gehacked... vrees ik

DMZ zorgt ervoor dat alles dus wagenwijd openstond richting de NAS. Zoals ook op Shodan te zien is.
Waarom zou je ISP daarvoor in moeten grijpen? Het is jou verbinding en je hebt het zelf ingesteld. Je ISP weet niet of dat de bedoeling was of niet.

Ik zou de nas compleet schoonvegen en opnieuw installeren. En daarna geen porten forwarden maar met een VPN gaan werken.

Dat laatste IP is je subnet, het 'rare apparaat' in je netwerk is gewoon je router

Toch mis ik enige vorm van onderbouwing waarom je 'gehackt' zou zijn. Wat is er nou precies mis?

Je upload meer dan je download, dat kan prima als je streamt, veel bestanden deelt, of de bestanden op je NAS extern benadert.

Er is hier vast iemand met meer verstand van NAS/DMZ problemen en configuratie die je verder kan helpen, maar afgezien van een vreemde email zie ik niks mis.
Sterker nog, het lijkt me eerder dat de mail een scam poging is... Niet op links klikken, niet op ingaan, afzender rapporteren als spam. Alle informatie die er in staat is of publiek toegankelijk of giswerk, tenzij er harde bewijzen meegestuurd zijn, zoals een foto die echt alleen op je NAS en nergens anders te vinden is...

NAS uit je dmz halen. Mocht je er extern bij willen via synology.me (ddns) of helemaal niet als je er geen gebruik van maak.

@Wintervacht Uhu, SMB (Samba) poort 445 stond / staat gewoon open naar het internet toe, zonder authenticatie.

Dus dit is volledig legitiem als dat 94.x.x.x zijn externe IP adres is.

[ Voor 7% gewijzigd door DJSmiley op 03-12-2019 21:05 ]

DMZ is natuurlijk nooit uitgevonden om even je NAS in te zetten.

Vorkie schreef op maandag 2 december 2019 @ 21:13:
@Wintervacht Uhu, SMB (Samba) poort 445 stond / staat gewoon open naar het internet toe, zonder authenticatie.

Dus dit is volledig legitiem als dat 94.111.222.194 zijn externe IP adres is.

Dan is er niks gehackt, op dezelfde manier dat het geen 'inbreken' is als je de deur wagenwijd open laat staan

Still, niet slim om alles open te laten staan natuurlijk, je zou denken dat het out of the box wel beter beveiligd is.

Revo_Fx schreef op maandag 2 december 2019 @ 21:14:
[...]


mijn router had fixed ip 192.168.0.246 dus met die uit te trekken verdween deze en de "rare".

Google anders even 'router subnet' voor je aannames gaat doen die niet kloppen.

Wintervacht schreef op maandag 2 december 2019 @ 21:09:
Dat laatste IP is je subnet, het 'rare apparaat' in je netwerk is gewoon je router

Doorgaans zie je subnetmaskers helemaal niet verschijnen in access logs, en je 2xx als laatste stukje subnetmasker is helemaal niet logisch bij een 192.168.0.x IP, zeker niet als het 255 is, waarvan ik gok dat dat is wat je denkt. Dan heb je namelijk geen bruikbaar netwerk. Er bestaan gewoon legitieme IP's in de 2xx range, en ook met 2xx.2xx.2xx.2xx (zo'n 4 miljoen publiek bereikbare). Als je Googlet naar Asia Pacific zie je direct al een AS met bijna 6000 IP's in de 2xx-range. Aangezien 2xx als laatste octet in een subnetmaster impliceert dat de voorgaande drie 255.255.255 moeten zijn, valt dat adres in de reserved-range van 240/4 en kan dus niet eens toebehoren aan Asia Pacific of welke andere partij dan ook.

Toch mis ik enige vorm van onderbouwing waarom je 'gehackt' zou zijn. Wat is er nou precies mis?
[..]
Alle informatie die er in staat is of publiek toegankelijk of giswerk, tenzij er harde bewijzen meegestuurd zijn, zoals een foto die echt alleen op je NAS en nergens anders te vinden is...

Hij heeft een mail gekregen van iemand die daarbij de inhoud van zijn NAS meestuurt, met (gok ik) het juiste type van zowel de NAS als de router. Dat is niet iets wat je van buiten zomaar kan zien. Daanaast werd er veel meer geupload dan normaal, en zag hij een onbekend IP actief wat verdween na het loskoppelen van de NAS. Dat lijkt me voldoende onderbouwing.

[ Voor 15% gewijzigd door DataGhost op 02-12-2019 21:31 ]

Zou eigenlijk mooi zijn als je hiervoor boetes zou kunnen krijgen, analoog aan bv je auto niet op slot doen etc.

mvrhrln schreef op maandag 2 december 2019 @ 21:19:
Zou eigenlijk mooi zijn als je hiervoor boetes zou kunnen krijgen, analoog aan bv je auto niet op slot doen etc.

Sinds wanneer krijg je een boete als je je auto niet op slot doet?

Revo_Fx schreef op maandag 2 december 2019 @ 21:21:
Maar even concreet nu; best mijn NAS en externe HDD die erop geconnecteerd was formatten?

Wat met andere aparaten in mijn netwerk?

Nee, beveiligen.

Wipen en opnieuw beginnen helpt niks als je de beveiliging niet op orde hebt.

Zoals eerder aangegeven: geen port forwards naar buiten doen, firewall lekker aan laten en een VPN gebruiken om van buitenaf verbinding met je netwerk te maken.
Tot die tijd kun je je NAS beter van internet afsluiten en alleen intern gebruiken.

Revo_Fx schreef op maandag 2 december 2019 @ 21:21:
Maar even concreet nu; best mijn NAS en externe HDD die erop geconnecteerd was formatten?

Wat met andere aparaten in mijn netwerk?

Wat ik altijd doe bij mijn synology:

Nieuw admin account aanmaken met een andere naam
Guest/Admin account disablen.
default poorten veranderen 5001/443

Er wordt vaak gescanned op default poorten en ook standaard accounts admin/guest met brute force.

en gewoon port forwarding. Eventueel alleen photo station naar buiten.
Wat je ook nog kan doen is je ip adres van je ouders/moeder/bekende whitelisten en de rest weigeren, zo kunnen ze niet gemakkelijk bij je nas van buitenaf.

[ Voor 11% gewijzigd door Viper® op 02-12-2019 21:25 ]

Revo_Fx schreef op maandag 2 december 2019 @ 21:21:
Maar even concreet nu; best mijn NAS en externe HDD die erop geconnecteerd was formatten?

Wat met andere aparaten in mijn netwerk?

Als alles zonder authenticatie open stond kan het prima zijn dat jouw NAS gewoon als "storage" gebruikt is, en dat er niks aan de hand is. Zeker weten doe je het echter niet, het maakt het uitvoeren van exploits op je NAS net dat stapje makkelijker. Het beste is ervan uit gaan dat 'ie gewoon gehackt is en dus opnieuw installeren. De data hoeft in principe niks mis mee te zijn, maar eigenlijk zou je die ook als geïnfecteerd moeten beschouwen, in ieder geval alle uitvoerbare bestanden.

Wintervacht schreef op maandag 2 december 2019 @ 21:23:
[...]

Nee, beveiligen.

Wipen en opnieuw beginnen helpt niks als je de beveiliging niet op orde hebt.

Het een sluit het ander niet uit. Nadat iemand is binnengeweest je firewall dichtzetten doet er niks aan af dat de NAS geinfecteerd kan zijn. Als er een reverse shell op staat doe je daar met je (standaard, "bruikbare") firewall-configuratie niet bijster veel aan. Dus zowel beveiligen als reinstallen.

[ Voor 26% gewijzigd door DataGhost op 02-12-2019 21:27 ]

.Maarten schreef op maandag 2 december 2019 @ 21:08:
DMZ zorgt ervoor dat alles dus wagenwijd openstond richting de NAS. Zoals ook op Shodan te zien is.
Waarom zou je ISP daarvoor in moeten grijpen? Het is jou verbinding en je hebt het zelf ingesteld. Je ISP weet niet of dat de bedoeling was of niet.

Theoretisch heb je gelijk. Praktisch is er bijna geen enkele zinnige toepassing te bedenken voor SMB-verkeer over internet en dit is echt in 99,999% van de gevallen niet bewust en een config fout.

Een ISP mag wmb best dit soort poorten (of eigenlijk alles onder de poort 1024) dichtgooien en enkel open te zetten via een vinkje in hun web-interface dat je dit wilt en echt weet dat je zelf servers gaat draaien.
Alle games etc gaan toch op hogere poorten dan 1024 zitten en dus ondervinden henk en irma er geen last van alleen het beschermt hun wel tegen even een nas in de dmz zetten, of even een computer met lokale sql-server in de dmz zetten of ...

@Revo_Fx Je hele NAS, natuurlijk.

Wintervacht schreef op maandag 2 december 2019 @ 21:17:
[...] je zou denken dat het out of the box wel beter beveiligd is. [...]

Het is er blijkbaar niet op berekend om volledig aan het internet gehangen te worden.

[ Voor 80% gewijzigd door Room42 op 02-12-2019 21:43 ]

Ik vraag me wel af welke provider je hebt, de meesten blokkeren poorten 135-139 en 445.

Revo_Fx schreef op maandag 2 december 2019 @ 21:54:
[...] Ik had om sommige betrouwbare fora (netweters, ed...) gelezen dat de nas in DMZ zetten mijn probleem (om mijn nas van buitenaf te benaderen) oploste.

Dat was toch ook zo? Hij was nu prima bereikbaar!

[ Voor 4% gewijzigd door Room42 op 02-12-2019 21:58 ]

Ik zou ook even je wachtwoorden (mocht je die ergens op je NAS hebben staan) aanpassen. Mogelijk zijn die gelekt.

Kijk ook even wat er in je public folder staat of je dat wel wilt delen. Ook al zet je je nas in de dmz van je router, als je data niet in public staat hoeven ze er nog niet makkelijk bij te kunnen. Dus kijk naar je access logs van je nas en check of daar naast toegang tot public nog vreemd admin of guest user verkeer is geweest en naar welke folders eventueel, afhankelijk van de logs van je nas.

En ff opletten wat er allemaal op die NAS stond ? backups van bv outlook bestanden (of andere email clients) ? Andere documenten met identiteits gegevens ?

Gizzy schreef op maandag 2 december 2019 @ 22:03:
Kijk ook even wat er in je public folder staat of je dat wel wilt delen. Ook al zet je je nas in de dmz van je router, als je data niet in public staat hoeven ze er nog niet makkelijk bij te kunnen. Dus kijk naar je access logs van je nas en check of daar naast toegang tot public nog vreemd admin of guest user verkeer is geweest en naar welke folders eventueel, afhankelijk van de logs van je nas.

Ehm, hij had smb open staan richting internet. Oftewel het ging om alles en niet enkel zijn public folder...

Gomez12 schreef op maandag 2 december 2019 @ 22:34:
[...]

Ehm, hij had smb open staan richting internet. Oftewel het ging om alles en niet enkel zijn public folder...

Ok dat had ik ff gemist.

Revo_Fx schreef op maandag 2 december 2019 @ 21:54:
Ik had om sommige betrouwbare fora (netweters, ed...) gelezen dat de nas in DMZ zetten mijn probleem (om mijn nas van buitenaf te benaderen) oploste.

Klopt, heeft prima gewerkt. Jammer dat de bijeffecten niet vermeld waren.

Wintervacht schreef op maandag 2 december 2019 @ 21:23:
[...]

Nee, beveiligen.

Wipen en opnieuw beginnen helpt niks als je de beveiliging niet op orde hebt.

Heel erg niet mee eens. Ik weet niet welke NAS de TS gebruikt, maar de meeste (lees: Zo'n beetje alle) hebben volwaardige OSsen, waar prima backdoors in te plaatsen zijn. Deze NAS zou bij mij het netwerk niet meer opkomen voordat ik de volledige firmware en instellingen terug naar factory defaults heb.

Nijn schreef op maandag 2 december 2019 @ 22:56:
[...]
Heel erg niet mee eens. Ik weet niet welke NAS de TS gebruikt, maar de meeste (lees: Zo'n beetje alle) hebben volwaardige OSsen, waar prima backdoors in te plaatsen zijn. Deze NAS zou bij mij het netwerk niet meer opkomen voordat ik de volledige firmware en instellingen terug naar factory defaults heb.

Jullie hebben alletwee gedeeltelijk gelijk

Je moet hem feitelijk wipen en terugzetten van een backup van voor het in dmz plaatsen, aangezien elk bestand erna een trojan kan bevatten.
En tegelijk moet je hem ook opnieuw beveiligen, want je hele beveiliging kan om zeep zijn geholpen op die nas omdat die gewoon compleet uit te lezen was. Oftewel ook al had je nog zo'n mooie pgp key file beveiliging of weet ik veel wat dan ook (ook al was het een 320 tekens super sterk wachtwoord), dat is allemaal te beschouwen als openliggend en mag je opnieuw gaan opzetten met nieuwe beveiliging / wachtwoorden.
Net zoals dat je deze 2 stappen eigenlijk bij elke device in je netwerk moet doen (ook je router) aangezien het echt open heeft gelegen en je geen idee hebt waar het geindigd is.

het zijn 2 losse dingen die je moet doen alleen 1 van de 2 doen, ongeacht of dat nu alleen wipen of alleen beveiligen is, lost niets op bij een echte hack. Het is geen of-of situatie, maar een en-en.

Maar is er daadwerkelijk sprake van een hack?

Om even in woning-metaforen gesproken heeft TS z'n persoonlijke administratie in een openstaande kast langs straat gezet (de DMZ). Iemand liep langs en zag dat dat daar lag, en attendeerde hem erop. Dat is geen hack, het lag op straat door eigen onkunde, niet door kwaadwillend toedoen van derden. Er zijn vooralsnog geen aanwijzingen dat iemand meer dan dat gedaan zou hebben, hooguit voorzorgsmaatregelen voor het geval dat. Verandert weinig aan wat TS nu te doen staat, maar het is wel goed om het hele 'hack'-verhaal te ontzenuwen, dat is niet wat hier aan de hand is en pas als hij dat beseft is er kans dat hij het vervolg goed aanpakt.

Samba stond open, denk dat je eerst moet uitzoeken welke permissies samba heeft. Zo kun je uitzoeken wat de worst case scenario is met de rechten.

Nijn schreef op dinsdag 3 december 2019 @ 00:08:
[...]


Dat zijn zeker dingen die moeten gebeuren, @Gomez12. Maar het gevaar dat er gerommeld is met de software van de NAS zelf (Firmware) is daarmee nog niet geweken. We hebben geen enkele reden om aan te nemen dat ze (enkel) via SMB binnen zijn geweest.

De "aanvaller" heeft een samba scanner gebruikt, hoe waarschijnlijk het is dat een wachtwoord gekraakt is kunnen wij niet inschatten, maar het lijkt erop dat dat niet het geval is. Daarom zou ik eerst even kijken welke rechten samba heeft en welke gevolgen het, in het ergste geval, zou kunnen hebben.

[ Voor 99% gewijzigd door RedHat op 03-12-2019 00:10 ]

Als je even op de link klikt om het rapport te bekijken zie je inderdaad :

SambaVersion: 3.5.6
SMB Status
Authentication: disabled
SMB Version: 1
Capabilities: raw-mode,unicode,large-files,nt-smb,rpc-remote-api,nt-status,level2-oplocks,lock-and-read,nt-find,dfs,infolevel-passthru,large-readx,large-writex,extended-security

Shares
Name Type Comments
------------------------------------------------------------------------
Volume1 Disk
WD-Ext-HDD-1021-20021 Disk
webhost Disk
admin Disk
music Disk
photo Disk
video Disk
public Disk
Volume2 Disk
IPC$ IPC IPC Service (NSA325 v2)


Dus tja,valt niet veel te kraken hé, alles was gewoon publiek toegangkelijk zonder meer.

mvrhrln schreef op maandag 2 december 2019 @ 22:03:
En ff opletten wat er allemaal op die NAS stond ? backups van bv outlook bestanden (of andere email clients) ? Andere documenten met identiteits gegevens ?

Eens met bovenstaande. Kijk ff rustig wat er nu allemaal op de NAS/HDD staat. Kopieën van wachtwoorden, kopieën van ID bewijzen of misschien zelfs een complete image backup van een machine? Denk hier wel serieus over na, voor je er op een mindere wijze mee geconfronteerd wordt.

Revo_Fx schreef op maandag 2 december 2019 @ 21:03:

[...]


Mijn NAS stond in de DMZ maar ik dacht dat het wachtwoord voldoende bescherming was... Blijkbaar niet...

Want gelukkig worden er nooit fouten in software gevonden en zijn zero-days geen ding...

Ik ben vervolgens naar mijn modem administratiescherm gegaan en inderdaad: mijn upload piekt naar 60Gb terwijl mijn download maar op 10Gb staat... Dat mijn ISP niet ingrijpt...

Waarom zou je ISP moeten ingrijpen? 60Gb/10Gb is een ondermaatse dag voor veel mensen. Daarnaast mag je ISP helemaal niet mee kijken, want privacy is een dingetje... Hooguit zouden ze naar traffic kunnen kijken en dan zou dit gewoon een online backup kunnen zijn, niets wat alarm bellen zou moeten laten afgaan.


Hier moet je echt je hand in eigen boezem steken, je kan er niemand de schuld van geven dat je NAS wagenwijd open stond. Altijd je apparaten updaten en al helemaal niet in een DMZ plaatsen.


Okee, en dan nu de oplossing:
De enige manier om zeker te weten dat er niets is achtergebleven op je NAS is om deze COMPLEET leeg te gooien en te factory resetten. Zelfs dan kan er nog wat achterblijven, maar de meeste NASsen flashen een schone image terug en dan zou je redelijk veilig moeten zijn.

Nee, je kan er geen scanner overheen halen. Nee, er is geen magische manier om dit te doen zonder leeg te gooien. De "hackers" kunnen namelijk een zelf geschreven scriptje hebben achtergelaten die niet door een scanner wordt opgepikt en die jij heel lastig zelf zal vinden.


/edit:
Overigens gaat iedereen er nu vanuit dat dit via SMB is gegaan, maar dat hoeft natuurlijk helemaal niet. (En die poorten zouden gewoon geblokkeerd kunnen zijn vanuit Orange)
Alles stond open, dus ook alle tooltjes van Synology, zoals file browsers, etc...

[ Voor 7% gewijzigd door OverSoft op 03-12-2019 09:25 ]

Mbt ISP: het is wel degelijk best practice om een aantal poorten te blokkeren om gebruikers tegen zichzelf maar bovenal tegen elkaar te beschermen:
https://www.bitag.org/documents/Port-Blocking.pdf

Een beetje ISP blokkeert uitgaand 25 (SNMP), en 135 (RPC), 139 (SMB) en 445 (SMB) in- en uitgaand - en daar zie je tegenwoordig (zeker na die Fritz! telefoon hack in DE) ook managementprotocollen als 161-162 (SNMP) en 7547 (TR.069) aan toegevoegd worden.

Best practice (waar een stuk minder zich aan houden) is trouwens ook om een opt-out te bieden voor gebruikers met legitieme, bewuste reden om die poorten te gebruiken.

TS' issue zou niet gebeurd zijn als z'n ISP zich aan die best practices gehouden had, tenzij hij zelf om de opt-out gevraagd heeft _{en dan is het *echt* dubbel eigen schuld...}

Het hoeft inderdaad niet via Samba gebeurd te zijn, maar de versie die bij TS geinstalleerd staat is 3.5.6, die is ondertussen alweer negen (!) jaar oud. Als dat een indicatie is voor hoe up-to-date dat ding verder is zou ik 'm inderdaad lekker opnieuw installeren. Zelfs Debian (enorm traag met nieuwe softwareversies) zat twee releases geleden al op een versie die vijf jaar nieuwer was dan dat.

Edit: het is trouwens interessant dat 'ie schijnbaar alleen maar SMB1 aan heeft staan, dat is namelijk ook alweer twee jaar uitgeschakeld in Windows 10. Die Samba-versie heeft slechts experimental support voor SMB2 (en volgens Shodan staat het niet aan). Dus ook daar moet iets moedwillig teruggedraaid zijn of TS draait ook op z'n PC antieke software.

[ Voor 30% gewijzigd door DataGhost op 03-12-2019 10:51 ]

dion_b schreef op dinsdag 3 december 2019 @ 00:07:
Maar is er daadwerkelijk sprake van een hack?

Om even in woning-metaforen gesproken heeft TS z'n persoonlijke administratie in een openstaande kast langs straat gezet (de DMZ). Iemand liep langs en zag dat dat daar lag, en attendeerde hem erop. Dat is geen hack, het lag op straat door eigen onkunde, niet door kwaadwillend toedoen van derden. Er zijn vooralsnog geen aanwijzingen dat iemand meer dan dat gedaan zou hebben, hooguit voorzorgsmaatregelen voor het geval dat. Verandert weinig aan wat TS nu te doen staat, maar het is wel goed om het hele 'hack'-verhaal te ontzenuwen, dat is niet wat hier aan de hand is en pas als hij dat beseft is er kans dat hij het vervolg goed aanpakt.

Het is duidelijk dat de persoon die zo vriendelijk was het te melden zichzelf langs het aanmeld scherm heeft gekregen, dus wettelijk gezien heeft deze persoon al computervredebreuk gepleegd. De vraag is dus niet of er gehackt is, maar of het er meer zijn.

En aangezien een of meerdere andere internet gebruikers zo'n 60GB aan netwerkverkeer gegenereerd hebben is het een redelijk veilige aanname dat deze vriendelijke melder niet de enige was.

[ Voor 8% gewijzigd door Flamesz op 03-12-2019 11:09 ]

Flamesz schreef op dinsdag 3 december 2019 @ 11:07:
[...]


Het is duidelijk dat de persoon die zo vriendelijk was het te melden zichzelf langs het aanmeld scherm heeft gekregen, dus wettelijk gezien heeft deze persoon al computervredebreuk gepleegd. De vraag is dus niet of er gehackt is, maar of het er meer zijn.

Dat mag wettelijk zo zijn, maar technisch gezien is dit geen hack, evenmin als dat er inbraak gepleegd is als iemand iets leest wat in je tuin op de grond ligt.

Wintervacht schreef op maandag 2 december 2019 @ 21:19:
[...]

Sinds wanneer krijg je een boete als je je auto niet op slot doet?

In belgië gebeurt dit onder andere, in nederland vroeger in sommige gemeentes.
verder is dit offtopic

[ Voor 4% gewijzigd door mvrhrln op 03-12-2019 14:30 ]