Aktive Hackangriffe auf DSM Versionen kleiner 4.3.-3810 Update 3

[RubberDuck]

Sollte man eigentlich die Kennwörter ändern, oder ist da nix passiert?!

 

[der-krueger]

Kann einer was zur Sicherheit der Daten auf einer gehackten DS sagen?!

 

[Frogman]

Ja wie - was soll man dazu sagen? Wenn eine DS kompromittiert wurde, sind die Daten potentiell kopiert (oder auch verändert) worden.

 

[Darkdevil]

Endlich mal Infos zum Synogate!!!
Jetzt weiß ich wenigstens mal was los ist.
Hab erst gestern davon erfahren, weil Synology mir erst da die Mail zugeschickt hat :-(
Danke, Jungs!

 

[So_La_La]

CPU dauerhaft auf maximaler Auslastung

Hallo,
bei mir steht im Ressourcenmonitor die CPU dauerhaft auf maximaler Auslastung. Was soll ich da jetzt machen? Ich habe leider keine Ahnung, etwa davon, was telnet, putty oder ssh ist.
Ich glaube ich habe im Internet nix freigegeben nur Ordner für mein wlan-Netzwerk.

Soll ich vielleicht erstmal neu starten?

EDIT: Nachdem ich den Plex Medienserver, Download- und Videostation angehalten habe, hat sich die CPU-Last deutlich reduziert. Plex hatte ich heute morgen erst installiert, und der war wohl noch am indizieren?

 

[rotorkop]

Hallo,

ich habe zum Thema Zugriff auch noch eine kleine Frage:

Was ist mit dem Zugriff über die http://XX.quickconnect.to/ url?
Da muss ich ja keine Ports freigeben, komme aber trotzdem auf meine DS.
Auch mit den DS Apps auf meinem Androiden.

Ist das auch problematisch?

 

[Matthieu]

Das aktuellste Update entfernt die Schadsoftware. Da aber nicht klar ist, ob es vielleicht auch fortgeschrittene Versionen gibt die noch andere Dinge getan haben, empfiehlt sich ein komplettes Reset inkl. Neuinstallation der Firmware. Daten sollten dabei vorhanden bleiben, ein Backup sollte man trotzdem immer haben.

Ich weiß dass Synology heute zusätzlich noch die Presse per Verteiler informiert hat.
Hier im übrigen die deutsche Meldung: http://www.synology.com/de-de/company/news/article/437

MfG Matthieu

 

[Matthieu]

Ist das auch problematisch?

In Bezug auf die aktuell diskutierten Punkte nicht, nein.

MfG Matthieu

 

[jiraya]

Hier noch ein Golem-Artikel:

"Der NAS-Hersteller Synology hat kurzfristig ein Sicherheitsupdate für seine Disk- und Rackstations veröffentlicht. Die DSM-Version 4.3-3827 schließt nicht nur eine Sicherheitslücke, sondern entfernt auch gleich noch einen Schädling, der sich auf NAS-Systemen verbreitete." http://www.golem.de/news/synology-d...hadsoftware-von-nas-systemen-1402-104641.html

 

[süno42]

Change Log

This update repairs the system and removes malware caused by past system vulnerabilities (CVE-2013-6955, CVE-2013-6987).

Ich kann wieder mal nur den Kopf über Synology schütteln. Sie verkaufen den Anwendern mit dem Update, daß das System nach Einspielung wieder sauber ist. Entweder haben die Leute nichts gelernt oder wollen es einfach nicht begreifen. Wenn man nach einem solchen Angriff sicher gehen möchte, hilft nur, das komplette System neu aufzusetzen.


Viele Grüße
Süno42

 

[süno42]

Ich glaube, das Update hat bei mir das Verzeichnis „/opt“ (kein Symlink) weggebügelt . Hat das auch jemand beobachtet?

Das ist unschön, war aber nur ein Test eines selbst kompilierten Dovecots. Später hätte ich dies durch einen Symlink ersetzt.


Viele Grüße
Süno42

 

[Matthieu]

Wenn man nach einem solchen Angriff sicher gehen möchte, hilft nur, das komplette System neu aufzusetzen.

Sollten Nutzer eine der aufgeführten Symptome feststellen, wird dringend geraten, DSM neu zu installieren. Die jeweils neue DSM-Version finden Sie im Download Center und eine Anleitung zur Neu-Installation von DSM finden Sie hier.

Quelle: http://www.synology.com/de-de/company/news/article/437
Was wird wohl öfter gelesen, das Changelog oder die Pressemitteilung?

MfG matthieu

 

[süno42]

Quelle: [/FONT][/COLOR]http://www.synology.com/de-de/company/news/article/437
Was wird wohl öfter gelesen, das Changelog oder die Pressemitteilung?

Ich mag mich da nicht zu einer nicht belegbaren Aussage hinreißen lassen. Für mich einen Zähler auf das Changelog. Synology wäre aber gut beraten, solche Infos erst gar nicht zu verbreiten.


Viele Grüße
Süno42

 

[Matthieu]

Hier noch ein Golem-Artikel:

Leider der schlechteste Golem-Artikel der mir seit langem unter die Augen gekommen ist. Jeder der die Diskussion hier verfolgt hat, weiß dass die Lücken spätestens mit 3810-3 behoben sind. Das war im Dezember. Golem spricht jetzt davon, dass Synology "für einige Anwender zu spät" reagiert hat. Das ist schlicht falsch. Der Autor hat äußerst wenig recherchiert. Selbst die verlinkten CVE-Meldungen sind offenbar nicht gelesen worden.

MfG Matthieu

 

[Madberlin]

Ich habe in einem anderen Forum gelesen, dass sich die Angriffe nur auf Synos mit einem Intel beschränken, ist das richtig, und bügelt die aktuellste DSM nun alle evtl. vorhandenen Fehler/ offene Türen mit dem letzten Update aus oder nicht wenn evt. die Syno betroffen war?

......Danke für eine Aufklärung!

 

[Darkdevil]

Weiß man eigentlich "seit wann" diese Lücken effektiv ausgenutzt worden sind?

Ich hatte nämlich seit 16.12.13 sowieso kein Internet und dann im Februar erst DS-Lite bekommen.
Nach Prüfung gemäß eurer Anleitung war auch alles in Ordnung. Nur wäre ich noch sicherer, wenn ich wüßte,
in welchem Zeitraum die Systeme befallen worden sind.

 

[F0x123]

Sorry, dass ich es gestern nicht mehr detailierter beschrieben habe. Ich kann den Beitrag leider auch nicht mehr ändern.

Also jetzt:
1. SSH aktivieren über Systemsteuerung
2. Per Putty (SSH Client) verbinden, User root, Passwort wie für Admin-Account vergeben (Sicherheitswarnung wegen SSH beim ersten Verbinden mit OK/Yes bestätigen)
3. Die Befehle wie hier angegeben einfach nacheinander ausführen (per rechtsklick einfügen in das Fenster). Erwartete Ausgabe schreibe ich dazu:

find / -xdev -user 502
<== Sollte nichts ausgeben, bzw. nichts finden

cd /PWND/
<== sollte sowas ausgeben: -ash: cd: can't cd to /PWND

killall PWNEDm
<== PWNEDm: no process found

killall PWNEDb
<== PWNEDb: no process found

more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
<== No such file or directory ODER sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false
<== "echo '{ "boot" : false, "success" : true }';" sonst nix

more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== sollte binäre Zeichen ausgeben, kein reines Textscript. Binäre Ausgabe kann dann mit CTRL+C unterbrochen werden

grep LD_PRELOAD /root/.*
<== Keine Ausgabe

grep LD_PRELOAD /etc/*
<== Keine Ausgabe

Sorry, wenn ich noch einmal nachfragen muss. Ich habe den ganzen Thread und diverse andere Threads gelesen und werde nicht ganz schlau.

Ich hatte auf meiner DS110j noch eine alte FW mit 4.1.x. Aber die Updateanfrage hat mir immer gemeldet, es sei auf dem neusten Stand....
Nun kam ich wegen der Newsbeiträge auf die Idee mal manuell nach einem Update zu suchen und siehe da, es gab einige.

Vor dem Update habe ich prüfen wollen, ob mein NAS auch gehackt wurde. Ich muss dazu sagen, die CPU Last, Erreichbarkeit und der HDD Spindown war völlig normal. Ich konnte keine Beeinträchtigung feststellen.
Folgende Ergebnisse lieferten die obigen Befehle:

find / -xdev -user 502
<== hat nichts gefunden

cd /PWND/
<== hat nichts gefunden

killall PWNEDm
<== hat nichts gefunden

killall PWNEDb
<== hat nichts gefunden

more /usr/syno/synoman/webman/modules/ResourceMonitor/top.cgi
<== hat folgendes ausgegeben: #!/bin/sh
/usr/syno/synoman/webman/modules/ResourceMonitor/.top.cgi | awk -v RS='[^\n]*\n*[^\n]*(httpd-log.pid|dhcp.pid|.top.cgi)([^\n]*\n){6}' '{print}' ORS=""

more /usr/syno/synoman/webman/modules/ControlPanel/modules/upgrade.cgi|grep false
<== hat ebenfalls sowas ähnliches wie bei top.cgi ausgegeben.

more /usr/syno/synoman/webman/modules/ResourceMonitor/rsrcmonitor2.cgi
<== hat ebenfalls sowas ähnliches wie bei top.cgi ausgegeben.

grep LD_PRELOAD /root/.*
<== hat nichts gefunden

grep LD_PRELOAD /etc/*
<== hat nichts gefunden

Heißt dies, das NAS war gehackt? Weder per SSH noch im Ressourcen Monitor waren verdächtige Prozesse und die Folder wurden ja auch nicht gefunden.

Ich habe also das neuste Update manuell installiert, ohne das NAS zu resetten, da ich meine Daten nicht verlieren wollte.
Nun ergeben auch alle cgi Abfragen die geforderte Ausgaben.

Einzig lolzb oder lolzm (ich weiß es nicht mehr genau) ist mir einmal unter den Prozessen bei top aufgefallen, hatte aber keine Last. Aber auch diese sind verschwunden und über ps w | grep lolz | grep -v grep nicht aufzufinden.


Muss oder sollte ich nun noch etwas unternehmen oder kann ich davon ausgehen, wenn alle Befehle nun eine korrekte Ausgabe anzeigen und ich das neuste Update drauf habe, wieder sicher zu sein?

Vielen Dank für eure Hilfe und sorry, falls die Fragen zu einfach sind, ich bin aber mit Linux nicht so firm.

 

[Matthieu]

@Darkdevil: Mir sind nur Fälle aus dem Februar diesen Jahres bekannt.
@F0x123: Ich muss dir leider das Gegenteil mitteilen. Der Ressourcen-Manager ist nicht aussagekräftig, weil er über die manipulierten Skripte daran gehindert wird die Wahrheit zu sagen.
Man kann aber in den manipulierten Dateien schön sehen, wie bestimmte Prozesse gezielt ausgefiltert werden. Einen "httpd-log" gibt es auf einer DS aber soweit ich weiß nicht. Ich habe aber schon von Fällen gelesen wo die hier diskutierte Schadsoftware diesen Namen angenommen hat. Es sind verschiedene Versionen im Umlauf die unterschiedlich gut im Verstecken sind. Bei dir heißt es also zurücksetzen ...

MfG Matthieu

 

[F0x123]

Muss ich das auch machen wenn nun alle Anzeigen in putty ok sind und ich keine Spuren mehr finden kann nach dem Update? Bei einem Reset sind auch alle Z Userdaten weg oder?

Kann einer was zu meiner Ausgabe bei more top.cgi sagen?

 

[Matthieu]

Genau auf diese Ausgabe habe ich mich bezogen. Das ist ein recht klares Indiz für einen Befall. Bei einem Reset sollten keine Userdaten abhanden kommen. Der aktuelle Fall hat aber auch mal wieder gezeigt, wie wichtig ein Backup ist. Das Schadprogramm hätte ebenso gut die Platte leer putzen können ...
Liegt ein Befall nicht vor, kann man sich diese Prozedere sparen.

MfG Matthieu