Diskstation gehackt

youthman

Benutzer
Mitglied seit
19. Juli 2018
Beiträge
38
Punkte für Reaktionen
3
Punkte
8
Hallo Leute!

Ich habe ein Riesen Problem..
am Samstag wurde wohl meine Diskstation gehackt.
ich bekam eine Email das sich jemand eingeloggt hat..
Habe darauf gleich die Diskstation ausgeschalten.. leider zu spät.
Am nächsten Tag wieder gestartet und Passwort geändert.

Heute ist mir erst aufgefallen das meine ganzen wichtigen Ordner verschlüsselt worden sind.. Unsere ganzen Kinder Fotos weg.. Firmen Rechnungs Datenbank.. weg...
Ich habe schon dem Support eine Mail geschrieben und warte jetzt auf eine Antwort.
Die werden mir da aber wohl nicht weiterhelfen können oder?
Kann ich auch nicht auf die Daten zugreifen wenn ich die Festplatten ausbaue und in ein externen Case einbaue? Verdammt...
 

Thonav

Benutzer
Mitglied seit
16. Februar 2014
Beiträge
3.833
Punkte für Reaktionen
73
Punkte
108
Uiii - das tut mir leid.

Kannst Du hier mehr über Deine Konfiguration und nach außen offene Ports beri?
Viel Glück!
 

Benares

Benutzer
Mitglied seit
27. September 2008
Beiträge
3.683
Punkte für Reaktionen
74
Punkte
108
Lies mal hier. Du hattest vermutlich irgendwelche Portweiterleitungen aktiv oder hast auf einen Link in einer Mail geklickt :rolleyes:
 

Mahoessen

Benutzer
Mitglied seit
20. Juli 2016
Beiträge
362
Punkte für Reaktionen
15
Punkte
18
Hi,

s.

hoffentlich hast du ein Backup / Datensicherung...

vg
Mahoessen
 

isch83

Benutzer
Mitglied seit
19. Juli 2012
Beiträge
318
Punkte für Reaktionen
0
Punkte
16
Hi,

das klingt ja ziemlich dramatisch!
Kannst Du vielleicht auch in bisschen technischer werden und erklären wie sich die Verschlüsselung auswirkt bzw. Wie es zu erkennen ist?
Kannst Du dich noch anmelden?
Siehst Du eine Meldung womit deine DS/Ordner verschlüsselt sind?

Mein erster Vorschlag wäre Backup nutzen bzw. einspielen.
 

Wollfuchs

Benutzer
Mitglied seit
06. September 2020
Beiträge
843
Punkte für Reaktionen
160
Punkte
119
Nachdem wir einen gleichlautenden Fall ja gerade erst hatten ... waeren so viele Details wie moeglich, eine wichtige Sache.

Im letzhin aktuellen Fall waren nciht die Daten verschluesselt, wie bei einem Kryptotrojaner, sondern die "gemeinsamen Ordner"
waren alle encrypted. Also mit Bordmitteln verschluesselt.
Das Opfer in dem Fall, hat nach Zahlung von ~x00.- EUR in Bitcoin den Key zum decrypten erhalten.

Nicht um auf den eventuellen Fehlern rumzuhacken, sondern um ein Muster zu erkennen, welches anderen eventuell hilft
Praeventivmassnahmen zu ergreifen.

Diskstation:
DSM Version:
installierte Pakete:
Docker:
Ports offen nach aussen:
2FA:
schwaches Passwort:
Adminzugang immer genutzt:
Admin=Admin:
 

Mahoessen

Benutzer
Mitglied seit
20. Juli 2016
Beiträge
362
Punkte für Reaktionen
15
Punkte
18
Hi, auf der Schulverwaltungsseite des Landes NRW ist ein Link zu einer Seite, die die verschiedenen Arten Trojaner erklärt und, sofern vorhanden, einen Decryptor nennt. Da es die Empfehlung eines Ministeriums ist, sollte die Seite seriös sein:

https://www.bleib-virenfrei.de/it-sicherheit/ransomware-liste/

vg
Mahoessen
 
  • Like
Reaktionen: Flessi

Thonav

Benutzer
Mitglied seit
16. Februar 2014
Beiträge
3.833
Punkte für Reaktionen
73
Punkte
108
Privater Service, auf Empfehlung eines Ministeriums? Steht das auf der Seite des Ministeriums?
 

Mahoessen

Benutzer
Mitglied seit
20. Juli 2016
Beiträge
362
Punkte für Reaktionen
15
Punkte
18
Hi @Thonav , sonst hätte ich hier den Link nicht gepostet:

"Ministerium für Schule und Bildung des Landes Nordrhein-Westfalen"

runterscrollen, dort sind die verschiedenen Empfehlungen
vg
Mahoessen
 

Thonav

Benutzer
Mitglied seit
16. Februar 2014
Beiträge
3.833
Punkte für Reaktionen
73
Punkte
108
Danke!
Da gibts auch andere Anbieter, wenn Du nur einen hier postest, bleibt bei mir ein Beigeschmack.
Verweis auf die behördliche Seite hätte gereicht...
 

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.894
Punkte für Reaktionen
201
Punkte
89
@youthman Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC.

Wir wissen nicht, was du sonst noch alles in deinem Netzwerk hast. Als Sortierung:

Hohes Risiko: Jeder Windows-PC, Windows-Server
Mittleres Risiko: Andere Rechner, z.B. Linux (auch die DS ist ein Linux-Rechner), Mac (eher selten betroffen, aber nicht auszuschließen). Falls gerootet, Android-Smartphones
Geringes Risiko: Router, Drucker, iOS-Geräte, nicht gerootete Androiden

Da sich die Infektion fortpflanzen kann, würde ich alle PCs und alle Geräte in der mittleren Kategorie aktuell abschalten. Das heißt ganz aus, Strom weg, kein Ruhezustand oder so.

Mit uns reden geht über Mobilgeräte oder über einen anderen Rechner, der nie mit deinem Netzwerk verbunden war.
 

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.894
Punkte für Reaktionen
201
Punkte
89
Nächste Frage: Verfügst du über ein weiteres Backup, also eines, dass in der letzten Zeit (2-3 Wochen zurück) nicht mit deinem Netzwerk verbunden war ?

Nur um es zu wissen, auf keinen Fall aus dem Schrank holen und ausprobieren, ob es noch geht !
 

Wollfuchs

Benutzer
Mitglied seit
06. September 2020
Beiträge
843
Punkte für Reaktionen
160
Punkte
119
Das Problem ist NICHT auf deiner DS. Das Problem ist mit hoher Wahrscheinlichkeit auf deinem PC

genau hier habe ich aktuell noch Zweifel ...
der Fall klingt so aehnlich zu dem Thread Verschluesselungstrojaner.

Hinweise:
  • es wurden nur Ordner verschluesselt
  • es wurde sich auf der Diskstation angemeldet
  • er hat eine Mail erhalten
alles passt zu dem Fall vorher .. und zwar um Laengen besser als zu einer Encryption aller Files wie es die
"klassischen Trojaner" machen. gerade so als suche jemand gezielt nach NAS mit offenen Ports und nutzt
Hintertueren oder nach aussen offene Apps wie vorig iobroker, um von da aus nach innen zu kommen.
Wenn nun noch DSM per Web erreichbar war .. herzlichen Dank auch ..
 

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
194
Punkte für Reaktionen
37
Punkte
28
War nicht auch in dem letzten Hacker Beitrag die Rede, das der Hacker noch mehrere Leute an der Angel hat? Denke mal, das wir hier demnächst noch mehr solcher Beiträge lesen werden.
Ich habe nur immer noch nicht eindeutig überrissen, woher der Hacker das PW hatte und wie er die 2 Stufen Verifizierung aushebeln konnte. ( Falls der User dies eingerichtet hatte). Wenn das nicht eindeutig geklärt ist, dann befürchte ich, wird demnächst hier eine Lawine von Meldungen gleicher Art eintrudeln. Da niemand weiß, wie er sich vorher zu 100% vor solchem Mist schützen kann. Erstmal alles Windows Gedöns aus der Wohnung werfen ist zwar schon mal der erste Schritt, aber das reicht ja Heutzutage bei weitem nicht.
 
  • Like
Reaktionen: Valkyrianer

the other

Benutzer
Mitglied seit
17. Oktober 2015
Beiträge
834
Punkte für Reaktionen
111
Punkte
69
Moinsen,
Naja... Indirekt auf jeden Fall schon, denn nach wie vor gibt es für dieses OS die meisten und umtriebigsten malware Programme, denn das ist eben die grosse Masse der Nutzer. Da lohnt sich der Aufwand für die pösen purchen eben eher.
Zwar fangen auch für Apple OS und Linux mehr und mehr schlechtere Zeiten an, aber nicht vergleichbar.
Dafür kann Windows ja auch nix, dass 95 Prozent (gefühlte wert!) der PC Nutzer Windows nutzen... Und da sind dann eben auch viele unbedarfte Zeitgenossen dabei. Apple und Linux ziehen ja oft auch Menschen an, die sich mit ein zwei Ebenen unter der bunten Oberfläche befassen wollen.
Es kann zumindest nicht schaden, sich mit seinem OS mal etwas auseinander zu setzen und ein paar wichtige basics zur Kenntnis zu nehmen, egal welches OS. Die heutigen Zeiten machen das imho nötig, denn die schlecht gesicherten Geräte und die User aus dem Tal der ahnungslosen von heute sind die mich angreifenden Teile des botnetzes von morgen...
Windows bietet da durchaus jede Menge mehr Sicherheit heute, aber eben für den 0815 User nicht offen. Da muss man dann auch wollen und machen. Meist ist der Keim des Übels aber nicht das OS allein, sondern der honk der es sorglos und Gedanken frei benutzt.
Jm2c
 
  • Like
Reaktionen: Valkyrianer

Speicherriese

Benutzer
Mitglied seit
08. Mai 2018
Beiträge
194
Punkte für Reaktionen
37
Punkte
28
Wie Synchrotron dies schon schön in Sicherheitskategorien unterteilte, was ich genauso sehe. Hier steht Windows an erster Stelle der Unsicherheit. Das ist Heute genauso, wie es schon vor 25 Jahren war. In größeren Firmen gibt es ganze gut bezahlte IT Abteilungen, die dies zumindest im Griff haben sollten, die Privatanwender sage ich mal salopp, haben hier in der großen Masse von wirklicher sehr tiefgreifender Sicherheit keinen blassen Dunst. ( Da zähle ich mich auch dazu). Um diese Schwachstelle eben zu eliminieren, habe ich alles Windows aus diesen Gründen seit zig Jahren aus meiner Wohnung verbannt. Ein Problem weniger. ( Nur eines aber das reicht mir schon mal). Was nicht heißen soll, das ich niemals von Hackern angegriffen werden könnte, aber eben ein Schloss mehr am Haus.
 

Synchrotron

Benutzer
Mitglied seit
13. Juli 2019
Beiträge
1.894
Punkte für Reaktionen
201
Punkte
89
So, dann wären wir damit erst mal durch.

Jedenfalls bis sich derjenige wieder meldet, der diesen Thread eröffnet hat, und nur genau diesen einen Post ganz am Anfang hier abgesetzt hat. Seitdem nichts mehr - warum auch immer.
 
  • Like
Reaktionen: peterhoffmann

Schwarte

Benutzer
Mitglied seit
02. März 2018
Beiträge
68
Punkte für Reaktionen
3
Punkte
14
Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.

Port, PW und soweiter sind geändert und keine Adminrechte genutzt.

Möglicherweise kommts eben nicht über Windows rein, feste-ip.net lief Jahre bei mir mit den Einstellungen ohne Einträge in der Firewall oder automatischer Blockierung. Bis letzten letzte Woche Mo 17:00. Dauert keine 10 Minuten für 3 (fehlgeschlagene) Anmeldeversuche seitdem.

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Mon Oct 19 17:34:03 2020 blockiert.

Von NAS

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 5 Minuten 5 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Tue Oct 20 08:12:52 2020 blockiert.

Von NAS

Code:
Sehr geehrter Benutzer,

die IP-Adresse [2a03:567:1::12] versuchte sich innerhalb von 15 Minuten 3 Mal erfolglos bei SSH auf NAS anzumelden und wurde um Wed Oct 21 07:53:03 2020 blockiert.

Von NAS

Habs dann auf 3 Versuche pro 15 Min gelassen und blockiert.
 
Zuletzt bearbeitet:

Wadenbeißer

Benutzer
Mitglied seit
10. Oktober 2018
Beiträge
242
Punkte für Reaktionen
29
Punkte
28
Da frgat man sich warum du SSH für extern aufgemacht hast.
 
  • Like
Reaktionen: SAMU und Synchrotron
  AdBlocker gefunden!

Du bist nicht hier, um Support für Adblocker zu erhalten, denn dein Adblocker funktioniert bereits ;-)

Klar machen Adblocker einen guten Job, aber sie blockieren auch nützliche Funktionen.

Das Forum wird mit einem hohen technischen, zeitlichen und finanziellen Aufwand kostenfrei zur Verfügung gestellt. Wir zeigen keine offensive oder Themen fremde Werbung. Bitte unterstütze dieses Forum, in dem du deinen Adblocker für diese Seite deaktivierst.