Toggle sidebar

Diskstation gehackt

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

Status
Für weitere Antworten geschlossen.
Ulfhednir schrieb:
Gerne nochmal: Um an den ioBroker heranzukommen, benötigst du nur eine leichtsinnige Portfreigabe auf das ACP
Hier läuft dann nichts mit Passwörtern. Der Docker-Container auf dem der Broker läuft, wird mit erweiterten Systemrechten ausgeführt.
Ich kann dann wiederum im Browser, ohne Eingabe von Kennwörtern, jeglichen Blödsinn im Fremden Netzwerk treiben.
Zum Vergrößern anklicken....
Danke für den Hinweis!
Dann sieht es so aus, dass insbesondere über den nach außen offenen Port 8081 die Angriffe erfolgen.
 
Was noch offen war ist der Port 4430.
um auf meine Firmen Datenbank von aussen zuzugreifen.
 
Ich nutze meine DS von Aussen seit einiger Zeit nur per VPN. Im Router ist kein Port offen.

In der Firewall vom NAS ist der Port 8081 nicht aufgeführt und somit auch nicht offen. Macht es Sinn, diesen Port explizit zu schliessen oder ist das dann wieder übertrieben?
 
Hi youthman,
kannst du vielleicht noch ein paar Screenshoots posten:
  • von der eMail (anonymisiert)
  • von einem gemounteten Ordner: zb. Listen Ansicht (mit Zeitstempel) von einem Ordner mit Dateien und Unterordnern
Wir sollten ja die Chance (youthman's Unglück) nutzen und möglichst viel Infos zu sammeln.
Hattest du eine Externe USB-HDD als Backup dauerhaft angeschlossen?
 
Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...
 
@youthman hattest du den Synology-Adapter im ioBroker installiert?
 
Thonav schrieb:
Hmm - Du nutzt Quickconnect? Es scheint doch, dass der Hacker per DSM auf die DS zugegriffen hat...
Zum Vergrößern anklicken....

Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation
 
  • Like
Reaktionen: youthman
Ja ich nutze Quickconnect.
Den Synology Adapter habe ich nicht installiert
 
t0BI schrieb:
Da einige Ports nach außen offen waren, ist der Hacker wahrscheinlich über IP-Adresse und Port rein.

Ein Tipp wäre hier, wenn man Ports nach außen offen haben möchte, die Firewall in der Synology zu aktivieren und zu konfigurieren, so dass alle Regionen, in denen man sich nicht befindet blockiert.

So kann man schon eine große Anzahl von unerwünschten Anfragen loswerden, z.B. die Russiche Föderation
Zum Vergrößern anklicken....

Ich habe meine Firewall nach dieser Anleitung eingerichtet: https://mariushosting.com/how-to-set-up-synology-firewall-geoip-blocking/
 
  • Like
Reaktionen: micbe und t0BI
Schwarte schrieb:
Seit letzter Woche Montag kommen Anmeldeversuche per Feste-ip.net bei mir rein. Diverse Login versuche, bis die IP vom NAS gesperrt wird. Das ist jetzt merkwürdig, weil meine Freigabe nach wie vor per ipv6 Adresse erreichbar ist, per DDNS (Portmapper) nur, wenn ich die Sperre aufhebe. Also hat da jemand Scans am Laufen.
Zum Vergrößern anklicken....

Habe ich seit letzter Woche auch vermehrt. Und immer schön mit Zeitabstand dazwischen, dass die automatische Sperre nicht gegriffen hat. Bekommt man schön mit wenn man die Benachrichtigungen an Telegramm weiterleiten lässt.

Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.

Zwischenzeitlich wurden in 1h auch mal > 700 Port-Anklopfer vom Router verworfen. Alle auf den vier bis fünfstellingen Portbereich.
 
Zuletzt bearbeitet:
SAMU schrieb:
Hab die Sperre jetzt von 5 Versuchen in 15min auf 3 Versuche in 600min eingestellt.
Zum Vergrößern anklicken....

Guter Hinweis. Beim mir 3 Versuche in 15 Minuten. Kannst Du diese 600 Minuten begründen? Wirkt diese IP-Sperre auch auf IPs die via NAS-Firewall freigegeben sind? Denn in meiner Firewall ist nur mein eigener IP-Range freigegeben.

Wenn ich Dödel mein kompliziertes Passwort also selber 3 Mal falsch eingebe, bin ich dann ebenfalls weg und muss 600 Minuten warten? Wobei ich es bei mir so eingerichtet habe, dass keine automatische Aufhebung der Sperre erfolgt.
 
Können die Profis hier im Forum schon eine Analyse ( keine Vermutungen) der beiden gehackten Vorfälle abgeben, wo der Hacker eine Schwachstelle im System gefunden hat um ins NAS zu gelangen. Was bringt einem FW, Zertifikate, 2Stufen Verifizierung usw. wenn doch irgendwo wieder ein Schlüssel im Garten rumliegt, den man aber selber nicht sieht um die Tür aufzusperren. Der IoBroker scheint ja schon mal ein Einfallstor zu sein. ( Vermutung von mir)
Das ist alles, was mich interessiert.
 
  • Like
Reaktionen: haol0013
Zum Dritten: Ich habe ein potentiellen Angriffsvektor mit über 700 Systemen aufgespürt. Ich hüte mich jetzt noch mehr Input hier im Forum zu beschreiben, um nicht noch mehr Kaputte darauf aufmerksam zu machen. Das Grundproblem ist nach wie vor der offene ioBroker.
 
  • Like
Reaktionen: Yippie
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.
 
Gestern habe ich mir folgende Frage gestellt: Kann man unter DSM verschlüsselte "gemeinsame Ordner" (nochmal) verschlüsseln?
Die Überprüfung ergab die Antwort: anscheinend nicht - es lässt sich wohl kein Passwort eintragen!
Das müsste doch bedeuten, dass wenn man regulär immer mit bereits verschlüsselten (eingehängten) "gemeinsamen Ordnern" arbeiten würde, könnte ein Hacker Ordner nicht verschlüsseln, da er sie vorher entschlüsseln müsste (ist ein längerer Vorgang) und auch die dazu benötigten Passwörter kenne müsste.
Diese könnten sich aber auf einem abgezogenen USB-Stick befinden.
Kann das so bestätigt werden oder habe ich etwas übersehen?
 
@Flessi oder ich gehe halt dann hin und verschlüssele direkt die Daten.

Was dann aber voraussetzt, dass ich eine Software im Zielnetz laufen habe die das macht. (oder sehr schnelles Internet und alles runter/hochladen :D )
 
Flessi schrieb:
Im "Notfall" hilft es, den Router kurzzeitig vom Netz zu nehmen, da er nach Neuanmeldung i.d.R. eine neue IP bekommt und die Sperre ist umgangen.
Oder man entsperrt per Handy (hat ja eine andere IP und wird deshalb durchgelassen) mit Hilfe der "DS finder"-App.
Zum Vergrößern anklicken....
Bei mir werden IPs dauerhaft geblockt. Das heißt, sollte ich mich mal aussperren, muss ich mich mit was anderem einloggen (zur Not vom internen Netz) und die IP löschen.
 
Ich finde, ihr redet am Grundproblem vorbei.
Das Grundproblem ist jede Art von Portweiterleitung. Erst die Haustür offen stehen lassen und dann versuchen, über verschlossene Zimmertüren oder verschlossene Schubladen doch noch was zu schützen ist m.E. der falsche Ansatz.
 
  • Like
Reaktionen: Tommes und Ulfhednir
@SAMU Es geht doch hier um die 2 Fälle, wo der NAS gehacked wurde und die "gmeinsamen Ordner" (wenn ich das richtig verstanden habe) verschlüsselt wurden. So habe ich mir Gedanken gemacht, genau dies zu unterbinden.
 
Status
Für weitere Antworten geschlossen.
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten