1. Cześć Gość. Czy wiesz, że według analizy rynku urządzenia:

    • QNAP - stanowią 63% rynku,
    • Synology i pozostali - tylko 37% rynku?

    To forum przeglądasz dzięki sponsorowi - firmie QNAP oraz zespołowi QNAP Club Polska.

SynoLocker

Dyskusja w 'Bezpieczeństwo' rozpoczęta przez użytkownika karolz, 3 Sierpień 2014.

Ładowanie...
  1. Sawator
    Offline

    Sawator Nowy użytkownik Noobie

    Dołączył:
    4 Sierpień 2014
    Wiadomości:
    5
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS213j
    U mnie też ten sam problem... DS213j, DSM 4.x - dokładnie nie pamiętam ale wszystkie aktualizacje instalowane na bieżąco.
    Liczę, że Synology szybko rozwiąże problem i przede wszystkim, że uda się odzyskać chociaż część danych...
     

    Załączone pliki:

    • 1.
      1.png
      Rozmiar pliku:
      46,9 KB
      Wyświetleń:
      112
      MD5 Sum:
      8e71e4339ddf5e1e22c4e3e08a6ec3ba
  2. spoogie
    Offline

    spoogie Nowy użytkownik Noobie

    Dołączył:
    9 Styczeń 2014
    Wiadomości:
    10
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS214
    Miałem na przełomie roku atak na serwer na debianie poprzez spreparowany link php (podatna była jakas stara wersja). Dziadostwo zaciągało całą kopalnię bitcoinów do katalogu tmp i uruchamiało w sandboxie z uprawnieniami użytkownika www-http. Tak zatakowany serwer pracował na pełnych obrotach tak, że nie dawało się nic zrobić. Dlatego moim zdaniem mogą zrobić coś takiego i z naszymi "synkami" poprzez porty 80, 443 czy tez 5000/5001 lub innymi.
     
  3. CoSTa
    Offline

    CoSTa Beta Tester Beta Tester

    Dołączył:
    13 Luty 2012
    Wiadomości:
    485
    Miejscowość:
    Poznań
    Local Time:
    02:37
    Oceny:
    +19 / 0 / -0
    Followers:
    1
    QNAP:
    TS-x51
    Synology:
    DS213+
    Ethernet:
    1 GbE
  4. mariuszsal
    Offline

    mariuszsal Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Dlatego ja również stawiam na 0day z okolic php, cgi lub samego DSM.
    Podatność SSH byłaby zagrożeniem dla pozostałych systemów.

    Zresztą kolega zhackowany akurat nie miał SSH a jedynie fp, www i dsm
     
  5. towi
    Offline

    towi System Engineer Q Specialist

    Dołączył:
    18 Kwiecień 2012
    Wiadomości:
    112
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS112+
    No to nie mapujemy dysków :)
    Na angielskich formach piszą, ze dotyczy to w szczególności wersji 4.x oprogramowania i starszych, oraz usługi synology.me (namierzają potencjalne ofiary).
    Ci co nie zainstalowali poniższej poprawki mają problemy:

    "DSM 4.3-3827 Update 4
    (2014/6/25)
    Change Log
    Updated OpenSSL to version 1.0.1h to address several severe security issues. (CVE-2014-0224, CVE-2014-0221, CVE-2014-0195, CVE-2014-0198, CVE-2010-5298, and CVE-2014-3470)
    Fixed a security issue that allows attackers to avoid checking mechanism and execute unintended commands via Web script."

    Po postach widziałem, że nie ma chyba nikogo kto ma najnowsze wersje oprogramowania i złapał SynoLockera.
     
  6. rafi
    Offline

    rafi Nowy użytkownik Noobie

    Dołączył:
    16 Styczeń 2011
    Wiadomości:
    21
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    obecnie 7 :)
    Witam wszystkich

    Dla mnie dzisiejszy alert też nie był przyjemny - zajmuję się obecnie 8 synkami i we wszystkich ubiłem logowanie z zewnątrz, choć i tak miałem na wysokich portach.
    Niestety w 3 przypadkach FTP musi działać z zewnątrz. Mam nadzieję, że jednak włam może nastąpić tylko po porcie 5000. Oby!
     
  7. mariuszsal
    Offline

    mariuszsal Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    @towi
    No ale jakie błędy windy ?? Jeśli już to samby.

    Ale ja mam zmapowane dyski, widoczny w wyszukiwarkach adres dslub.synology.me i jakoś nikt nie wlazł.

    Tylko, że resztę poza SSH i www idzie po VPN.

    PS
    W naszych synkach nie podoba mi się, że od ostatniego DSM - tj 5.0 serwery się pięknie przedstawiają w UAString, mały wycinek logu z serwera http
    Kod (Text):
    1. 84.245.x.xxx - - [04/Aug/2014:23:41:31 +0200] "POST /spkrepo/index.php/spkrepo/packages HTTP/1.1" 200 3290 "-" "synology_x86_411+II DSM5.0-4493 Update 2 (package)"
    2.  
    Po części same dają info o swoich podatnościach, tu widać że user ma jeszcze update 2.
     
  8. Sawator
    Offline

    Sawator Nowy użytkownik Noobie

    Dołączył:
    4 Sierpień 2014
    Wiadomości:
    5
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS213j
  9. kasiarz
    Offline

    kasiarz System Engineer Q Specialist

    Dołączył:
    8 Czerwiec 2009
    Wiadomości:
    164
    Miejscowość:
    Prospect Heights
    Local Time:
    21:37
    Oceny:
    +3 / 0 / -0
    Followers:
    0
    QNAP:
    TS-x53
    Synology:
    DS211j, DS107e, DS112j
    Ethernet:
    100 GbE
    TS-x53 100 GbE
    Mi się wydaje ze właśnie jak kolega pisze na synology.me wyszukują potencjalna ofiarę. Parę dni temu dostawałem strasznie dużo powiadomień o blokadzie IP po nieudanym zalogowaniu mam ustawione 5 prób i leci ban. Pomyślałem sobie a zamknę port FTP i tak na razie nie używam ataki się skończyły. Ale ktoś mądrze to przemyślał bo logują się na admina i na nazwę logowania do synology.me. Oto wycinek loga.

    asynology.strefa.pl_synology.


    Lista IP z których poleciały próby

    Kod (Text):
    1. 5.249.20.81
    2. 113.165.199.201
    3. 37.8.40.127
    4. 109.230.89.80
    5. 116.102.20.175
    6. 191.243.121.100
    7. 78.164.50.184
    8. 109.102.76.196
    9. 115.87.218.72
    10. 176.67.113.205
    11. 197.216.21.55
    12. 81.26.143.178
    13. 123.18.149.153
    14. 190.138.93.25
    15. 199.114.247.205
    16. 93.120.27.62
    17. 27.3.132.4
    Mi się wydaje ze zablokowanie portu FTP pomogło zobaczymy co dalej będzie.
     
  10. DomnikP
    Offline

    DomnikP Nowy użytkownik Noobie

    Dołączył:
    12 Grudzień 2013
    Wiadomości:
    8
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS214+
    Czy ktoś może potwierdzić na 100% , że po opłaceniu "okupu" te łajzy odszyfrowują dyski ? Mój klient złapał SynoLockera a ma bardzo ważne dane , które musi odzyskać.
     
  11. mwm
    Offline

    mwm Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Bardzo dobry pomysł jak masz wolnego NASa. Masz może możliwość monitorowania ruchu na tej linii? Była by informacja którędy i jak chcą się wbić na nasze serwerki.



    A tak przy okazji to postanowiłem wyłączyć główne konto admina i korzystać z innego o tych uprawnieniach. Widząc że na to konto najczęściej są próby logowania, będzie bezpieczniej jak go nie będzie. Tylko że synology nie pozwala z DSM na taką operację, nie można nawet zmienić nazwy z admin na inną. Z poziomu SSH jest to możliwe tak aby po aktualizacji nie posypało się wszystko?
     
  12. damianas
    Offline

    damianas System Engineer Q Specialist

    Dołączył:
    17 Marzec 2011
    Wiadomości:
    149
    Miejscowość:
    Złotów
    Local Time:
    02:37
    Oceny:
    +1 / 0 / -0
    Followers:
    1
    QNAP:
    null
    Synology:
    DS213+, DS110j, DS214+, DS115j
    Ethernet:
    1 GbE
    null 1 GbE
    W DSM to zrobisz. Zaloguj się po prostu na innego użytkownika z uprawnieniami administratora i wyłącz konto admina.
     
  13. MariuszK
    Offline

    MariuszK Nowy użytkownik Noobie

    Dołączył:
    17 Luty 2011
    Wiadomości:
    16
    Local Time:
    02:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Synology:
    DS1010,RS2211,RS3411
    Zastanawia mnie jedna rzecz. Czy wszyscy, których synology poległy, logowali się do udziałów na konto usera, czy admina?? Chodzi mi o codzienne użytkowanie.
     
  14. skowron
    Offline

    skowron Systems Admin... Q's Expert

    Dołączył:
    28 Sierpień 2011
    Wiadomości:
    236
    Miejscowość:
    Warszawa
    Local Time:
    04:37
    Oceny:
    +2 / 0 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS412+
    Ethernet:
    1 GbE
    null 1 GbE
    Shodan widzi trochę ponad 100 szt zablokowanych, oczywiście ile już ludzi wyłączyło albo odłaczyło od sieci?
    https://www.shodan.io/search?query=titl ... ker&page=2

    Trochę tego jest, ciekawe jest to że można przeglądać listę plików na danych zablokowanych synkach..

    A może by tak wystawić kilka synków na vm w różnych konfiguracjach i poobserwować co się będzie działo.
     
  15. mwm
    Offline

    mwm Guest

    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Faktycznie, mój błąd. Konto z którego to chciałem zrobić nie miało pełnych uprawnień..
     
  16. Krwiak
    Offline

    Krwiak SysOp Administrator

    Dołączył:
    27 Maj 2008
    Wiadomości:
    2 415
    Local Time:
    04:37
    Oceny:
    +10 / 1 / -0
    Followers:
    1
    Jest port monitoring więc czekamy co się stanie, na razie cisza. Dobrze by było, żeby ci którzy zostali zaatakowani napisali jakie porty mają udostępnione, z jakich usług korzystają oraz z jakiego konta.
     
  17. krakers
    Offline

    krakers Systems Admin... Q's Expert

    Dołączył:
    7 Marzec 2012
    Wiadomości:
    279
    Local Time:
    04:37
    Oceny:
    +6 / 1 / -0
    Followers:
    0
    QNAP:
    null
    Synology:
    DS212j
    Ethernet:
    802.11n
    null 802.11n
    W sumie to był dla mnie impuls aby przejrzeć uruchomione usługi, ustawienia firewalla synology, routera i wyłączyć/zablokować to co od dawna nie jest używane :)
     
  18. Goofi
    Offline

    Goofi Entry Technician Q Associate

    Dołączył:
    8 Grudzień 2008
    Wiadomości:
    48
    Local Time:
    03:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Ja od dłuższego czasu miałem dostęp tylko przez https, nawet automatyczne przekierowanie z http nie działało bo nie miałem przekierowanego portu. Teraz to w ogóle się okopałem ;)
     
  19. Krwiak
    Offline

    Krwiak SysOp Administrator

    Dołączył:
    27 Maj 2008
    Wiadomości:
    2 415
    Local Time:
    04:37
    Oceny:
    +10 / 1 / -0
    Followers:
    1
  20. Goofi
    Offline

    Goofi Entry Technician Q Associate

    Dołączył:
    8 Grudzień 2008
    Wiadomości:
    48
    Local Time:
    03:37
    Oceny:
    +0 / 0 / -0
    Followers:
    0
    Ta cała akcja z blokowaniem nas-ów Synology to ostry kopniak w producenta, NAS-y powinny kojarzyć się z bezpieczeństwem a tutaj takie coś. Od teraz wielu przyszłych klientów jak się dowie o tym to poważnie się zastanowi nad kupnem jakiegoś NAS-a Synology. Ja sam powierzyłem im bardzo dużo i mimo, że nie jestem ofiarą, to delikatnie mówiąc jestem mocno zaniepokojony. Daje to dużo do myślenia, szczególnie w kwestii bezpieczeństwa i konieczności braku zaufania.

    Czekam na oficjalne stanowisko Synology w tej sprawie, wyjaśnienie sposobu w jaki następuje ten atak, jego rozwiązanie i lepsze podejście do bezpieczeństwa ich produktów.
     

Poleć tę stronę

  1. This site uses cookies to help personalise content, tailor your experience and to keep you logged in if you register.
    By continuing to use this site, you are consenting to our use of cookies.
    Odrzuć powiadomienie.