www.heise.de/mac-and-i/meldu...te-als-Bitcoin-Miner-missbraucht-2113423.html
 

raymond

Benutzer
Mitglied seit
10. Sep 2009
Beiträge
4.702
Punkte für Reaktionen
21
Punkte
118

SirTommy

Benutzer
Mitglied seit
11. Jul 2013
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Meine DS214 zeigt ein neues Update an.

Version: 4.3-3827

(2014/2/14)
Change Log

This update repairs the system and removes malware caused by past system vulnerabilities (CVE-2013-6955, CVE-2013-6987).
The compatibility of SMB 2 file service has been enhanced when transferring files to Mac OS X 10.9.
Fixed an issue where SFTP service would consume excessive memory when it was enabled.
This update is required to continue using QuickConnect & Push Service notifications.

Vielleicht sind damit wirklich die Probleme erstmal behoben.
 

Tscherno

Benutzer
Mitglied seit
29. Mrz 2008
Beiträge
42
Punkte für Reaktionen
0
Punkte
0
Hört sich gut an.
 
NAS-Central - Ihr Partner für NAS Lösungen