1. Cześć Gość. Czy wiesz, że według analizy rynku urządzenia:

    • QNAP - stanowią 63% rynku,
    • Synology i pozostali - tylko 37% rynku?

    To forum przeglądasz dzięki sponsorowi - firmie QNAP oraz zespołowi QNAP Club Polska.

SynoLocker

Dyskusja w 'Bezpieczeństwo' rozpoczęta przez użytkownika karolz, 3 Sierpień 2014.

Ładowanie...
  1. Soviet
    Offline

    Soviet Nowy użytkownik Noobie

    Dołączył:
    20 Sierpień 2011
    Wiadomości:
    21
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS211+
    Dzięki za uwagę. Zmieniłem domyślny port na inny.
     
  2. JohnyB
    Offline

    JohnyB Entry Technician Q Associate

    Dołączył:
    7 Wrzesień 2012
    Wiadomości:
    44
    Local Time:
    04:43
    Oceny:
    +4 / 0 / -0
    Followers:
    0
    QNAP:
    TS-219P+
    Ethernet:
    1 GbE
    TS-219P+ 1 GbE
    U mnie to do routera z OpenWrt próbowali się dostać z chińskich adresów IP (zresztą będących na listach znanych hostów skanujących), efekt miałem taki, że router ciągle miał obciążenie pomiędzy 2 a 10 i po jakimś czasie się zawieszał (z przegrzania). Pomogła zmiana portu SSH na inny, dodatkowo hasło dostało 20 znaków losowo generowanych (zmiana z 10 znaków), oraz wprowadzenie blokady na 15 minut po drugiej próbie logowania na złe hasło. Teraz mam dziennie kilka prób ataku, a nie kilka tysięcy.
     
  3. mwm
    Offline

    mwm Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Odkąd mam porty DSM zmienione z 5000 i 5001 na 8081 i 8082 nie miałem prób logowania na niego. Wcześniej bywało nawet 3-4 IP dziennie.
    Dodatkowo mam ustawiony BAN po 3 nieudanych w ciągu doby i nigdy nie usuwa zbanowanych. Na białej liście mam tylko IP głównego komputera w LAN.
    Dla SSH polecam wyłączyć logowanie przez hasło i przejść na logowanie za pomocą klucza który jest bardziej bezpieczny.
     
  4. ko20
    Offline

    ko20 Entry Technician Q Associate

    Dołączył:
    5 Luty 2014
    Wiadomości:
    57
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS412+, DS112+
    Ja w przypadku SSH mam ustawione (na firewall'u) nie tyle ze nieudane logowania z danego IP, ale nowe połączenia TCP na porcie 22.
    Jest możliwe kilka na godzinę. Dla mnie to wystarcza, ale jakiekolwiek próby skanowania. logowania siłowego szybko się kończą. Czarna lista jest bez limitu czasowego.

    Dodatkowo, zablokowałem parę dużych zakresów IP (z maską /8) których lokalizacja to Chiny czy Ameryka Pd.

    Mam 2 Synki. Na małym stoi poczta, i ma otwarte 3 porty. W sumie bardzo nie zaboli jak go wysadza w powietrze ;)
    Duży z prywatnymi plikami totalnie odcięty od świata.
    Jak coś potrzebuje ściągnać bądź wystawić na świat, to robię to na małym synku pocztowym w DMZ-ie a potem kopiuje na duży. Trochę z tym zachodu, ale jakoś się czuję bezpieczniej ;)

    Jak z zewnątrz muszę sie dostać to na firewallu stoi VPN SSTP.

    marcin
     
  5. dege
    Offline

    dege Nowy użytkownik Noobie

    Dołączył:
    4 Sierpień 2014
    Wiadomości:
    5
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS212j
    Niestety rowniez zlapalem "synolocka" :/ na szczescie zaszyfrowal tylko mala czesc danych na jednym z dyskow [ po restarcie nas automatycznie wznawia dalsze szyfrowanie...]. Czy po recznym update'cie do dsm v5.* dane na dyskach beda widoczne [ nawet te zaszyfrowane ] czy przy takiej metodzie update'u sa kasowane ? Inna sprawa czy update cos pomoze... [ o ile bedzie mozliwy ].
    Na zagranicznym forum czytalem, ze aby na nowo wgrac dsm trzeba wyjac dyski, uruchomic nas, pozniej wylaczyc i ponownie zamontowac dyski - po tej czynnosci mozna wgrac dsma
     
  6. mtkk
    Offline

    mtkk System Engineer Q Specialist

    Dołączył:
    7 Listopad 2012
    Wiadomości:
    187
    Miejscowość:
    Łódź
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    Na angielskim forum piszą że dane są dostępne po zalogowaniu na inne konto.
    A na koncie admina pojawia się rzeczowy opis więc może to szyfrowanie to jednak fake.
    Czy u nas jest więcej ofiar ataku?
    Hmmm
    Niestety tylko niektórzy tak piszą - może są w trakcie szyfrowania :-(
     
  7. Krwiak
    Offline

    Krwiak SysOp Administrator

    Dołączył:
    27 Maj 2008
    Wiadomości:
    2 415
    Local Time:
    04:43
    Oceny:
    +10 / 1 / -0
    Followers:
    1
    Właśnie dlatego chciałem dostęp do serwerów osób, które mają problem, żeby sprawdzić, co widać przez konsolę. Jak dla mnie na 90% dane nie są szyfrowane tylko jest info o tym, że są szyfrowane, a ludzie panikują, ale oczywiście mogę się mylić, niestety nie mam jak tego zweryfikować.
     
  8. Goofi
    Offline

    Goofi Entry Technician Q Associate

    Dołączył:
    8 Grudzień 2008
    Wiadomości:
    48
    Local Time:
    03:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Co miałeś otwartego na świat?
     
  9. mtkk
    Offline

    mtkk System Engineer Q Specialist

    Dołączył:
    7 Listopad 2012
    Wiadomości:
    187
    Miejscowość:
    Łódź
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    Też tak myślałem, z tym że niektórzy piszą że stracili dostęp przez SSH a pliki stały sie niemożliwe do odczytu, no i że Synki im przed zauważeniem ataku "ostro" mieliły jakby właśnie szyfrowały.
    Z drugiej jednak strony, może to sami atakujący nakręcają atmosferę, do tego na stronce podano że po upływie określonego czasu płatność za odszyfrowanie wzrośnie dwukrotnie. To też może świadczyć o chęci zastraszenia i nabicia sobie kieszenie w szybkim tempie, zanim ludzie się skapną że to fake.
     
  10. mwm
    Offline

    mwm Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Z blokowaniem zakresu IP z Chin to też bardzo dobry pomysł. Swego czasu jak nie miałem wyjazdów za granicę to miałem na czarnej liście wszystkie kraje poza polską.

    W DMZ się nigdy nie bawiłem. Dla mnie wystarczająco bezpieczne jest rozdzielenie usług na kilka DS. W razie ataku na najbardziej wrażliwy pozostałe z reguły nie są ruszane.
     
  11. dege
    Offline

    dege Nowy użytkownik Noobie

    Dołączył:
    4 Sierpień 2014
    Wiadomości:
    5
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS212j
    dane sa szyfrowane, tylko na poczatku [ przynajmniej u mnie ] jpgi i male pliki, a dopiero pozniej zabiera sie za duze.
    jak juz napisalem, kazde wlaczenie nasa rozpoczyna wznowienie szyfrowania plikow wiec na razie wole go nie uruchamiac ;]
    moze wkleje info z ang forum:

     
  12. 314TeR
    Offline

    314TeR Passing Basics Beginner

    Dołączył:
    5 Sierpień 2012
    Wiadomości:
    23
    Local Time:
    04:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Ethernet:
    null
    null null
    Wiadomo już, czy obecnie najnowsza wersja oprogramowania chroni przed tym atakiem? Aktualizuję na bieżąco DSM, ale nie śledziłem za bardzo biuletynów i co było łatane.
     
  13. mtkk
    Offline

    mtkk System Engineer Q Specialist

    Dołączył:
    7 Listopad 2012
    Wiadomości:
    187
    Miejscowość:
    Łódź
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    Na razie nie ma informacji, co umożliwiło atak więc nie wiadomo czy to chodzi o wersję systemu czy o konkretne usługi wystawione na zewnątrz
     
  14. Krwiak
    Offline

    Krwiak SysOp Administrator

    Dołączył:
    27 Maj 2008
    Wiadomości:
    2 415
    Local Time:
    04:43
    Oceny:
    +10 / 1 / -0
    Followers:
    1
    A jak to sprawdziłeś ? Bez dowodów wybacz, ale ci nie uwierzę :)
     
  15. 3r3rc3
    Offline

    3r3rc3 Entry Technician Q Associate

    Dołączył:
    31 Sierpień 2011
    Wiadomości:
    84
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS1511+; DS1512+
  16. skowron
    Offline

    skowron Systems Admin... Q's Expert

    Dołączył:
    28 Sierpień 2011
    Wiadomości:
    236
    Miejscowość:
    Warszawa
    Local Time:
    04:43
    Oceny:
    +2 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    Ludzie w USA wstają i teraz się zacznie, wystarczy zobaczyć co się dzieje na twiterku https://twitter.com/search?q=SynoLocker&src=typd

    Wczoraj w googlach można było ze świeczką szukać czegoś co się wyświetli po wpisaniu synolocker, a dziś można sobie wybierać po stronach, ale dalej nikt nic nie wie.. jedynie na heise-online.de napisali że synology wyda niedługo oświadczenie ale nic więcej nie ma.
     
  17. Krwiak
    Offline

    Krwiak SysOp Administrator

    Dołączył:
    27 Maj 2008
    Wiadomości:
    2 415
    Local Time:
    04:43
    Oceny:
    +10 / 1 / -0
    Followers:
    1
    Jak ktoś wykryje u siebie taki atak, nie ma sensu kopiować danych, moim zdaniel lepiej od razu skasować system i wgrać od nowa, bo jak już coś nam się wgrało to siedzi na partycji systemowej i jak ją wyczyścimy to również pozbędziemy się problematycznego oprogramowania.

    Tak czy siak nadal nikt nie potwierdził, że jego dane są zaszyfrowane, na razie wszyscy piszą o stronie startowej, a brak dowodów o zaszyfrowanych danych.

    Więc, żeby nie było wystawiłem Synology do DMZ z danymi, które są bezwartościowe, zobaczymy czy ktoś mnie zaatakuje :)
     
  18. skowron
    Offline

    skowron Systems Admin... Q's Expert

    Dołączył:
    28 Sierpień 2011
    Wiadomości:
    236
    Miejscowość:
    Warszawa
    Local Time:
    04:43
    Oceny:
    +2 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    heh mam nadzieje że zaraz na forum takiego komunikatu nie będzie, bo forum chyba wisi na synku :twisted:
     
  19. Goofi
    Offline

    Goofi Entry Technician Q Associate

    Dołączył:
    8 Grudzień 2008
    Wiadomości:
    48
    Local Time:
    03:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Jak się pojawi to będzie oznaczało, że może przez Apache weszli, sam u siebie zamknąłem 80 choć mało wierze, że tędy wejdzie :)
    Stawiam na 5000 lub 5001, czyli dostęp do administracji napisanej przez Synology. SSH też raczej nie bo to nie jest produkt Synology a coś znanego i bezpiecznego.
     
  20. dege
    Offline

    dege Nowy użytkownik Noobie

    Dołączył:
    4 Sierpień 2014
    Wiadomości:
    5
    Local Time:
    02:43
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS212j
    nie musisz wierzyc :p a tak powazie to na podmienionej stronie masz link do loga [ crypted.log ] z lista plikow, ktore juz zostaly zaszyfrowane. sciagnalem jednego jpga ktory mial byc zaszyfrowany i po probie otworzenia otrzymuje komunikat "corrupted file".

    jeszcze raz zapytam poniewaz nie dostalem odpowiedzi: czy reczny update dsm z 4.3 do 5 kasuje dane czy zachowuje sie jak "automatyczny" i wszystko zostaje na swoim miejscu [ interesuja mnie glownie dane, a nie ustawienia ]?
     

Poleć tę stronę

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Odrzuć powiadomienie.