Synology NAS besmet met ransomware synolocker

emnich schreef op dinsdag 05 augustus 2014 @ 17:05:
Nu even een cronjobje maken die me waarschuwt als synosync wel gaat draaien

Hoe doe je dat? Voor zover ik weet kan ik met ps | grep synosync nakijken of dat process draait, maar hoe zorg ik ervoor dat ik ervan op de hoogte wordt gebracht als dat process er is?

Gisteren mijn DS214Play eens opgestart (DSM 5, laatste patch), ging goed. Staat nu preventief uit. Mijn port forwarding staat af en in de firewall laat ik enkel ip's vanop mijn eigen netwerk toe. Is dat voldoende, of laat ik de nas beter uit totdat er een officiële verklaring (en of patch) van Synology komt?

Dat is (edit: waarschijnlijk) voldoende.

Ik weet natuurlijk niet of je al eerder bent geinfecteerd.
Ik heb de forwarding ook uitgezet m.a.w. De diskstation is niet langer via internet toegankelijk.
Na een paar keer rebooten lijkt alles in orde te zijn.

[ Voor 113% gewijzigd door technorabilia op 05-08-2014 17:19 ]

Kefke schreef op dinsdag 05 augustus 2014 @ 17:13:
[...]


Hoe doe je dat? Voor zover ik weet kan ik met ps | grep synosync nakijken of dat process draait, maar hoe zorg ik ervoor dat ik ervan op de hoogte wordt gebracht als dat process er is?

Gisteren mijn DS214Play eens opgestart (DSM 5, laatste patch), ging goed. Staat nu preventief uit. Mijn port forwarding staat af en in de firewall laat ik enkel ip's vanop mijn eigen netwerk toe. Is dat voldoende, of laat ik de nas beter uit totdat er een officiële verklaring (en of patch) van Synology komt?

Als ik deze doorvoer krijg ik als output:
1052 root 3816 S grep synosync

maar in top zie ik deze niet terugkomen als CPU vreter.

Loop ik ook gevaar zonder poorten open naar het www?
Dagelijks wordt mijn NAS uit en ingeschakeld en ook vanochtend zonder problemen.

[ Voor 8% gewijzigd door Hari-Bo op 05-08-2014 17:18 ]

Hari-Bo schreef op dinsdag 05 augustus 2014 @ 17:16:
[...]


Als ik deze doorvoer krijg ik als output:
1052 root 3816 S grep synosync

loopt ik ook gevaar zonder poorten open naar het www?
Dagelijks wordt mijn NAS uit en ingeschakeld en ook vanochtend zonder problemen.

Volgens Synology is synosync geen legit programma en onderdeel van de synolocker. Ik zou zeggen; uit met die NAS.

MissileHugger schreef op dinsdag 05 augustus 2014 @ 17:17:
[...]

Volgens Synology is synosync geen legit programma en onderdeel van de synolocker. Ik zou zeggen; uit met die NAS.

met de kans dat je hem vervolgens aanzet, hij direct begint met encrypten... lastig

Ehm, dat is een false positive.

Omdat je de uitvoer van ps pipet naar grep, staat synosync ertussen. anders niet.


beter is dit:

ps | grep synosync | grep -v grep

[ Voor 19% gewijzigd door Lizard op 05-08-2014 17:19 ]

Lizard schreef op dinsdag 05 augustus 2014 @ 17:18:
Ehm, dat is een false positive.

Omdat je de uitvoer van ps pipet naar grep, staat synosync ertussen. anders niet.

Wat is dan wel de goeie manier om te kijken of het er op staat?

edit: Oeps, niet geduldig genoeg

[ Voor 11% gewijzigd door _WouterB op 05-08-2014 17:21 ]

Hari-Bo schreef op dinsdag 05 augustus 2014 @ 17:16:
[...]


Als ik deze doorvoer krijg ik als output:
1052 root 3816 S grep synosync

maar in top zie ik deze niet terugkomen als CPU vreter.

Loop ik ook gevaar zonder poorten open naar het www?
Dagelijks wordt mijn NAS uit en ingeschakeld en ook vanochtend zonder problemen.

Gebruik pidof synosync. Als er dan output komt dan runt hij. Of
pidof synosync && echo "ALARM!!!"

Ik kom nog even terug op hoe hij mij gaat mailen. Ik denk dat ik het maar naar een php scriptje pipe....

Lizard schreef op dinsdag 05 augustus 2014 @ 17:18:
Ehm, dat is een false positive.

Omdat je de uitvoer van ps pipet naar grep, staat synosync ertussen. anders niet.


beter is dit:

ps | grep synosync | grep -v grep

Dan is de output blank, gelukkig maar.

Hari-Bo schreef op dinsdag 05 augustus 2014 @ 17:16:
[...]


Als ik deze doorvoer krijg ik als output:
1052 root 3816 S grep synosync

maar in top zie ik deze niet terugkomen als CPU vreter.

Loop ik ook gevaar zonder poorten open naar het www?
Dagelijks wordt mijn NAS uit en ingeschakeld en ook vanochtend zonder problemen.

Die "1052 root 3816 S grep synosync" is je eigen grep process, dat is normaal dat die er ook instaat. Mocht er echt een synosync, zou je die ook zien (zonder die grep ervoor).

Kleine opmerking: lijkt me wel geen goed idee om als root in te loggen via ssh; root login via ssh kan je uitzetten (maar dan moet je wel eerst zeker zijn dat je met een andere admin user su naar root kan doen)

Blijkbaar waren anderen mij al voor met de uitleg van die grep.

[ Voor 4% gewijzigd door Kefke op 05-08-2014 17:25 ]

Waar kan ik een -stap-voor-stap- manier vinden om te zoeken naar de encrypter-service?

Ik lees e.e.a. over enabling SSH en TELNET, maar ook dat DAT juist vatbaar is voor attacks?

SO FAR:

1) ga naar configuratiescherm
2) enable SSH en/of TELNET op je synology: plaatje
3) download PuTTY : http://www.chiark.greenen...atham/putty/download.html
4) Start PuTTY en login naar het ipadres van je NAS op poort 22 (plaatje)
- Misschien kan je ook connecten met diskstation:22
- Je kunt ook achter het ipadres komen via je Synology Assistent (plaatje)
5) login met jouw credentials
6) voer dit commando uit: ps | grep synosync | grep -v grep
7) Je zou niets terug moeten krijgen.

Opmerkingen:

• Als je kijkt in je resourcemonitor dan kan het zijn dat die ook gehacked is en dat deze het virus verbergt. Dus SSH schijnt beter te zijn.
• Als laatste stap: disable die services weer als je ze niet nodig hebt...
• Gehacked? Misschien kun je je schijf aan een linux/windows bak hangen en kijken of je er data vanaf kunt lezen(link).
• Maak backups. Als je NAS je enige plek is waar zeer belangrijke files staan dan is het, zelfs met RAID, zeer verstandig om TOCH een backup elders te hebben. Denk aan verbranden of diefstal van je NAS.

Nog aanvullingen? Dan pas ik dit bericht aan.

[ Voor 144% gewijzigd door Stranger__NL op 06-08-2014 13:41 . Reden: toevoegen guide... ]

hmmm


ik heb de firewall opgezet en alleen interne ip's van mijn netwerk toegelaten, alles andere blocked by default.

Er staat ook niets open van access naar het internet op de nas, nooit geweest.

Loop ik dan nog gevaar? of is dit ok zo. staat ook op nieuwste versie normaal gezien > DSM 5.0-4493 update 3

is dit ok zo ?

Sorry man, heb toevallig vandaag m'n glazen bol niet bij me. Maar zelfs al had ik die wel, dan zou het nog verdomd lastig zijn om voor jouw situatie te bepalen of je geen gevaar loopt en de meest recente versie van DSM hebt draaien.
Trek de stekker uit je NAS, dan loop je zeker geen gevaar. Voor de rest: houd de updates van Synology in de gaten.

EDIT: Aangepast nav onderstaande post. Overigens, dit is geen help-topic. Mensen verwachten hier nieuws en relevante updates over Synolocker. Vragen mbt instellingen van je Synology NAS horen imo meer hier thuis.

[ Voor 31% gewijzigd door HenkDePoema op 05-08-2014 17:46 ]

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 17:36:
Sorry man, heb toevallig vandaag m'n glazen bol niet bij me. Maar zelfs al had ik die wel, dan zou het nog verdomd lastig zijn om voor jouw situatie te bepalen of je geen gevaar loopt en de meest recente versie van DSM hebt draaien.
Trek het ethernet kabeltje uit je NAS, dan loop je zeker geen gevaar. Voor de rest: houd de updates van Synology in de gaten.

Zelfs met de ethernet kabel eruit kun je al geinfecteerd zijn. Het proces kan ook op een later tijdstip starten (of bij een startup).

Wil je voor nu helemaal veilig zijn dan dien je simpelweg het ding uit te zetten en de inhoud van de hardeschijven met de hand over te zetten op een andere pc. Dat is wel een mooie uitdaging als je een raid opstelling hebt van 8 schijven. Dan dien je een pc te hebben met 8 SATA aansluitingen, of met veel sata-usb adapters.

Kun je op die manier wel dan raid-5 uitlezen? (als je al 8 aansluitingen zou hebben)

naja ik heb de mijne losgekoppeld.. geen synosync processen en geen toegang vanuit t internet.. ik draai 3 maal een raid 6 van ieder 12 schijven op mijn synology.. uitlezen op een pc of even backuppen is niet echt een optie..

Kalua schreef op dinsdag 05 augustus 2014 @ 17:13:
Er is ook een syno-cloud-syncd. Die is wel echt van Synology, misschien daarmee in de war.

Ah, dat zou inderdaad kunnen. Dank!

Excuses als dit een domme vraag is maar ik ben nogal een noob als het om dit soort dingen gaat.

Toen ik gisteren het bericht van de infectie las op Tweakers heb ik direct de NAS afgesloten en de ethernet kabel eruit gehaald. Er leek toen in het admin panel niets aan de hand te zijn. Ik draai overigens de laatste versie van DSM 5 maar ik gebruik wel de standaard 5000 poort.

Is er rede om aan te nemen dat ik niet geïnfecteerd ben of kan dit alsnog bij het opnieuw opstarten?

7 post boven je vraag staat het antwoord. Succes.

Lizard schreef op dinsdag 05 augustus 2014 @ 17:18:
Ehm, dat is een false positive.

Omdat je de uitvoer van ps pipet naar grep, staat synosync ertussen. anders niet.


beter is dit:

ps | grep synosync | grep -v grep

Of:

ps | grep [s]ynosync

emnich schreef op dinsdag 05 augustus 2014 @ 10:25:
[...]


Dat maakt helemaal niet uit. Het idee van port 5000 is alleen dat het hierdoor makkelijker te vinden is. Bij jou is port 5000 gewoon te zien en ben je dus net zo kwetsbaar (als dat de aanvals vector is).

Ik ben een behoorlijke leek op dit gebied, maar waarom maakt juist poort 5000 het makkelijk om een NAS via internet te vinden? Omdat dit een standaard poort is waar mensen snel op zoeken?

cheiron schreef op dinsdag 05 augustus 2014 @ 18:00:
[...]

Ik ben een behoorlijke leek op dit gebied, maar waarom maakt juist poort 5000 het makkelijk om een NAS via internet te vinden? Omdat dit een standaard poort is waar mensen snel op zoeken?

Ja

Volgens de collegas van hardware.info kan je ook in de resource-monitor kijken of je daar het proces synosync tegenkomt.

Is dit niet makkelijker dan met SSH aan de slag gaan? Of is dit op deze manier niet te vinden.

In de resource-monitor zie ik hem in ieder geval niet staan.

RemcoINC08 schreef op dinsdag 05 augustus 2014 @ 18:06:
Volgens de collegas van hardware.info kan je ook in de resource-monitor kijken of je daar het proces synosync tegenkomt.

Is dit niet makkelijker dan met SSH aan de slag gaan? Of is dit op deze manier niet te vinden.

In de resource-monitor zie ik hem in ieder geval niet staan.

Synology zei in het nieuwsbericht dat als het proces in de resource monitor staat je actie moet ondernemen.

cheiron schreef op dinsdag 05 augustus 2014 @ 18:00:
[...]

Ik ben een behoorlijke leek op dit gebied, maar waarom maakt juist poort 5000 het makkelijk om een NAS via internet te vinden? Omdat dit een standaard poort is waar mensen snel op zoeken?

Stel je voor dat je een script hebt die probeert in te breken en de computer waarop je dat script draait kan 10 pogingen per seconde doen, dan kan je dus gewoon op een 'bekende' poort 10 computers proberen te kraken in 1 seconde.

Stel je nou eens voor dat je alle 65535 poorten zou moeten gaan checken (terwijl je zoekt naar een vulnerability die bij 95% van de mensen op een fixed poort draait).
Dan ben je dus per computer een kleine 2 uur bezig
Dat is dus om 10 computers te doen of een seconde of een bijna een dag om dat kleine deel mensen mee te pakken die op een andere poort draait.

Wat zou jij doen om zoveel mogelijk computers te besmetten?

Ja dat snap ik. Maar ik vroeg me af of "voer dit commando uit: ps | grep synosync | grep -v grep" hetzelfde doet als inloggen op je nas en in de resource-monitor kijken is.

ZaZ schreef op dinsdag 05 augustus 2014 @ 18:10:
[...]

Stel je voor dat je een script hebt die probeert in te breken en de computer waarop je dat script draait kan 10 pogingen per computer doen, dan kan je dus gewoon op een 'bekende' poort 10 computers proberen te kraken.

Stel je nou eens voor dat je alle 65535 poorten zou moeten gaan checken (terwijl je zoekt naar een vulnerability die bij 95% van de mensen op een fixed poort draait).
Dan ben je dus per computer een kleine 2 uur bezig
Dat is dus om 10 computers te doen of een seconde of een bijna een dag om dat kleine deel mensen mee te pakken die op een andere poort draait.

Wat zou jij doen om zoveel mogelijk computers te besmetten?

Duidelijk. Maar dan loop je toch zelf met poort 5000 open nog aan tegen 1) wachtwoord (hopelijk niet een standaard admin wachtwoord) en 2) een lockout mechanisme na X pogingen?

Maar het punt is duidelijk over 5000 in ieder geval. Ik was even bang dat er meer achter zou zitten

Siluro schreef op dinsdag 05 augustus 2014 @ 14:41:
[...]


Wat had je open staan aan poorten?

Onder de 1024 staat standaard geblokt door de ISP

Maar uit mijn hoofd:

Op de DS109 met 4.2: 1723, 5000 met redirect naar 5001, 8080
Op de DS211 met 5.0: 1723, 5000 met redirect naar 5001, 5005, 5006, 8080, 8081, 8083

Als je de ps -ef gebruik in een script stop die dan in een "if" daarna als hij positief is draai er dan gelijk een pkill er achteraan

[ Voor 5% gewijzigd door Speedfightserv op 05-08-2014 18:24 ]

Speedfightserv schreef op dinsdag 05 augustus 2014 @ 18:24:
Als je de ps -ef gebruik in een script stop die dan in een "if" daarna als hij positief is draai er dan gelijk een pkill er achteraan

Geef eens een mooi script (of andere extra's) die ik bij deze post neer kan zetten

RemcoINC08 schreef op dinsdag 05 augustus 2014 @ 18:10:
Ja dat snap ik. Maar ik vroeg me af of "voer dit commando uit: ps | grep synosync | grep -v grep" hetzelfde doet als inloggen op je nas en in de resource-monitor kijken is.

Nee, het stukje "ps" laat de proceslijst zien, het stukje "| grep synosync" geeft aan dat je op de output van het vorige commando ("ps") alleen de waarde "synosync" moet pakken en "| grep -v grep" geeft weer aan dat je niet de waardes met "ps" er in moet tonen

Dus er vanuit gaan dat een echte leek die commando's niet kan uitvoeren moet dan maar wachten zoals ik het begrijp.

Dat is wel minder.
Maar neem aan voor die leken dat de resource monitor ook goed is.

Helaas vakantie dus heb wel kunnen uitschakelen mijn ds414 met de laatste update maar of ik besmet ben??? Dat merk ik volgende week pas..

Clavat schreef op dinsdag 05 augustus 2014 @ 18:44:

Maar neem aan voor die leken dat de resource monitor ook goed is.

Ja dat dacht ik dus ook, als ie daar niet te zien is dat hij er dan niet is. Lees net dat er toch verschil is. Wel een raar "advies" dan van hardware.info.

_edit_

ff teruggelezen...

Opmerkingen:
Als je kijkt in je resourcemonitor dan kan het zijn dat die ook gehacked is en dat deze het virus verbergt. Dus SSH schijnt beter te zijn.

[ Voor 21% gewijzigd door RemcoINC08 op 05-08-2014 18:51 ]

Ik heb de laatste pagina's niet gelezen. Maar zag toevallig net via de twitter van synology dat er een update is over het onderwerp. Excuus als dit al bekend was

http://www.synology.com/en-us/company/news/article/470

Toch maar even updaten.. Liep 1,5 jaar achter

[ Voor 12% gewijzigd door dieselb0y op 05-08-2014 19:15 ]

dieselb0y schreef op dinsdag 05 augustus 2014 @ 19:09:
Ik heb de laatste pagina's niet gelezen. Maar zag toevallig net via de twitter van synology dat er een update is over het onderwerp. Excuus als dit al bekend was

http://www.synology.com/en-us/company/news/article/470

Zag hem net ook op de facebook voorbij komen:

https://www.facebook.com/synology?fref=ts

op het forum heeft iemand ergens een screenshot gevonden van iemand die schijnbaar betaald heeft.
Onbevestigd, geen idee of het echt klopt

[ Voor 7% gewijzigd door Viper® op 05-08-2014 19:15 ]

Enige wat ik kan zeggen is dat ik hoop dat Synology hier zo snel mogelijk iets op vindt, en dat dit niet meer zo vaak zal gebeuren.

In ieder geval zal ik niet aarzelen om na een fix voor deze ransomware mijn synology NAS zo snel mogelijk van de hand zal doen en een meer veilige oplossing zal opzoeken.

Ja, ik weet dat het allemaal niet zo makkelijk is voor Synology.inc, maar je koopt zo'n NAS en betaalt er een smak meer voor als voor een normale server, net omdat je ervan uitgaat dat je die meerwaarde betaalt om net een systeem te krijgen dat veilig is als je alles doet wat op hun website beschreven staat.

Als er dan nog in geslaagd wordt om je beveiliging te kraken dan zijn zij hiervoor volledig verantwoordelijk, en als ze die niet opnemen, dan kan je als consument niet anders dan overschakelen naar een ander alternatief.

In ieder geval zal ik dat zeker doen als dit débacle niet op een deftige wijze niet zal worden opgelost!!!

Viper® schreef op dinsdag 05 augustus 2014 @ 19:14:
op het forum heeft iemand ergens een screenshot gevonden van iemand die schijnbaar betaald heeft.
Onbevestigd, geen idee of het echt klopt
[afbeelding]

Dit is hier een paar pagina's terug ook voorbij gekomen, zelfs met 'live' link

dieselb0y schreef op dinsdag 05 augustus 2014 @ 19:09:
Ik heb de laatste pagina's niet gelezen. Maar zag toevallig net via de twitter van synology dat er een update is over het onderwerp. Excuus als dit al bekend was

http://www.synology.com/en-us/company/news/article/470

Als ik dit lees en ik zit nu op DSM 5.0, betekent dat dat ik mijn NAS weer veilig aan kan zetten? Poort 5000 staat dicht maar 5050, 8083, 6789, 80, 8181 en 21 staan wel open. Is dit een risico? Weten we inmiddels al zeker dat toegang verschaft wordt via poort 5000? Ik heb vandaag door omstandigheden het topic niet kunnen volgen, dus ik weet niet precies wat er sinds gisteren uitgevonden/opgeklaard is. Ik hoop dan ook niet op flauwe "even mijn glazen bol pakken" opmerkingen te rekenen.

Razr schreef op dinsdag 05 augustus 2014 @ 19:16:
[...]


Dit is hier een paar pagina's terug ook voorbij gekomen, zelfs met 'live' link

weg primeur. Had nog niet alle posts gelezen na 4 uur

Disme schreef op dinsdag 05 augustus 2014 @ 19:15:
Enige wat ik kan zeggen is dat ik hoop dat Synology hier zo snel mogelijk iets op vindt, en dat dit niet meer zo vaak zal gebeuren.

In ieder geval zal ik niet aarzelen om na een fix voor deze ransomware mijn synology NAS zo snel mogelijk van de hand zal doen en een meer veilige oplossing zal opzoeken.

Ja, ik weet dat het allemaal niet zo makkelijk is voor Synology.inc, maar je koopt zo'n NAS en betaalt er een smak meer voor als voor een normale server, net omdat je ervan uitgaat dat je die meerwaarde betaalt om net een systeem te krijgen dat veilig is als je alles doet wat op hun website beschreven staat.

Als er dan nog in geslaagd wordt om je beveiliging te kraken dan zijn zij hiervoor volledig verantwoordelijk, en als ze die niet opnemen, dan kan je als consument niet anders dan overschakelen naar een ander alternatief.

In ieder geval zal ik dat zeker doen als dit débacle niet op een deftige wijze niet zal worden opgelost!!!

Volgens mij blijf je altijd zelf verantwoordelijk als jij je synology aan het grote boze internet hangt.

dieselb0y schreef op dinsdag 05 augustus 2014 @ 19:09:
Ik heb de laatste pagina's niet gelezen. Maar zag toevallig net via de twitter van synology dat er een update is over het onderwerp. Excuus als dit al bekend was

http://www.synology.com/en-us/company/news/article/470

Toch maar even updaten.. Liep 1,5 jaar achter

Bedankt voor de update! Toch raar om te horen dat alleen gebruikers met DSM 4.3 of lager geïnfecteerd zouden zijn. Kan toch zweren dat ik screenshots heb voorbij zien komen met DSM 5. Fake misschien?

JMantis schreef op dinsdag 05 augustus 2014 @ 19:18:
[...]


Bedankt voor de update! Toch raar om te horen dat alleen gebruikers met DSM 4.3 of lager geïnfecteerd zouden zijn. Kan toch zweren dat ik screenshots heb voorbij zien komen met DSM 5. Fake misschien?

Volgens mij geïnfecteerd en na installatie van dsm 5 en reboot actief geworden.

Heb getest met de hier genoemde methode.



Ben ik nu wel of niet 'geïnfecteerd' met dit virus of niet ??
Draai overigens de nieuwste versie van DSM 5.0 > Versie 3.

Heb deze direct geïnstalleerd na aankoop van deze nas.

Heb overigens de nas gewoon weer aangesloten, en ongeveer 10x opnieuw aangezet en weer uit.
Alle bestanden zijn tot nu toe nog 'bereikbaar' en volledig bruikbaar.

[ Voor 22% gewijzigd door slabetje op 05-08-2014 19:22 ]

Die tweede regel is okay, je ziet dat je die grep uitvoert op dat moment.

slabetje schreef op dinsdag 05 augustus 2014 @ 19:21:
Heb getest met de hier genoemde methode.

[afbeelding]

Ben ik nu wel of niet 'geïnfecteerd' met dit virus of niet ??
Draai overigens de nieuwste versie van DSM 5.0 > Versie 3.

Heb deze direct geïnstalleerd na aankoop van deze nas.

Je vraagt met het commando op welke processen er draaien met de naam synosync.
Het resultaat is het proces welke jij juist uitvoert

Je zit dus safe

^^

je zoekt op wildcard synosync, uiteraard komt die ook voor in je aanroep van je grep zoekcommando.

Inception baby

Disme schreef op dinsdag 05 augustus 2014 @ 19:15:
Enige wat ik kan zeggen is dat ik hoop dat Synology hier zo snel mogelijk iets op vindt, en dat dit niet meer zo vaak zal gebeuren.

In ieder geval zal ik niet aarzelen om na een fix voor deze ransomware mijn synology NAS zo snel mogelijk van de hand zal doen en een meer veilige oplossing zal opzoeken.

Ja, ik weet dat het allemaal niet zo makkelijk is voor Synology.inc, maar je koopt zo'n NAS en betaalt er een smak meer voor als voor een normale server, net omdat je ervan uitgaat dat je die meerwaarde betaalt om net een systeem te krijgen dat veilig is als je alles doet wat op hun website beschreven staat.

Als er dan nog in geslaagd wordt om je beveiliging te kraken dan zijn zij hiervoor volledig verantwoordelijk, en als ze die niet opnemen, dan kan je als consument niet anders dan overschakelen naar een ander alternatief.

In ieder geval zal ik dat zeker doen als dit débacle niet op een deftige wijze niet zal worden opgelost!!!

Dit is bull, gezien een normale server wel even een meervoud kost dan een Synology NAS en daarbij is een Synology out of the box NIET aan internet gekoppeld en dat is nog steeds jouw keus. Instructies of niet er kan altijd iets over het hoofd worden gezien.

Dat jij daarbij diverse poorten doorlaat waardoor je systeem wat je notabene niet update zo lijkt het gewoon aan het internet hangt. Geloof me, als je NAS nu een probleem is dan had je het helemaal verknoeit met een normale server is dan de fabrikant van de server de boeman nee, die server komt zonder internet access zelfde geval. Het lijkt voor nu een probleem van de eindgebruikers/lack of updates

Disme schreef op dinsdag 05 augustus 2014 @ 19:15:
Enige wat ik kan zeggen is dat ik hoop dat Synology hier zo snel mogelijk iets op vindt, en dat dit niet meer zo vaak zal gebeuren.

In ieder geval zal ik niet aarzelen om na een fix voor deze ransomware mijn synology NAS zo snel mogelijk van de hand zal doen en een meer veilige oplossing zal opzoeken.

Ja, ik weet dat het allemaal niet zo makkelijk is voor Synology.inc, maar je koopt zo'n NAS en betaalt er een smak meer voor als voor een normale server, net omdat je ervan uitgaat dat je die meerwaarde betaalt om net een systeem te krijgen dat veilig is als je alles doet wat op hun website beschreven staat.

Als er dan nog in geslaagd wordt om je beveiliging te kraken dan zijn zij hiervoor volledig verantwoordelijk, en als ze die niet opnemen, dan kan je als consument niet anders dan overschakelen naar een ander alternatief.

In ieder geval zal ik dat zeker doen als dit débacle niet op een deftige wijze niet zal worden opgelost!!!

Als blijkt dat dit voorkomt bij Synology's die niet geupdate zijn dan is de eindgebruiker natuurlijk zelf verantwoordelijk voor de situatie.

Kwartiertje geleden via synology twitter
http://www.synology.com/en-us/company/news/article/470

[ Voor 25% gewijzigd door ZaZ op 05-08-2014 19:26 ]

afgezien daarvan moet ik wel zeggen dat ik de communicatie vanuit Synology hierover minimaal vindt.

Ik kan snappen dat de marketing afdeling problemen niet graag aan de grote klok hangt. Maar op de synology website en support pagina is geen melding te vinden. Ergens op het forum is een topic maar ook daar reageert men sporadisch.

ZaZ schreef op dinsdag 05 augustus 2014 @ 19:25:
Kwartiertje geleden via synology twitter
http://www.synology.com/en-us/company/news/article/470

edit:

nevermind, niet goed gelezen, was al gepost

Zie de posting van 19.09 in dit topic.

edit: dat zag je snel

[ Voor 4% gewijzigd door beantherio op 05-08-2014 19:27 ]

ik sluit me bij jullie aan, jammer dat Synology zo weinig laat weten.
er zijn inmiddels diverse tickets ingediend (bij security@synology.com) waarin gebruikers laten weten dat ze op DSM 5 draaien, ondanks dat laten ze het in het bovengenoemde 'news article 470' overkomen dat je met DSM 5 goed zit.

[ Voor 4% gewijzigd door DaaNium op 05-08-2014 19:29 ]

Ja top, bij Company News, wie kijkt daar ooit.

En de titel ook: •(2014.08.05) Synology® Continues to Encourage Users to Update

Het gaat over dat aanbevolen is altijd de laatste versie te draaien.
Niks over de problemen of dat je data weg is.

Ik verwacht een rode melding bovenaan bij support oid, zoals bij tweakers.

Het aantal geïnfecteerde systemen zal misschien procentueel minimaal zijn, maar niet iedereen zit elke dag het Synology news te lezen. Naar mijn idee hebben ze het geprobeerd low level te houden in de hoop dat ze snel een oplossing konden vinden. Keerzijde hiervan is dat wanneer de poep in de ventilator hangt, well, it rains shit

[ Voor 9% gewijzigd door Viper® op 05-08-2014 19:30 ]

heb er nu 2 uitstaan beide dsm 5 wat te doen ? syno zegt dat het met dsm 5 niet gebeurd

Tja als je twijfelt, net als ik, wacht je gewoon tot het is opgelost. Of je haalt je Syno offline.

Volgens mij kan je DSM 5 wel weer aan zetten. Ik zou hem nog wel even van internet los koppelen omdat er toch nog niet 100% zeker is dat DSM 5 niet kwetsbaar is. Als je hem online zet, controleer dan goed of er een proces synosync aanwezig is. Als dat zo is, direct uitzetten en een ticket bij Synology indienen.

Ik probeer op de downloadsite voor de DS209+II de pagina te openen met alle DSM versies (om te kijken of DSM5.x er misschien bij staat), maar firefox komt met de volgende error: Firefox can't find the server at ukdl.synology.com.

Vanaf "Synology Download Center" (http://www.synology.com/nl-nl/support/download/DS209+II) ->
Link achter "All DSM versions": http://ukdl.synology.com/download/DSM/

Ik kon zweren dat ik er vanmiddag wel bij kon... Het zal zeker te druk zijn...

(zou iemand kunnen kijken of bovenstaande link (All DSM versions) werkt? Ik ben benieuwd...Alvast bedankt!)

Wat moeten ze doen dan: reclame kopen tijdens de WK-finale en de Super Bowl om iedereen op de hoogte te stellen? Het is nu een dag geleden en er zijn meerdere mededelingen via de officiële kanalen gedaan. Prima zo.

reservebelg2320 schreef op dinsdag 05 augustus 2014 @ 19:50:
Ik probeer op de downloadsite voor de DS209+II de pagina te openen met alle DSM versies (om te kijken of DSM5.x er misschien bij staat), maar firefox komt met de volgende error: Firefox can't find the server at ukdl.synology.com.

Vanaf "Synology Download Center" (http://www.synology.com/nl-nl/support/download/DS209+II) ->
Link achter "All DSM versions": http://ukdl.synology.com/download/DSM/

Ik kon zweren dat ik er vanmiddag wel bij kon... Het zal zeker te druk zijn...

(zou iemand kunnen kijken of bovenstaande link (All DSM versions) werkt? Ik ben benieuwd...Alvast bedankt!)

Geen probleem hier, en erg snel

Ik heb mijn secundaire NAS weer aangezet, maar om nou te zeggen dat ik er vertrouwen in heb dat alles weer veilig is: nee. Ik mis nog steeds een uitleg over wat er precies aan de hand is en wanneer je kwetsbaar bent. Ik hoop dat die uitleg wel gaat komen want de gang van zaken tot nu toe vind ik verre van chique van synology. M'n vertrouwen in het merk heeft wel een stevige deuk opgelopen.

Smultie schreef op dinsdag 05 augustus 2014 @ 19:50:
Wat moeten ze doen dan: reclame kopen tijdens de WK-finale en de Super Bowl om iedereen op de hoogte te stellen? Het is nu een dag geleden en er zijn meerdere mededelingen via de officiële kanalen gedaan. Prima zo.

Nee, niet prima zo. Ze kunnen toch een email sturen naar de gebruikers waar ze een email adres van hebben. Op die manier kunnen gebruikers zelf nog actie ondernemen. Als ik niet hier op Tweakers had gezeten dan had ik het niet geweten.....

emnich schreef op dinsdag 05 augustus 2014 @ 19:52:
Nee, niet prima zo. Ze kunnen toch een email sturen naar de gebruikers waar ze een email adres van hebben. Op die manier kunnen gebruikers zelf nog actie ondernemen. Als ik niet hier op Tweakers had gezeten dan had ik het niet geweten.....

Ik ook niet. Ze mailen mij wel over andere security updates, dan kan je ook wel een warning geven. Maar ik kan wat lastig inschatten hoe groot het probleem nu werkelijk is. Ik dacht eerst dat het heel erg was, maar als ik op die sites met overzichten kijk en dan 22 gevallen in Nederland zie (al hebben sommigen het over 30 gevallen), dan valt het mee?

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 19:52:
[...]

Geen probleem hier, en erg snel

Ik kan er ook weer bij... Bedankt voor het testen!

Helaas is er geen DSM5.x voor de DS209+II... dat is mooi balen dan...!!

[ Voor 15% gewijzigd door reservebelg2320 op 05-08-2014 20:04 ]

Verwijderd schreef op dinsdag 05 augustus 2014 @ 20:01:
[...]

Ik ook niet. Ze mailen mij wel over andere security updates, dan kan je ook wel een warning geven. Maar ik kan wat lastig inschatten hoe groot het probleem nu werkelijk is. Ik dacht eerst dat het heel erg was, maar als ik op die sites met overzichten kijk en dan 22 gevallen in Nederland zie (al hebben sommigen het over 30 gevallen), dan valt het mee?

Zijn dat opgespoorde gevallen of zijn die 22 ingediend bij Synology support?

Het lijkt inderdaad wel mee te vallen waardoor ik denk dat het lek ook inderdaad alleen voor niet gepatchte systemen zal zijn. Als DSM 5 update 3 ook kwetsbaar was dan zouden volgens mij veel meer systemen geinfecteerd zijn. Hoewel het niet de fase verklaart van iemand hier die DSM 5 draaide....

Verwijderd schreef op dinsdag 05 augustus 2014 @ 20:01:
[...]

Ik ook niet. Ze mailen mij wel over andere security updates, dan kan je ook wel een warning geven. Maar ik kan wat lastig inschatten hoe groot het probleem nu werkelijk is. Ik dacht eerst dat het heel erg was, maar als ik op die sites met overzichten kijk en dan 22 gevallen in Nederland zie (al hebben sommigen het over 30 gevallen), dan valt het mee?

Ik weet alleen niet hoe volledig deze getallen zijn...

[ Voor 3% gewijzigd door stefve1 op 05-08-2014 20:05 ]

emnich schreef op dinsdag 05 augustus 2014 @ 20:04:
Het lijkt inderdaad wel mee te vallen waardoor ik denk dat het lek ook inderdaad alleen voor niet gepatchte systemen zal zijn. Als DSM 5 update 3 ook kwetsbaar was dan zouden volgens mij veel meer systemen geinfecteerd zijn. Hoewel het niet de fase verklaart van iemand hier die DSM 5 draaide....

Ik denk dat veel NAS systemen niet direct van buiten bereikbaar zijn gemaakt of iig niet via de standaard poort oid.

Overigens kan het aantal wel meevallen, maar Synology wordt onder één van de toppers geschaald. Ik zou als gebruiker erg blij zijn geweest als ik ingelicht was en daardoor of mijn bestanden wist te behouden of problemen te voorkomen. Zeker ook MKB etc.

Ik heb nog een paar Syno's uit staan met DSM 5.xxx Volgens mij allen niet geinfecteerd, althans geen meldingen, kan ik die nu met een 'gerust' hart aanzetten en direct updaten naar de laatste versie van 5. (en voor de zekerheid voorlopig even alle poortjes gesloten houden op de router?)

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 20:04:
[...]

Zijn dat opgespoorde gevallen of zijn die 22 ingediend bij Synology support?

nee, van die shodan site. Geen idee of dat klopt of niet hoor, maar het zijn er nu kennelijk 23, dus 1 erbij vandaag.

Niks te bulls* ... mijn Syno is steeds geüpdate en ik doe alles om mijn NAS te beveiligen, maar het feit dat Synology me niet eens kan zeggen waar de infectie vandaan komt of hoe ik kan besmet worden is het grote issue hier!!!

Gebruikers worden gewoon in het duister gelaten...dat is onacceptable!!!

Mijn XPenology systeem was ook open, verscheidene poorten. Laatste software DSM5.0 update 3. Paar keer gereboot maar nergens last van gelukkig.

Disme schreef op dinsdag 05 augustus 2014 @ 20:16:
Niks te bulls* ... mijn Syno is steeds geüpdate en ik doe alles om mijn NAS te beveiligen, maar het feit dat Synology me niet eens kan zeggen waar de infectie vandaan komt of hoe ik kan besmet worden is het grote issue hier!!!

Gebruikers worden gewoon in het duister gelaten...dat is onacceptable!!!

Mhoaw een mailtje had misschien wel netjes geweest, maar ik denk dat synology zelf ook nog aan het kijken waar het vandaan komt. En de gemiddelde synology thuis gebruiker heeft wel een aardig setje basis skills denk ik zo?

Ik heb ook alle access vanaf buiten naar de Nas toe dicht gezet. port forwarding, enzovoorts. standaard admin account gedisabled, en alleen ip's van nederland toelaten (weet niet of de aanval vanuit nederland komt) maar in ieder geval weer een kleiner kansje.

Ik draai zelf DSM 5 update 3 en tot nu toe nog nergens geen last van.

[ Voor 49% gewijzigd door Senaxx op 05-08-2014 20:29 ]

Verwijderd schreef op dinsdag 05 augustus 2014 @ 20:01:
[...]

Ik ook niet. Ze mailen mij wel over andere security updates, dan kan je ook wel een warning geven. Maar ik kan wat lastig inschatten hoe groot het probleem nu werkelijk is. Ik dacht eerst dat het heel erg was, maar als ik op die sites met overzichten kijk en dan 22 gevallen in Nederland zie (al hebben sommigen het over 30 gevallen), dan valt het mee?

Ja. Die mail krijg je van ze nadat ze UITVOERIG onderzoek hebben kunnen doen. Nogmaals: goed onderzoek vergt tijd. Er is nog geen 40 uur verstreken.

Volgens mijn poll zijn er nu 11 tweakers besmet. Op duizenden nassen in Nederland is dat erg weinig. 200 tweakers geven aan dat ze (nog) geen problemen hebben.

Zit hier nu met een geinfecteerde 110J, ik dacht ook dat hij de laatste update had gehad. Kreeg telkens bij het updaten de melding, laatste versie geinstalleerd (versie 4.3.xx). Het is dus niet zo dat het gebruikers zijn die laks zijn, maar wss een block op een update. Inderdaad stond bij mij poort 5000-5001 en nog een andere range voor andere apps open, immers dat hoorde bij de functionaliteit van het doosje. Tuurlijk snap ik dat sommigen zeggen moet je niet willen publiceren naar het "open" internet, maar goed... Nu bezig om een backup te maken van de niet verloren files via Ubuntu Pendrive en dan weer van vooraf aan opbouwen met DSM 5, helaas zijn er wat files encrypted maar het overgrote deel valt nog te recoveren. Toch even een account aangemaakt hier om de mensen te bedanken voor het nieuws, BEDANKT! Synology website was om te huilen zo traag...

Ik heb mijn nas 713+ met de laatste DSM 5 versie weer aangezet. Alle poorten staan geblokt vanaf de router en de firewall op de nas laat alleen nog maar intern verkeer doorgaan. De rest wordt daarop ook geblokt.

Maar het blijft natuurlijk spannend, geen rare processen gezien. Probleem is alleen wel dat mijn bedrijf op de nas draait en ik nog niet groot genoeg ben om een heel uitgebreid serverpark te hebben

HenkDePoema schreef op dinsdag 05 augustus 2014 @ 16:46:
Hier een tweet van iemand die blijkbaar betaald heeft voor de decription key

Nee, hij geeft het in de loop van de discussie aan, het is een gevonden screenshot.
Dus nog steeds geen uitsluitsel

FreshMaker schreef op dinsdag 05 augustus 2014 @ 20:43:
[...]

Nee, hij geeft het in de loop van de discussie aan, het is een gevonden screenshot.
Dus nog steeds geen uitsluitsel

Dat was me inmiddels duidelijk geworden

Shodan vindt ondertussen meer getroffen diskstations:

Smultie schreef op dinsdag 05 augustus 2014 @ 20:31:
Ja. Die mail krijg je van ze nadat ze UITVOERIG onderzoek hebben kunnen doen. Nogmaals: goed onderzoek vergt tijd. Er is nog geen 40 uur verstreken.

Aan de andere kant kan je door juist nu wel te mailen voorkomen dat er slachtoffers bijkomen. Daar is ook veel voor te zeggen.

ben thuis... Pff me syno stond nog uit.. staat wel DSM 5.x op.. kan ik dan gewoon ''veilig'' sabnzbd draaien of moet ik dat risico niet willen lopen ? wat denken jullie?

Eerste melding destijds: http://forum.synology.com/enu/viewtopic.php?f=3&t=88716

k.salo » Sun Aug 03, 2014 10:03 am

My Diskstation got hacked last night.

Dus 2 augustus 's avonds. Als de gebruiker uit America komt scheelt dat zelfs nog eens 6 uur.

spartacusNLD schreef op dinsdag 05 augustus 2014 @ 20:56:
ben thuis... Pff me syno stond nog uit.. staat wel DSM 5.x op.. kan ik dan gewoon ''veilig'' sabnzbd draaien of moet ik dat risico niet willen lopen ? wat denken jullie?

Tsja - als er 'niet te verliezen'-data op staat dan zou ik sowieso voorzichtig zijn.
Je kunt wel downmoaden; het is vast niet erg als je series kwijt zijn. Maar al je vakantiefoto's...?

Oeps, verkeerde topic

[ Voor 87% gewijzigd door Moby op 05-08-2014 21:08 ]

Moby schreef op dinsdag 05 augustus 2014 @ 21:07:
Oeps, verkeerde topic

garantie op dat je een virus op je hdd krijgt?

edit: lol dat was grappig dacht dat je serieus was hahah

_{Moby zij dat hij toch garantie van segeate had tot 2016 had dus dat hij ''het ging doen'' ik dacht hij zet zun syno aan.. vandaar mijn reactie}

Stranger__NL schreef op dinsdag 05 augustus 2014 @ 20:58:
[...]


Tsja - als er 'niet te verliezen'-data op staat dan zou ik sowieso voorzichtig zijn.
Je kunt wel downmoaden; het is vast niet erg als je series kwijt zijn. Maar al je vakantiefoto's...?

uhmm ja die foto's idd.. laat um wel uit staan anders wordt de vriendin boos

[ Voor 67% gewijzigd door spartacusNLD op 05-08-2014 21:15 ]

spartacusNLD schreef op dinsdag 05 augustus 2014 @ 21:08:
[...]


garantie op dat je een virus op je hdd krijgt?

Heb hier een DS212+ met de laatste firmware (update 3). Ik heb geen rare activiteit of onbekende processen. Voor de zekerheid de mirrorschijf voor belangrijke data (aan de esata) losgekoppeld voorlopig. Mocht er dan wat gebeuren staat de backup veilig.

Ik verwacht eigenlijk geen ellende, heb de syno ook al eens opnieuw opgestart om te kijken of dat wat deed, maar gelukkig geen onverwachte resultaten..

Ik vind trouwens de reacties van sommige mensen kant nog wal raken. Synology kan er weinig aan doen als er een lek in een stuk externe software zit (bijv. SSL) en dat kan zich overal manifesteren, niet alleen bij een Synology.. Dus een ander fabrikaat of zelf iets bouwen kan net zo "onveilig" uitpakken.

[ Voor 27% gewijzigd door TMV op 05-08-2014 21:16 ]

Zojuist een update op de Synology site:

http://www.synology.com/en-us/company/news/article/470

we have not observed this vulnerability in DSM 5.0.

stribold schreef op dinsdag 05 augustus 2014 @ 21:15:
Zojuist een update op de Synology site:

http://www.synology.com/en-us/company/news/article/470

[...]

toch raar.. las hier dat iemand zijn buurman dsm 5.x had draaien en er wel synolocker op had gekregen.. toch?

Ik heb één fake screenshot gezien waarin je de desktop lay-out van dsm 5.0 zag met daarin een venster met een melding over Synolocker.

Mensen die écht gehackt zijn kunnen de desktop lay-out niet meer zien maar krijgen een redirect naar die melding volgens mij.

Maar ik heb niet alle pagina's doorgelezen natuurlijk

[ Voor 10% gewijzigd door Afvalzak op 05-08-2014 21:19 ]

Net mijn firewall aangepast naar:


Zie ik misschien nog iets over het hoofd

Volgens mij zit het nu wel goed dicht.

TMV schreef op dinsdag 05 augustus 2014 @ 21:13:
Heb hier een DS212+ met de laatste firmware (update 3). Ik heb geen rare activiteit of onbekende processen. Voor de zekerheid de mirrorschijf voor belangrijke data (aan de esata) losgekoppeld voorlopig. Mocht er dan wat gebeuren staat de backup veilig.

Ik verwacht eigenlijk geen ellende, heb de syno ook al eens opnieuw opgestart om te kijken of dat wat deed, maar gelukkig geen onverwachte resultaten..

Ik vind trouwens de reacties van sommige mensen kant nog wal raken. Synology kan er weinig aan doen als er een lek in een stuk externe software zit (bijv. SSL) en dat kan zich overal manifesteren, niet alleen bij een Synology.. Dus een ander fabrikaat of zelf iets bouwen kan net zo "onveilig" uitpakken.

Nogmaals, mij gaat het niet om de bron of de reden. Ongeacht hadden ze na de eerste melding en daarop volgende mensen die hetzelfde probleem hadden iets pro-actiever mogen reageren. Liever wat meer mensen een email over een mogelijk security issue dan ergens op een twitter of tweakers lezen dat je nas je shit staat te encrypten. Ik kwam er ook niet achter omdat ik toevallig op het synology forum zat.
Maar goed dat is mijn mening.

Razr schreef op dinsdag 05 augustus 2014 @ 21:28:
[...]
Al die laatste regels zijn overbodig, bij geen toepasbare regel wordt de toegang sowieso geweigerd (zie regel onderin). Verder staan er nog aardig wat services voor Nederlandse IP's open.

Ik weet dat de meeste land regels niet hoeven, maar ik heb aardig wat tijd er in zitten om ze toe te voegen, ik laat ze lekker staan.

Ik heb één regel die alles tussen 192.168.2.1 en 192.168.2.250 toe staat (router is *254). De rest wordt allemaal geblokkeerd.

Ik wil geen gezeik als ik over een jaartje opeens een andere aanbieder krijg met een ander 192.168.xx adres of 10.x.x.x. , de 10.x.x.x. heb je zowieso nodig om te kunnen inloggen met VPN, en het zijn toch lokale adressen.

Verder is het natuurlijk ook de vraag hoever de firewall van de NAS te vertrouwen is . Ook op m'n router heb ik daarom NAT naar de NAS uitgezet etc.

Mijn router geeft alleen nog maar de poorten door voor Downloadstation, en de rest in nog steeds geblocked, totdat ik/we meer weten over hoe en wat.

Viper® schreef op dinsdag 05 augustus 2014 @ 21:29:
[...]


Nogmaals, mij gaat het niet om de bron of de reden. Ongeacht hadden ze na de eerste melding en daarop volgende mensen die hetzelfde probleem hadden iets pro-actiever mogen reageren. Liever wat meer mensen een email over een mogelijk security issue dan ergens op een twitter of tweakers lezen dat je nas je shit staat te encrypten. Ik kwam er ook niet achter omdat ik toevallig op het synology forum zat.
Maar goed dat is mijn mening.

Wat betreft de communicatie ben ik het met je eens hoor, dat had netter gekund door meteen een waarschuwing eruit te doen naar de gebruikers.

Het feit dat nu door sommige mensen wordt gezegd dat een synology blijkbaar minder veilig is dan sommige alternatieven slaat alleen nog steeds nergens op..

Hmmzzz als je zoekt op THE_REAL_PWNED_XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX_1337 dan zijn het er nu 34 ipv vanmiddag maar 10 Gaat helaas redelijk snel.

In de zoekresulaten een NAS waar de "modified date" ongeveer begint bij 2-8-2014 12:39:00..
Die datum heb ik eerder gezien.

Zit in het buitenland - lees ik dit allemaal

Heb hem (DS212+) gisteravond meteen na het lezen van het nieuwsartikel uitgezet (kan niet bij m'n router - dit was de enige oplossing). Weet dus niet wat er gaat gebeuren als ik hem weer aan zet over 3 dagen... Baal wel dat ik hem niet even gehad gereboot of naar de processen had gekeken - maar ja dat lees/besef je pas later...

Zit op DSM 5 update 2 en heb van alles open staan (ook nog eens met admin account - wel wachtwoord van 31 tekens, op alle gebruikelijke poorten (5000, 21 voor ftp..))

Echt 3/4 wat er op staat kan me gestolen worden - het zijn vooral de foto's die er op staan die belangrijk zijn.. Ach ja we zullen het zien - vrijdag avond kom ik thuis: eerst ff alle portforwards in de router ongedaan maken - dan NAS aanzetten en kijken wat ie doet... Fingers crossed.. Iig een goede les - wilde al tijden een offline backup maken, maar 'kwam er steeds niet aan toe' .. DOH