DSM 6.x und darunter DSM verschickt Mails an unbekannten User

[Django77]

Hallo,

ich habe ein ernsthaftes Sicherheitsproblem, wie es scheint. :-(

Mir ist beim Checken meines Postausgangs (E-Mailfach, worüber DSM Benachrichtigungen schickt) eine Mail aufgefallen. In dieser Mail wird ein mir unbekannter Nutzer (E-Mail-Adresse ist mir auch unbekannt) darüber informiert, dass sein Kennwort geändert wurde.

Schaue ich aber unter "Benutzer" nach, existiert dieser Benutzer nicht. Das kommt mir mehr als seltsam vor. Ist es möglich, dass sich jemand Zugriff verschafft hat und dann auch noch den Benutzer verstecken kann? Ich habe in meinen gesendeten Mails nach etwas anderem gesucht und dabei ist mir diese Mail aufgefallen.

Hier der Text:

Datum: 07.12.16 21:28 (GMT+01:00)
An: xxxx@xxx.de (Emailadresse von mir überschrieben, ursprüngliche Adresse ist mir nicht bekannt)
Betreff: Ihr Kennwort auf DiskStation wurde geändert
Sehr geehrte/r <mir unbekannter Benutzername>,

Dies ist eine Bestätigung, dass Ihr Kennwort auf DiskStation geändert wurde.

Ihre Kontoeinstellungen können Sie unter http://xxx.xxx.xx.xxx:5000/, http://xxx.xxx.xxx.xx:5000/, http://xxxx.xxxx.xxx:5000/ ändern. (Wenn Sie keine Verbindung zum Server herstellen können, kontaktieren Sie bitte den Administrator.)

Mit freundlichen Grüßen
Synology DiskStation

Die oben von mir ausgexxten Adressen funktionieren alle.

Kann mir jemand bitte sagen, wie ich die Sicherheit wiederherstellen kann?

Vielen Dank für Eure Hilfe.

 

[dany]

Die IP Adressen, bei der ein "xxx" Maskiert hast, sind das deine IP-Adressen? https://www.wieistmeineip.de/
Wenn nicht, schau mal unter https://www.ip2location.com/ woher die kommen. Dazu kannst du mal die X-HEADER vom Mail anschauen ob die tatsächlich von deinem NAS kommen.

Es kann sein das du
a) ein Phisihing-Mail bekommen hast, der versucht das Passwort von dir zu erhalten. (fände ich unwahrscheinlich)
b) Ist dein NAS von Port 5000 von Aussen erreichbar? => Solch eine Verbindung ist unverschlüsselt, daher ein no-GO.
c) welche Dienste sind nach/von aussen erreichbar?

Gruss Dany

 

[ottomane]

Lasse Dir den Quelltext des Mailheaders auch mal anzeigen. Dort findest Du evtl. Hinweise auf den Ursprung und den Weg der Mail.

 

[blurrrr]

Grundsätzlich: Solche Mails zu erhalten ist nicht sooooo unwahrscheinlich wie man meint... Wenn man weiss, dass ein entsprechendes Gerät vorhanden ist, kann man auch entsprechende Mails anfertigen und dem ahnungslosen User entsprechendes vorgaukeln...

Grundsätzlich sind die Tips von Dany mit dem Mailheader schon ganz richtig, denn erstmal geht es darum abzuklären, ob man nun wegen der Mail gleich Panik schieben sollte, oder ob es nur ein "Versuch" ist, von Dir irgendwelche weiteren Daten abzugreifen. Du kannst z.B. auch die Links checken (Ihre Kontoeinstellungen können Sie unter http://xxx.xxx.xx.xxx:5000/, http://xxx.xxx.xxx.xx:5000/, http://xxxx.xxxx.xxx:5000/ ändern.), allerdings nicht draufklicken, sondern einfach nur mal mit der Maus darüberfahren und schauen wohin die Links nun wirklich zeigen. Der "Klick" auf die Links birgt ggf. die Gefahr (falls Dein NAS wirklich komprimitiert sein sollte), dass Du Dir über diesen Klick direkt am Rechner auch noch was einfängst.

Du kannst auch mal bei den angelegten Usern schauen, ob ggf. irgendwo ein Name oder eine Mailadresse geändert wurde.

 

[Django77]

Hallo Dany,

a) Das glaube ich auch nicht. Zumal ich ja nichts erhalten habe, sondern die Diskstation über meinen E-Mail-Account eine Nachricht an einen mir Fremden geschickt hat. Ich habe es nur zufällig entdeckt, als ich den "gesendet"-Ordner kontrolliert habe. Normalerweise hätte ich davon gar nichts mitbekommen... :-( D.h. irgendwer hat meine Diskstation veranlasst, diese Mail abzuschicken. Wenn ich mir aber unter Einstellungen / Benutzer mir alle Benutzer anzeigen lasse, taucht außer den mir bekannten und selbst angelegten Benutzern kein neuer Benutzer auf, schon gar nicht der in der Mail genannte.. Auch die E-Mail-Adressen aller legitimen User sind korrekt eingetragen, er kann also nicht unter einem anderen Benutzernamen Meldungen abfangen (E-Mail-Benachrichtigung an andere E-Mail umgeleitet ist also auch nicht). Ungefähr zur gleichen Zeit hatte ich laut Protokoll mehrere erfolglose Zugriffsversuche, laut Protokoll erfolgte aber kein Log-in. Damals war die Blockade der IP noch nicht aktiv, aber jetzt.

b) ja, das NAS war über 5000, 5001, 80 erreichbar. Nach Deinem Hinweis (vielen Dank übrigens) habe ich in der Fritzbox alle Ports dichtgemacht außer 5001 und 443.

c) DS Audio, DS File, DS Video, DS Photo und Zugriff auf DSM über https. Zwei-Faktor-Authentifizierung habe ich jetzt aktiviert, alle Passwörter geändert.

Falls sich da immer noch einer eingenistet hat (wenn er vorher drin war und es geschafft hat, seinen Benutzer zu tarnen, sowie das Protokoll zu umgehen), dann werden ihn die jetzt verstärkten Sicherheitsvorkehrungen nicht behindern. Wie setze ich dann mein System neu auf, ohne alle Daten zu verlieren? 6TB Daten kann ich nicht spontan auslagern und hinterher wieder zurückspielen. Dafür müsste ich erst einmal externe Festplatten kaufen. Ist es möglich nur das DSM auf Werkseinstellungen zu reseten, ohne alle Daten zu verlieren?

Danke auch an alle anderen für das Feedback und die Tipps.

Gruß,
Django

Die IP Adressen, bei der ein "xxx" Maskiert hast, sind das deine IP-Adressen? https://www.wieistmeineip.de/
Wenn nicht, schau mal unter https://www.ip2location.com/ woher die kommen. Dazu kannst du mal die X-HEADER vom Mail anschauen ob die tatsächlich von deinem NAS kommen.

Es kann sein das du
a) ein Phisihing-Mail bekommen hast, der versucht das Passwort von dir zu erhalten. (fände ich unwahrscheinlich)
b) Ist dein NAS von Port 5000 von Aussen erreichbar? => Solch eine Verbindung ist unverschlüsselt, daher ein no-GO.
c) welche Dienste sind nach/von aussen erreichbar?

Gruss Dany

 

[ottomane]

Wenn die Mail in deinem "Gesendet"-Ordner auftaucht, muss man überlegen, wie sie dorthin kommt. Welchen Maildienst nutzt du? Welchen Client oder Web-basiert? Manchmal kopieren die Clients die Mails in diesen Ordner und das geht nicht serverseitig...

Was die ausgeXte Adresse in der Mail deine eigenene IP?

Du musst auch dringend dein Mail-Passwort ändern, falls du das nicht schon getan hast.

 

[heavy]

Hast du den zugriff über ssh aktiv? Wenn nein dann solltest du das tun um dich nicht komplett auszuschließen und vielleicht fällt dem einen oder anderen hier noch ein wo man im System die Benutzer sieht.

 

[Fusion]

Können denn die Benutzer auf dem Mailserver auch unter anderen Namen emails versenden?
Dann liegt vielleicht das Problem auf einem Client Rechner der eben authorisiert ist den mail-server zu verwenden und sich vielleicht dort ein Trojaner oder ähnliches eingenistet hat.

 

[blurrrr]

Ich kann mich da nur ottomane anschliessen, denn normalerweise wird eine Mail nicht "einfach so" in den gesendet-Ordner verschwinden, sondern wird vom Mailcient als Kopie dort abgelegt.

Man könnte auch mal unter /var/log/auth.log schauen, ob im Zeitraum der o.g. Mail haufenweise fehlgeschlagene Logins vorhanden sind (wo die automatische Blockierung ggf. nicht gegriffen hat). Wenn dem "nicht" so ist (wovon ich erstmal ausgehe), würde ich mir doch sehr starke Sorgen über ein komprimitertes Gerät machen (Computer/Handy/Tablet).

Ich habe mir auf einem ungerooteten Android (mit grade mal 5 Apps oder so...) auch schon mal was eingefangen... wäre also garnicht so abwägig. Sowas vermute ich auch eher, denn: es macht sich "niemand" die Mühe, genau Deinen Account zu knacken... entweder liegen die Daten vor oder nicht. So funktioniert das heutzutage nicht mehr... ausser vielleicht bei politschen oder prominenten Größen. Ich seh es auch immer an den vServern... "tonnenweise" fehlgeschlagene Logins, aber alle nach dem gleichen Muster ... "admin/admin" "admin/root" "sonstige unsinnigen Standards".... usw... das ist doch schon das "Grundrauschen" im Internet. Ich denke eher, wenn, wurden die Daten schon direkt von einem Deiner Geräte abgezapft. Einmal das falsche Bild angucken reicht da ja schon aus

Daneben ist mir grade noch was an der Formulierung aufgefallen... "Ich habe in meinen gesendeten Mails nach etwas anderem gesucht und dabei ist mir diese Mail aufgefallen."... Werden diese Mails nicht vom "Administrator" (bzw. System-Mailadresse) verschickt und sollten somit in gar keinem Postfach auftauchen? Warum sollte so eine Mail in dem gesendet-Ordner Deines "Benutzers" liegen?

EDIT: Hangel Dich mal via SSH auf die Syno und führe folgenden Befehl aus: "grep -r -i mail /var/log"
Alternativ schreib es direkt in eine Datei: "grep -r -i mail /var/log > /Volume1/<Freigabename>/<Dateiname.txt>"

Mit den dort vorhanden Informationen sollte ggf. schon etwas mehr anzufangen sein. Die Headerinformationen wären aber nach wie vor nicht verkehrt

EDIT2: "Alle" User anzeigen: "cat /etc/shadow"

 

[heavy]

Mal noch ganz dumm gefragt, du schreibts immer vom Postfach ist den im Mailserver Log auch die mail als versendet drin?