Toggle sidebar

Hyper Backup Hyper Backup nicht sichtbar

  • Ab sofort steht euch hier im Forum die neue Add-on Verwaltung zur Verfügung – eine zentrale Plattform für alles rund um Erweiterungen und Add-ons für den DSM.

    Damit haben wir einen Ort, an dem Lösungen von Nutzern mit der Community geteilt werden können. Über die Team Funktion können Projekte auch gemeinsam gepflegt werden.

    Was die Add-on Verwaltung kann und wie es funktioniert findet Ihr hier

    Hier geht es zu den Add-ons

M

mf_2

Benutzer
Registriert
31. Aug. 2008
Beiträge
202
Reaktionspunkte
8
Punkte
18
Hallo,

nun hat es mich auch erwischt und einige Dateien auf meinen gemeinsamen Ordnern wurden von einer Ransomware verschlüsselt.
Kein Problem dachte ich - dafür hat man ja Backups. Der erste Versuch wäre nun Hyper Backup. Leider ist die entsprechende Kachel aber in meiner Syno nicht zu sehen.
Vmtl wurde die Syno kompromittiert. Wie kann ich nun die Daten dennoch wiederherstellen? Sollte ich Hyper Backup auf einer anderen Syno ausführen um die Daten zu retten? Oder geht es auch über die originale Syno?
Der Synology Application Service startet auch nicht.

Viele Grüße
mf_2
 
Welche DS ist betroffen?
Ich würde die DSM komplett neu Aufsetzen und vorher die HDDs extern formatieren.
Wie kam die Ransomware ins System?
 
  • Like
Reaktionen: Benie
Wenn die App Hyper Backup weg ist, würde ich ja erst mal von ausgehen, dass sich da jemand direkt auf der DS ausgelobt hat. Oder wurde Hyper Backup überhaupt jemals eingerichtet, und wenn ja, wo liegen die Daten?

Achja, und mal die Logs prüfen. Anmeldungen, usw.
 
In den Logs sehe ich, dass Tasks ausgeführt wurden. Diese Tasks habe ich nicht eingerichtet. Eingestiegen sind sie über den Benutzer der Surveillance Station.
Hyper Backup war eingerichtet und ist laut Package Manager noch installiert.
 
  • Like
Reaktionen: maxblank
Wo bzw. wie ist das externe Backup denn gespeichert?
 
mf_2 schrieb:
In den Logs sehe ich, dass Tasks ausgeführt wurden. Diese Tasks habe ich nicht eingerichtet. Eingestiegen sind sie über den Benutzer der Surveillance Station.
Hyper Backup war eingerichtet und ist laut Package Manager noch installiert.
Zum Vergrößern anklicken....

Hat der Benutzer Adminrechte auf der DS?

Falls ja, wäre das zu überdenken und min. Alle Adminiser mit 2FA abzusichern.
 
da kann man nur hoffen die Backups sind noch da.
so wie es klingt hätten Die ja auch easy noch die Backups löschen können
 
Ich stelle nun die Daten auf der zweiten Syno wieder her - dort habe ich noch Platz. Kann ich die originale Syno irgendwie mit dem Backup vom 11.11. wiederherstellen? Wie gesagt, HyperBackup ist kaputt, daher kann ich es damit nicht wiederherstellen. Bei Windows-PCs hätte man nun früher zur Live-CD/DVD gegriffen um was übers Netzwerk zu restoren. Kann man auch die Syno von einem Rechner aus wiederherstellen?
 
Ich habe nun eine neue DS725+ mit neuen SSDs beschafft und die RS819 aufgelöst.
Nun würde ich gerne prüfen, ob auf den SSDs der RS819 noch verwertbare Daten drauf sind. Leider kann ich die SSD weder unter Windows ansehen (hatte ich mir schon fast gedacht), noch unter Linux. Das wundert mich. Ich habe eine der SSDs in einen Rechner als einzigen Massenspeicher eingebaut und Linux Mint per USB-SSD gestartet. Es erkennt die eingebaute SSD, aber mounten schlägt fehl.
"Can't read superblock on /dev/md127"
Was kann ich da machen? Ich kenne mich da leider nicht besonders aus.
Es ist die vierte SSD aus der RS819. Die war - meine ich - Teil des internen Backups.
 
Am alten NAS schauen, was drauf ist.
 
  • Like
Reaktionen: mf_2
Danke, so habe ich es nun gemacht. Einen übrigen Windows 11 Rechner (ThinkCenter) direkt mit der RS819 verbunden (ohne Internetzugriff) und dort die Daten gesichtet. Alles, was direkt auf den Server gesichert wurde ist encrypted. Interessanterweise nur bestimmte Endungen (jpg, pdf, usw.). Wenn ich das Backup verschlüsselt hätte wäre das ggf. in ein anderes Dateiformat gewandelt wurden und die Ransomware hätte es nicht angefasst? Naja, darauf verlassen will man sich nicht. Aber schon interessant, dass die nicht einfach alles verschlüsselt, sondern nur Dateien mit bestimmten Endungen.
 
Um genau solche verschlüsselten Dateien auf dem NAS, wenn dies von Ransomware attackiert wurde, umzukehren, helfen unveränderliche Snapshots (immutable Snapshots). https://kb.synology.com/de-de/DSM/tutorial/what_is_an_immutable_snapshot

Leider scheint die 19er Serie es nicht zu unterstützen: https://kb.synology.com/de-de/DSM/t...models_support_WriteOnce_and_secure_snapshots

Edit: Allerdings gibt es unter Paketen Snapshot Replication für dein NAS RS819. Musst du testen. https://www.synology.com/de-de/releaseNote/SnapshotReplication?model=RS819&os=DSM&version=7_x_series

IMG_2579.png
 
Zuletzt bearbeitet:
  • Like
Reaktionen: maxblank
Ja, hatte es eben unter Paketen gesehen und editiert. 👍🏻 Danke für die Bestätigung.

Edit: Scheint aber bei Snapshot Replication auch ohne die erwähnten Anpassungen in dem von dir verlinkten Thema zu gehen, sonst wäre das Paket nicht existent.

Edit2: Snapshot und immutable Snapshots muss unterschieden werden, da es zwei verschiedene Paar Schuhe sind. In meinen Augen wieder eine künstliche Restriktion seitens Synology. 😡
 
  • Like
Reaktionen: plang.pl
Die Anpassungen sind nötig, wenn man auf der 19er Serie und früher Immutable Snapshots aktivieren will, obwohl es eigentlich nicht unterstützt wird.
Snapshot Replication an sich geht auch ohne den "Mod"
 
  • Like
Reaktionen: maxblank

Additional post fields

NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten