DSM 7.2 Angriff nach Update?

[stealthT]

Hallo zusammen. Ich benötige mal eure Hilfe. Ich habe gestern bei meiner Syno DS 220+ ein Update gemacht. Anschließend habe ich auch die Apps aktualisiert. Anschließend hatte ich meinen Synology Account verknüpft, inzwischen aber wieder getrennt. Ich hatte sonst keine Änderungen vorgenommen und habe auch keine Portweiterleitungen auf die Synology offen. In der Nacht bekam ich dann Alarmmeldungen, welche gar nicht gut aussehen. Es handelt sich offenbar um Bittorrentverbindungen die von der Synology als ausgehend bezeichnet werden. Ich vermute natürlich einen Zusammenhang mit dem Update. Gibt es aktuell Sicherheitslücken bei den Updates oder welche Anwendung könnte diese Meldungen verursachen. Aktuell ist der Server aus. Kann also keine weiteren Systeminfos geben. Muss ich erst einmal offline hochfahren.

 

[Benares]

Die wichtigste Frage: Gibt es Portweiterleitungen/-Freigaben auf deinem Router zum NAS?

 

[stealthT]

Nein. Keine.

 

[Benares]

Gut. Mit Bittorrent und evtl. Gefahren, wenn man das nutzt, kenne ich mich leider nicht aus.

 

[stealthT]

Könnte eigentlich nur eine App sein. Vor ein paar Jahren weiß ich noch, dass die Foto App nach einem Update auf einmal alle neuen Alben öffentlich gemacht hat, obwohl es vorher auf privat stand.

 

[stealthT]

DSM 7.2.2-72806 Update 5

 

[synfor]

Benutzt du die Download Station?

 

[Ronny1978]

In der Nacht bekam ich dann Alarmmeldungen, welche gar nicht gut aussehen.

Von der Synology?
Welche Apps sind auf der Synology alles installiert?
Was für einen Router hast du?
Hast du Netzlaufwerke auf deinem PC/Laptop zur Synology gemappt?
Wenn ja, welchen User nutzt du da? Admin oder einschränkten User?
Sind deine Zugänge (Synology Konto und auch die User zumindest der Admin) per 2FA abgesichert?

Ich will natürlich nichts ausschließen, aber das die Fehlermeldungen / Bittorrentverbindung wirklich mit einem Update der DS zusammenhängen, kann ich mir schwer vorstellen, denn dann hättest du hier im Forum schon viel, viel mehr Meldungen darüber.

Bitte auch die Nachfrage von @synfor beantworten.

 

[stealthT]

Hallo. Danke für eure Rückmeldungen.

Nein. Die Download Station ist nicht aktiv. Es ist alles mit 2FA abgesichert. Die Meldungen kamen vom Unifi Router. Gab es vorher nie. Zu keiner Zeit. Habe recht wenig Apps installiert und keine externen Freigaben oder eine Anbindung an das Internet. Könnte am ehesten vom Homeassistant kommen, der darauf läuft. Ist halt unmittelbar nach der Installation der Synology aufgetaucht. Sonst waren keine Auffälligkeiten im Netzwerk. Bin aktuell ratlos, wie ich weiter machen soll.

 

[Hagen2000]

Poste doch mal ein paar der Fehlermeldungen. Welche Zieladressen wurden kontaktiert? Vielleicht ist es ja harmloser Traffic, der zu Fehlalarmen geführt hat.

 

[Ronny1978]

Die Meldungen kamen vom Unifi Router

Ich denke, wie @Hagen2000 , dass das nur Fehlermeldungen sind. Wenn du soweit alles abgesichert hast, kaum Applikationen oder offene Ports vorhanden sind, warum sollte dann nach der Verknüpfung mit deinem Synology Konto, eine Kompromittierung stattfinden? Vielleicht findet hier einfach das Config-Backup ins Synology Konto statt und Unifi interpretiert das gleich als Bittorrent?

 

[stealthT]

Ja. Hoffe ich auch. Können reguläre Sachen sein. Das ist richtig. Aber man fühlt sich nicht gut, bei solchen Meldungen.

 

[maxblank]

Es handelt sich offenbar um Bittorrentverbindungen die von der Synology als ausgehend bezeichnet werden.

Ich vermute, dass dies Active Insight war, welches nach der Anmeldung beim Synology Konto aktiv wurde. Da dies ständig mit der Synology Cloud in Verbindung steht, würde das passen.

 

[stealthT]

Die erste Meldung war eine IP aus Frankreich incoming, 3:45 Uhr:

IPS Alert 2: Misc Attack. Signature ET CINS Active Threat Intelligence Poor Reputation IP group 89. From: 62.169.18.104:41923, to: meinesynology:6881, protocol: UDP

Systemkommentar dazu: This indicates that someone may be attempting to exploit an application's vulnerabilities.

Tatsächlich gehört die IP wohl zu Contabo, München

xxxxxxxxxxxxxxxxxx

Um kurz vor 06:00 Uhr habe ich zunächst die Kontoverbindung von Synology in den Einstellungen (von meinem Handy aus) deaktiviert. Kurz danach kam diese Meldung:

Incoming, 62.169.18.104; Ziel: Mein Handy

IPS Alert 2: Misc Attack. Signature ET CINS Active Threat Intelligence Poor Reputation IP group 90. From: 62.169.18.104:80, to: meinhandy:51560, protocol: TCP

xxxxxxxxxxxxxxxxxx

Um 07:51, outgoing, ip in South Korea, Korea Telekom:

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET P2P BitTorrent DHT ping request. From: meinesynology:6881, to: 118.46.53.80:6881, protocol: UDP

Kommentar: This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments.

xxxxxxxxxxxxxxxxxx

Um 7:56 Uhr, outgoing, ip aus Deutschland, Hetzner

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET P2P BitTorrent DHT ping request. From: meinesynology:6881, to: 88.99.251.24:25794, protocol: UDP

Systemkommentar: This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments.

xxxxxxxxxxxxxxxxxxxxx

Um 08:01, outgoing, ip in Russland

IPS Alert 1: Potential Corporate Privacy Violation. Signature ET P2P BitTorrent DHT ping request. From: meinesynology:6881, to: 95.31.240.6:41607, protocol: UDP

Systemkommentar: This indicates potential use of applications that may not be appropriate for corporate environments. This is usually more acceptable for home environments.

xxxxxxxxxxxxxxxxxxx

Seitdem habe ich abgeschaltet.

 

[Ronny1978]

to: meinesynology:6881

meinesynology:6881

Ist der Port nach außen offen? Wie hast du die Firewallregeln in Unifi geschrieben? Drop oder Reject?

to: meinhandy:51560, protocol: TCP

Was wird denn an dein Handy weitergeleitet?

Seitdem habe ich abgeschaltet.

Ist erst einmal kein Fehler. Aber kannst du nicht einfach eine Regel schreiben, die der DS verbietet ins Internet zu gehen und dann mal ins Protokoll schauen.

Denke bitte auch dran, dass bei Unifi - im Gegensatz zu OpnSense - alles offen ist, bis man es schließt.

88.99.251.24

Hast du bei Hetzner einen Backupjob oder sowas am Laufen?

 

[maxblank]

Portweiterleitungen prüfen. Hast du UPnP aktiv? Ebenfalls prüfen.
Firewall auf dem NAS konfigurieren.

 

[stealthT]

Ist der Port nach außen offen? Wie hast du die Firewallregeln in Unifi geschrieben? Drop oder Reject?

Nein. Ich habe keine Portweiterleitungen eingerichtet. Alle Türen sind zu.

Was wird denn an dein Handy weitergeleitet?

Kann ich nicht beantworten. Wie gesagt. Eine solche Meldung trat überhaupt jetzt erst das erste Mal auf. Nutze die gleichen Konfigurationen schon seit langem.

Ist erst einmal kein Fehler. Aber kannst du nicht einfach eine Regel schreiben, die der DS verbietet ins Internet zu gehen und dann mal ins Protokoll schauen.

Denke bitte auch dran, dass bei Unifi - im Gegensatz zu OpnSense - alles offen ist, bis man es schließt.

Wie meinst du das? Die Vlan-Netzwerke innerhalb meines Zuhauses? Das ist mir bekannt. Ja. Erklärt aber nicht den Traffic nach draußen.

Hast du bei Hetzner einen Backupjob oder sowas am Laufen?

Nein.

Portweiterleitungen prüfen. Hast du UPnP aktiv?

Auf der Synology meinst du? Muss ich nachsehen. Überprüfe ich.

Firewall auf dem NAS konfigurieren.

Ist eigentlich aktiv. Überprüfe ich.

 

[Hagen2000]

IPS Alert 2: Misc Attack. Signature ET CINS Active Threat Intelligence Poor Reputation IP group 90. From: 62.169.18.104:80, to: meinhandy:51560, protocol: TCP

Das Paket schaut für mich so aus wie die Antwort auf eine HTTP-Anfrage (Port 80) deines Handys. Neben der verdächtigen IP-Adresse ist auch merkwürdig, dass Port 80 unter der IP-Adresse bei einem Portscan nicht als geöffnet angezeigt wird. Hast Du irgendwelche speziellen Apps auf dem Handy installiert?
Was für ein OS läuft auf dem Handy?

 

[Ronny1978]

@stealthT : Für welche Applikation auf der DS hast du denn Port 6881 eingestellt? Das ist ja nun kein DSM typischer Port? Wie sieht denn dein Netzwerk aus?

Unifi (Dreammaschine o.ä.) -> PC's (Mac oder Windows?) Irgendwelche Neuinstallationen in letzter Zeit?

Wenn ja, welchen User nutzt du da? Admin oder einschränkten User?

Bei den PCs oder Handys???

 

[Crashandy]

Für welche Applikation auf der DS hast du denn Port 6881 eingestellt?

Ich habe einmal mit einem Portscanner nach diesem Port geschaut. Da wird auf die üblichen Verdächtigen verwiesen. Die vermehrten Angriffe wundern mich also nicht.