Angriffe über Multicast DNS und keine Ahnung!

[Don Castelli]

Hallo Leute,
mehrfach schreibt mich mein Netzbetreiber Vodafone an, dass von meinem NAS über offenes mDNS Angriffe gegen deren Server und weitere Nutzung von Cyberkriminellen gefahren werden. Ich habe keine Ahnung, wo und was da los ist, sehe in meinem DSM kein mDNS. Tatsächlich nutzen ich und meine Frau die App "DS Audio, DS Note, DS File" über Smartphone, die Notizfunktion auch über den Rechner mittels Quickconnect und wohl auch DDNS. Das klappt ohne Probleme. Den Kalender habe ich aus all meinen Geräten nun gelöscht, da ständig Zertifikatsprobleme gemeldet wurden, obwohl im DSM das Zertifikat aktuell ist.

Was läuft hier falsch und was muss ich abschalten, schließen oder verändern?

Danke euch für die Hilfe, denn ich bin ratlos!

 

[NSFH]

Da werden detailliertere Angaben benötigt.
Wer zB mDNS macht ist der Bonjour Dienst. Den vielleicht mal probehalber abschalten.
In der Firewall der Syno das heimische Netz vernünftig absichern und zB Bonjour nur im LAN aber nicht nach Aussen freigeben.

 

[Synchrotron]

Schau mal auf deinem Router nach.

Sind da irgendwelche Ports offen ? Dann schließe sie - Port-Weiterleitung löschen.

Auf dem Router außerdem UPnP abschalten, damit nicht hinten rum wieder Ports geöffnet werden.

Du kannst vorher die Router-Konfiguration sichern - dann kannst du alles wiederherstellen, wenn der Rest erledigt und die Schadsoftware entfernt.

QuickConnect kannst du offen lassen.

Das sind die Sofortmaßnahmen - wenn es nämlich weiter geht, schaltet dir Vodafone den Anschluß ab.

Und dann musst du feststellen, wo in deinem Netzwerk die Schadsoftware steckt. Die ist nicht weg, nur weil sie nicht mehr kommunizieren kann.

Erster Verdacht sind immer Windows-PCs. Es kann aber auch auf jedem anderen Gerät sein, bis hin zu einer Kamera, einer Home-Bridge, auf dem Router selbst (dann nützt das Schließen der Ports nichts) oder auch auf der DS.

 

[Don Castelli]

Oha, ja ich habe auf meiner FritzBox jede Menge Freigaben, wovon ich sicherlich nicht alle brauche. Alle löschen? Uff, dann kann ich doch nicht mehr auf mein Synology-NAS zugreifen?

 

[synfor]

Die Freigabe für Bonjour, die Unbekannte Freigabe, sowie die für Port 5000, 5005 und 8008 löschen. Auch die Freigabe von Port 80 ist möglicherweise überflüssig.

Besser alles löschen und per VPN (auf der Fritte einrichten) auf das NAS zugreifen.

 

[heavy]

Für was brauchst du den Bonjour Dienst auf 5353? Der dürfte das Problem sein denn dass ist eben der mDNS Dienst den dir Vodafone meldet und ist für den normalen Zugriff auf die DS auch nicht notwendig.

 

[Fusion]

Erst mal alles löschen würde ich sagen. Besonders die "routerkonfiguration" im DSM falls du die benutzt. Und in der Fritzbox die automatische Portfreigabe für das NAS nicht erlauben.

Dann kann man neu starten.

Mit den Einstellungen im Anmeldeportal kann man es denke runter bringen auf 2-3 Ports und trotzdem alles erreichen.

 

[Don Castelli]

Routerkonfiguration im DSM nutze ich nicht.

Habe in der FritzBox nun nur noch diese Ports:

<Screenshot entfernt>

Bonjour ist in der DSM so angewählt:



Wenn ich auf mein Synology-NAS zuhause zugreife, kommt auch immer eine wunderliche Sicherheitswarnung, obwohl ich in der Adresse über https: und 5001 zugreife:

 

[heavy]

Hast du überhaupt einen MAC? Wenn nein dann brauchst du den Dienst überhaupt nicht. Und klar kommt die Meldung denn die das Zertifikat läuft ja auf deine Domain (die im Screenshot lesbar ist) und nicht auf die IP mal abgesehen davon dass es im eigenen Netzwerk eh einigermaßen sinnlos ist per https auf die DS zuzugreifen.

 

[Don Castelli]

Okay, also sollte ich die direkte Adresse eingeben, obwohl da auch wieder https: und Port 5001 erscheint, aber ohne die Warnung. Ja klar, ich brauche keine Zertifikats-Sicherheit, denn ich sitze neben dem NAS.

Und ... ja, ich sitze am iMAC hier.

 

[Benie]

Habe in der FritzBox nun nur noch diese Ports:

Schwärze vielleicht mal Deine IP Adresse und ändere den Screenpost in #8 so lange es noch mit Bearbeiten geht.

IPV4 und IPV6

 

[ctrlaltdelete]

deine Domain (die im Screenshot lesbar ist)

Immerhin ist der user: guest deaktiviert

 

[EDvonSchleck]

Wenn du schon eine Fritz!Box hast, warum nutzt du kein VPN? Du solltest, wenn es geht, keine Ports öffnen. Und wenn es doch sein soll, dann nicht die Originalen. Dazu noch die Firewall aktiveren.

 

[Synchrotron]

Lieber Don, du kannst da jetzt noch lange rumfroscheln, und vielleicht geht es ja gut.

Vielleicht sperrt dir aber Vodafone den Internetanschluss, und dann hast du keinerlei Sorgen mehr bzgl. Erreichbarkeit. Die ist dann weg, ganz einfach.

Bei Malware gibt es eine strukturierte Vorgehensweise:

1) Dicht machen, isolieren
2) Suchen, finden, eliminieren
3) Vorsichtig minimal wieder öffnen, überwachen
4) Lessons learned, nachhaltig aufsetzen

Dieser Thread scheitert schon in Stufe 1. Du kannst nicht gleichzeitig erreichbar bleiben und deinen böswilligen Untermieter los werden.

Noch hast du es selbst in der Hand …

 

[ottosykora]

will nicht hijacken
nur ein Zwischenfrage: wozu kann ein Bonjour Dienst von extern aus überhaupt verwendet werden? Ich dachte immer das sei was für den lokalen Netzwerk mit dem sich Drucker finden oder so was

 

[ctrlaltdelete]

https://www.bsi.bund.de/DE/Themen/U...ne-mDNS-Dienste/Offene-mDNS-Dienste_node.html

 

[NSFH]

1000 Antworten und alles steht schon in #2
Das Problem ist, dass die NAS Hersteller alles mögliche an Funktionen zur Verfügung stellen, dem Nutzer aber nicht sagen, dass es ohne Fachkenntnisse nicht geht respektive sicherheitstechnisch höchst problematisch ist eine eigene Cloud zu betreiben.

 

[Ulfhednir]

Das Problem ist wohl eher nicht der Hersteller, sondern derjenige der das Ding betreibt und einrichtet. Mal eine Analogie: Jeder Mensch kann in der Theorie auch ohne Elektrikerausbildung eine Steckdose austauschen. Ob man das jetzt dann trotzdem aufgrund möglicher Risiken machen sollte, steht dann wieder auf einem anderen Papier. Wenn ich dann trotzdem eine gewischt bekomme, bin ich dann selbst schuld oder die Schuld von Gira?

 

[NSFH]

Sehe ich absolut nicht so, der Vergleich hinkt.
Die Hersteller der NAS bewerben die Cloudfunktionen und machen die Inbetriebnahme so einfach, dass das jeder kann, nur eben nicht korrekt und ohne die notwendige sicherheitstechnische Absicherung.
Aber ist ja auch egal und wird hier jetzt offtopic.

 

[heavy]

Klar Theopraktisch kann jeder selber eine Steckdose anschließen. Rechtlich darf er es nicht (überall) und das ist auch gut so, was ich schon gesehen habe was manche im Bereich der Elektrotechnik anstellen aua. Aber auf der anderen Seite muss man sich schon fragen, was hat ein Mailserver, DNS Server, Radius Server, auf einem Netzwerk Angebundenen Speicher zu suchen. Das sind alles Sachen die auf einen dezidierten Server gehören den dann auch ein Netzwerkadministrator mit Ahnung konfiguriert und pflegt.