DSM 7.1 Synology angegriffen/gehackt?

[L.K]

Hallo,

ich habe auf meiner Synology Disk Station den Synology eigenen Virenscanner automatisiert, sodass er regelmäßig das System scannt. Bis jetzt wurde auch nie etwas gefunden, jedoch bekam ich heute die Meldung, dass ein Virus gefunden wurde.

Der Dateiname der Datei war : "@synocontentextr.synology_v1000_1821+.42962.core.gz".

Die Gefahr, welche laut Virenscanner von der Datei ausgeht lautet : "Unix.Trojan.Mirai-7139508-0"

Kann mir jemand etwas genaueres erzählen? Niemand aus meinem Haushalt und auch nicht ich selbst, hat diese Datei heruntergeladen oder benutzt.

Ich habe das Gerät jetzt erstmal umgehend vom LAN getrennt, nur leider wurde die Datei vom Virenscanner schon vor 6 Tagen gefunden. Wie soll ich jetzt fortfahren, was soll ich tun?

 

[Synchrotron]

Klingt für mich wie ein "false positive", also eine Fehlerkennung.

Den Virenscanner halte ich für ziemlich überflüssig, im allgemeinen.

Um diesen Fall zu prüfen, kannst du die Datei (ohne sie zu öffnen) hier hochladen. Die lassen sie gegen zig Virenscanner laufen und sagen dir, wie einig die sich bei der Erkennung sind.

https://www.virustotal.com/gui/home/upload

 

[plang.pl]

Ich würde sagen, dass es ein Fehlalarm ist.
Lade die Datei doch mal bei virustotal hoch.
Generell hat der Virenscanner auf der DS wenig Sinn in meinen Augen

EDIT: @Synchrotron war schneller

 

[L.K]

Klingt für mich aus wie ein "false positive", also eine Fehlerkennung.

Den Virenscanner halte ich für ziemlich überflüssig, im allgemeinen.

Um diesen Fall zu prüfen, kannst du die Datei (ohne sie zu öffnen) hier hochladen. Die lassen sie gegen zig Virenscanner laufen und sagen dir, wie einig die sich bei der Erkennung sind.

https://www.virustotal.com/gui/home/upload

Werde ich machen, danke. Gibt es denn noch eine bessere Möglichkeit, als den Virenscanner, um das System zu schützen?

 

[Synchrotron]

@plang.pl

Und dann sind wir uns auch noch 100% einig

 

[L.K]

Ich würde sagen, dass es ein Fehlalarm ist.
Lade die Datei doch mal bei virustotal hoch.
Generell hat der Virenscanner auf der DS wenig Sinn in meinen Augen

EDIT: @Synchrotron war schneller

Klingt nun wie eine doofe Frage, aber wie komme ich zu der Datei, um sie hochzuladen? Der Quarantäneverlauf des Scanners, zeigt mir keinen Dateipfad an und auf Wiederherstellen zu klicken ist nicht sicher oder? Wo landet die Datei dann überhaupt?

 

[Synchrotron]

Werde ich machen, danke. Gibt es denn noch eine bessere Möglichkeit, als den Virenscanner, um das System zu schützen?

Keinen Zugriff von außen. 2FA aktivieren. Ordentliche Userstruktur. Backups sicherstellen. Software up to date halten. Firewall einrichten. So wenig Applikationen wie möglich. Keine Windows-Rechner im Heimnetzwerk, als häufigste Quelle für Infektionen.

Das dürfte dich jetzt das lange Wochenende über beschäftigt halten. Schöne Pfingsten !

 

[L.K]

Keinen Zugriff von außen. 2FA aktivieren. Ordentliche Userstruktur. Backups sicherstellen. Software up to date halten. Firewall einrichten. So wenig Applikationen wie möglich. Keine Windows-Rechner im Heimnetzwerk, als häufigste Quelle für Infektionen.

Das dürfte dich jetzt das lange Wochenende über beschäftigt halten. Schöne Pfingsten !

Ich habe gelesen, dass Virustotal nur nach Windows Viren scannt aber die besagte Datei wohl ein Linux Virus ist, weshalb sich bei Virustotal nix finden wird. Wie kann ich das nun überprüfen? Bin gerade ein wenig in Sorge, da auch wichtige Daten auf dem NAS liegen.

 

[Synchrotron]

Die Datei kann da rumliegen, die macht nichts. Nur wenn ein Virus ausgeführt wird, kann er überhaupt Schaden anrichten. Im übrigen sind Linux-Viren ein seltener Gast, und in einem ordentlich aufgesetzten Linux auch ziemlich chancenlos. Hast du sie denn schon hoch geladen ? Ich kann dir beim Pfad nicht helfen, ich habe den Virenscanner schon vor längerem deinstalliert.

Wenn du in Sorge über gespeicherte Daten bist, solltest du dir Gedanken über deine Backupstrategie machen.

 

[L.K]

Nein, nicht in Sorge um die Daten, sondern darum das diese in fremde Hände fallen, da dort auch Dinge wie Arbeitszeug oder eben Windows Backups, mit solchen Sachen drauf sind. Urlaubsbilder möchte man auch nicht unbedingt in fremden Händen haben.

Hochgeladen habe ich die Datei noch nicht, da ich nicht weiß, wo diese landet, wenn ich nun auf wiederherstellen klicke. Es wird mir kein Pfad angezeigt.

 

[plang.pl]

Wiederherstellen unter gibts nicht?
Kannst du dich via ssh anmelden (https://kb.synology.com/de-de/DSM/tutorial/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet
Dann schau mal unter /var/quarantine unter /var/packages/AntiVirus. Ob da aber die Daten aus der Quarantäne 1:1 liegen, kann ich nicht sagen

 

[metalworker]

Ich denke auch das ist nix wildes ,

zum Thema Schutz , bin ich der Meinung macht auch eine gutes Endpoint Protection viel aus . Gut eingestellt schützt sie den CLient und vermeidet recht gut das überhaupt erstmal was reinkommt.

Abergrundlegnd ist das ein sehr komplexes Thema ,

 

[L.K]

Wiederherstellen unter gibts nicht?
Kannst du dich via ssh anmelden (https://kb.synology.com/de-de/DSM/tutorial/How_to_login_to_DSM_with_root_permission_via_SSH_Telnet)?
Dann schau mal unter /var/quarantine unter /var/packages/AntiVirus. Ob da aber die Daten aus der Quarantäne 1:1 liegen, kann ich nicht sagen

Nein, leider nicht und ich habe auch gar keinen Schimmer was eine SSH Anmeldung ist

 

[L.K]

Ich denke auch das ist nix wildes ,

zum Thema Schutz , bin ich der Meinung macht auch eine gutes Endpoint Protection viel aus . Gut eingestellt schützt sie den CLient und vermeidet recht gut das überhaupt erstmal was reinkommt.

Abergrundlegnd ist das ein sehr komplexes Thema ,

Ich finde nur komisch das der Virenscanner mir einen Mirai, also einen Botnetz Trojaner anzeigt, wozu es auch keinen Dateipfad gibt. Die Datei hat auch niemand auf das NAS geladen.

 

[metalworker]

welche DS hast denn ?

sieht aber nach einer System Updatedatei von Synology aus.
Was hat denn angeschlagen , die Heuristik ? (keine ahnung ob der Interne sowas hat)

 

[plang.pl]

Der Dateipfad wäre hier schon interessant.
Ich hab mal fix das Package installiert. Bei mir würde da, so wie ich das sehe, der Dateipfad angezeigt werden:

 

[Janüscht]

Keinen Zugriff von außen. 2FA aktivieren. Ordentliche Userstruktur. Backups sicherstellen. Software up to date halten. Firewall einrichten. So wenig Applikationen wie möglich. Keine Windows-Rechner im Heimnetzwerk, als häufigste Quelle für Infektionen.

Das dürfte dich jetzt das lange Wochenende über beschäftigt halten. Schöne Pfingsten !

Wie meinst du das mit [ Keine Windows-Rechner im Heimnetzwerk ] wo überprüfe ich das ?

 

[Monacum]

Du wirst doch wissen, ob Windows-Rechner in deinem Netzwerk eingebunden sind zuhause und Zugriff auf die DS haben?

 

[Benares]

@plang.pl Korrigiere bitte noch deinen Link in #11

 

[diver68]

Wie meinst du das mit [ Keine Windows-Rechner im Heimnetzwerk ] wo überprüfe ich das ?

Im Büro, im Wohnzimmer, auf dem Klo... Überall, wo man Windows Rechner finden kann...