Toon posts:

Virus en verdachte Synology-logins -> Wat te alles checken ?

Pagina: 1
Acties:

  • ocmer
  • Registratie: Juni 2001
  • Laatst online: 22:12
Paar dagen geleden heb ik een oude Windows 7 PC opgestart die al een paar jaar uit heeft gestaan. Ik kreeg direct 2 viruswaarschuwingen op die PC (van een inmiddels heel verouderde virusscanner) op iets met ChromeUpdater ofzoiets.

Snel daarna kreeg ik een mailtje van mijn Synology NAS met dat vanaf die besmette PC geprobeerd werd in te loggen op de Synology en dat het IP adres was geblokkeerd. Dat is niet goed dus; het virus is blijkbaar actief op mijn netwerk.

Direct de netwerkkabel uit de PC getrokken en windows 7 opnieuw geinstalleerd met daarbij het verwijderen en opnieuw formateren van alle partities. PC daarna niet meer aan durven zetten.

Nu blijf ik met een onbehagelijk gevoel zitten. Dat virus ging blijkbaar mijn netwerk op om waarschijnlijk zich te verspreiden. Op mijn NAS is dat niet gelukt ga ik van uit; maar ik heb nog veel meer devices op mijn netwerk. Hoe kan ik controleren of er niet meer besmet is geraakt? En is het verstandig om die oude PC nog te gebruiken (en bijv. te upgraden naar Win10), of kan het virus ook in de bios, MBR, oid zitten?

Members only:
Alleen zichtbaar voor ingelogde gebruikers. Inloggen

  • arjants
  • Registratie: Mei 2000
  • Niet online
als het om een oude pc gaat, probeerd deze niet met een oud wachtwoord te connecten met een share op de nas en omdat dit wachtwoord niet klopt hij geblokkeerd is?

We worden allemaal geconfronteerd met een reeks grootse kansen, op schitterende wijze vermomd als onoplosbare problemen. (John W. Gardner)


  • Junia
  • Registratie: November 2009
  • Laatst online: 23:02
Grote kans dat je Win7 PC simpelweg geconfigureerd was met verouderde credentials om bij de netwerkschijf van je Synology te komen en dat dit geheel los staat van het eventuele virus. Aangezien het virus werd gedetecteerd lijkt me ook de kans groot dat de AV scanner hem direct heeft weten te blokkeren/quarantainen en dat er dus verder weinig aan de hand is ;)

Kans op MBR / rootkit lijkt me ook erg klein, desnoods even na het installeren weer een AV scan doen om te zien of je iets geks tegenkomt. Upgraden naar een modern OS is altijd geadviseerd, immers zijn er al vrij lang geen security updates voor Win7 meer uitgekomen.

[Voor 6% gewijzigd door Junia op 27-12-2022 11:42]


  • hvveen
  • Registratie: Oktober 2002
  • Laatst online: 27-01 15:20
Harde schijf eruit, en met een USB adapter aan een 'modernere' PC hangen.
Daarna met een up-to-date virus scanner de boel controleren

  • Nemean
  • Registratie: Juni 2008
  • Laatst online: 27-01 15:39

Nemean

ᵀᴴᴱ ᴷᴵᴺᴳ, ᵀᴴᴱ ᴸᴱᴳᴱᴺᴰ

hvveen schreef op dinsdag 27 december 2022 @ 11:42:
Harde schijf eruit, en met een USB adapter aan een 'modernere' PC hangen.
Daarna met een up-to-date virus scanner de boel controleren
Ja.. nee dus.

Waarom zou je een 'mogelijk' geïnfecteerde schijf aan een machine hangen die geen kuren heeft? Zou eerder de schijf in de oude machine houden en loskoppelen van het netwerk en vandaar uit verder gaan.

  • hvveen
  • Registratie: Oktober 2002
  • Laatst online: 27-01 15:20
Zolang je geen data van de schijf haalt of apps opstart van deze schijf is er niets aan de hand
Mocht er wel wat langs glippen, dan pakt je up-to-date virus scanner dit wel op.

Andere mogelijkheid: boot cd met AV scanner gebruiken

  • ocmer
  • Registratie: Juni 2001
  • Laatst online: 22:12
arjants schreef op dinsdag 27 december 2022 @ 11:40:
als het om een oude pc gaat, probeerd deze niet met een oud wachtwoord te connecten met een share op de nas en omdat dit wachtwoord niet klopt hij geblokkeerd is?
Dat zou het kunnen zijn. Ik had een share op mijn NAS gemount meen ik me te herinneren. Maar ik zou verwachten dat Windows bij een onjuist wachtwoord het niet 10 keer opnieuw probeert binnen 5 minuten.

  • Nemean
  • Registratie: Juni 2008
  • Laatst online: 27-01 15:39

Nemean

ᵀᴴᴱ ᴷᴵᴺᴳ, ᵀᴴᴱ ᴸᴱᴳᴱᴺᴰ

hvveen schreef op dinsdag 27 december 2022 @ 11:49:
Zolang je geen data van de schijf haalt of apps opstart van deze schijf is er niets aan de hand
Mocht er wel wat langs glippen, dan pakt je up-to-date virus scanner dit wel op.

Andere mogelijkheid: boot cd met AV scanner gebruiken
Altijd uit gaan van de laagst mogelijke impact, en dat is het systeem isoleren van het netwerk en andere apparaten. Nooit aansluiten op je eigen systeem.

  • oak3
  • Registratie: Juli 2010
  • Laatst online: 28-01 19:31
ocmer schreef op dinsdag 27 december 2022 @ 11:26:
Nu blijf ik met een onbehagelijk gevoel zitten. Dat virus ging blijkbaar mijn netwerk op om waarschijnlijk zich te verspreiden. Op mijn NAS is dat niet gelukt ga ik van uit; maar ik heb nog veel meer devices op mijn netwerk. Hoe kan ik controleren of er niet meer besmet is geraakt? En is het verstandig om die oude PC nog te gebruiken (en bijv. te upgraden naar Win10), of kan het virus ook in de bios, MBR, oid zitten?
Het is zeker niet verstandig om die oude pc nog te gebruiken als deze nog Windows 7 heeft. En als je hem toch gebruikt, dan zonder netwerkverbinding.

Tip voor een volgende keer, als je zo'n oud systeem weer opstart, doe dat zonder netwerkverbinding. Haal er daarna af wat je nodig hebt en installeer een OS dat bijgewerkt is.

Of je daadwerkelijk ongerust moet zijn vraag ik me af. Dat is erg afhanekelijk wat je met die PC hebt gedaan. Als dat alleen opstarten is en je hebt verder niets op het internet gedaan, zou het mij verbazen als er echt een virus op zit. En als die er al op zit, dan is het waarschijnlijk een oude die er al op zat voor die tijd.

  • MJV
  • Registratie: Mei 2003
  • Laatst online: 22:18
ocmer schreef op dinsdag 27 december 2022 @ 11:55:
[...]

Dat zou het kunnen zijn. Ik had een share op mijn NAS gemount meen ik me te herinneren. Maar ik zou verwachten dat Windows bij een onjuist wachtwoord het niet 10 keer opnieuw probeert binnen 5 minuten.
Wat is de precieze melding die je vanaf je Synology kreeg? Kun je daaruit opmaken of het inderdaad netwerkshares betrof, of dat de PC op een andere manier (DSM, ssh?) verbinding probeerde te maken?

  • ocmer
  • Registratie: Juni 2001
  • Laatst online: 22:12
MJV schreef op zondag 1 januari 2023 @ 11:25:
[...]

Wat is de precieze melding die je vanaf je Synology kreeg? Kun je daaruit opmaken of het inderdaad netwerkshares betrof, of dat de PC op een andere manier (DSM, ssh?) verbinding probeerde te maken?
The IP address [192.168.xx.xx] experienced 10 failed attempts when attempting to log in to DSM running on Diskstation within 5 minutes, and was blocked at 25-12-2022 22:01.

Waarbij 192.168.xx.xx het IP-nr van de besmette PC betreft

[Voor 56% gewijzigd door ocmer op 01-01-2023 12:27]


  • RonnieKo
  • Registratie: December 2020
  • Laatst online: 03:13
Je kan in de logs van je nas (log center) zien welke login pogingen er geweest zijn. Als je het goed ingericht hebt zou je dan moeten weten wat het kan zijn.

[Voor 17% gewijzigd door RonnieKo op 04-01-2023 10:00]


  • ocmer
  • Registratie: Juni 2001
  • Laatst online: 22:12
RonnieKo schreef op woensdag 4 januari 2023 @ 09:58:
Je kan in de logs van je nas (log center) zien welke login pogingen er geweest zijn. Als je het goed ingericht hebt zou je dan moeten weten wat het kan zijn.
Ik zie helaas maar één regel in Log center, die vertelt niets nieuws

Warning
System
25-12-2022 22:01:18
SYSTEM
Host [192.168.xx.xx] was blocked via [DSM].

Ik zou graag dat iedere inlog-poging wordt gelogd naar Log Center, maar kan dat nergens vinden.

  • RonnieKo
  • Registratie: December 2020
  • Laatst online: 03:13
Ik kan in Log Center (geinstalleerd vanuit packages-center) iedere inlog-poging zien. Welke goed en welke fout gegaan zijn. Ik weet zo niet wat ik daarvoor aangepast heb, volgens mij alleen het betreffende log-packages geïnstalleerd. Je kan in het Log Center wel instellen wat je wil zien.

  • sh4d0wman
  • Registratie: April 2002
  • Nu online

sh4d0wman

Long live the King!

Ik ken Synology niet uit eerste hand maar als ik Google dan lijkt DSM de web-interface. Een fileshare zou daar geen connectie naar moeten maken ;)

Dussss als je zeker weet dat het ip-adres van de Win7 host is:.
1.Zet de Windows machine nog eens aan. Komen er weer meldingen in Synology? Gelijk? Na bepaalde tijd?

2. Kun je nog ergens de user/wachtwoord combos zien? Soms komen die in debug logs voor of moet je daar de sensitviteit van aanpassen. Grote kans dat je een lijst met standaard wachtwoorden gaat zien.

3.A Huil, wipe de machine en begin opnieuw.
of
3.B Check met Wireshark op de Windows 7 machine of je verkeer naar HTTP (5000) and HTTPS (5001) ziet (indien je de standaard DSM poort gebruikt) Probeer daarna met b.v. Sysinternal tooling te kijken welk process hier voor verantwoordelijk is. Let op, bij malware kun je best een Windows process vinden wat misbruikt wordt dus het zal wellicht niet altijd gelijk duidelijk zijn.


edit: als ik op de Synology website kijk is er ook diverse software in omloop. Staat daar nog iets van geinstalleerd wat wellicht verbinding wil maken?

[Voor 7% gewijzigd door sh4d0wman op 04-01-2023 11:27]

Being a hacker does not say what side you are on. Being a hacker means you know how things actually work and can manipulate the way things actually work for good or for harm.
Come to the dark side. We've got cookies.


  • ocmer
  • Registratie: Juni 2001
  • Laatst online: 22:12
sh4d0wman schreef op woensdag 4 januari 2023 @ 11:24:
Ik ken Synology niet uit eerste hand maar als ik Google dan lijkt DSM de web-interface. Een fileshare zou daar geen connectie naar moeten maken ;)

Dussss als je zeker weet dat het ip-adres van de Win7 host is:.
1.Zet de Windows machine nog eens aan. Komen er weer meldingen in Synology? Gelijk? Na bepaalde tijd?

2. Kun je nog ergens de user/wachtwoord combos zien? Soms komen die in debug logs voor of moet je daar de sensitviteit van aanpassen. Grote kans dat je een lijst met standaard wachtwoorden gaat zien.

3.A Huil, wipe de machine en begin opnieuw.
of
3.B Check met Wireshark op de Windows 7 machine of je verkeer naar HTTP (5000) and HTTPS (5001) ziet (indien je de standaard DSM poort gebruikt) Probeer daarna met b.v. Sysinternal tooling te kijken welk process hier voor verantwoordelijk is. Let op, bij malware kun je best een Windows process vinden wat misbruikt wordt dus het zal wellicht niet altijd gelijk duidelijk zijn.


edit: als ik op de Synology website kijk is er ook diverse software in omloop. Staat daar nog iets van geinstalleerd wat wellicht verbinding wil maken?
Ik had de Windows 7 machine direct al opnieuw geformatteerd en geinstalleerd.
Hopen dat het inderdaad wat Synology software op die windows 7 machine en dus vals alarm was geweest; lastige is dat ik dit niet zeker kan weten....
Pagina: 1


Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee