Synolocker

[zephil]

@Dudulle : J'ai fait tout cela. Merci

Parcontre pas de serveur VPN chez moi.

Retirer le serveur de DMZ il n'a y rien de cela sur ma config. Un NAS syno 214 branché sur la live box

Oui c'est très bien après on fait en fonction de sa configuration, de son contexte, de ses impératifs et de ses croyances !

[pouda21]

C'est de hypothétique mais pour moi, il n'y a aucune faille, juste un brute-force quelconque (DSM, SSH etc..).

Sinon des milliers de nas auraient étés touchés sachant qu'il faut pas 24h pour 1000 bots à scanner les bonnes ranges IP.

Actuellement je dirais que c'est le noobisme du client le problème, et pas Synology.

A suivre.

Raisonnement pas idiot ;-) ... le soucis c'est que l'on a pas suffisamment d'info concernant la soit disante faille utilisée pour le hack... mot de passe faible ?, soucis avec DDNS ? mot de passe hardcoded ? nous voulons bien nous protéger mais nous devons au minimum savoir de quoi nous devons nous protéger ;-)

Le cryptage des données est la conséquence, nous ne connaissons pas encore la source...wait and see.

Modifié le 5 août 2014 par pouda21

[Brunchto]

C'est de hypothétique mais pour moi, il n'y a aucune faille, juste un brute-force quelconque (DSM, SSH etc..).

Sinon des milliers de nas auraient étés touchés sachant qu'il faut pas 24h pour 1000 bots à scanner les bonnes ranges IP.

Actuellement je dirais que c'est le noobisme du client le problème, et pas Synology.

A suivre.

Pour les bitcoins, c'était une faille dans filestation me semble-t-il. Pas besoin de bruteforce ou autre.

Bref, ça fait 24h, pas de nouvelles de syno.

Perso, je suis en vacances, connecté en edge (entre 4 et 60kb/s). Il me faut 20mn pour me connecter au syno, le VPN ne monte pas pour gérer le fw, et on ne sait pas sur quel pied danser...

Pour le moment, j'ai arrêté le syno et programmé un redémarrage quotidien si nécessaire.

[goerges]

D'après Nextinpact, pour Synology eux-mêmes, ce n'est pas très clair. Ce serait donc bien de ne pas donner de conseils en se basant sur une pseudo faille ou que sais-je alors que personne ne sait rien.

Sans vouloir me contredire, le mieux est de couper tout accès au nas via Internet ou mieux, le couper en attendant plus d'infos!

@Kristofferabild this is not clear yet. We will release more information as soon as we can.

— Synology Inc. (@Synology) 4 Août 2014

[cultive]

Il y a quatre ans, j'ai eu à subir une descente d’enquêteurs de Paris, deux mois après avec une mise en accusation et convocation par un juge d'instruction à Paris.

Les enquêteurs ont tout fouillé dans ma maison, mon ordinateur

Ils ont mis sous mon nez le listing de mon activité de ce jour là, listing fourni par son fournisseur adsl après la demande du juge d'instruction

Mon ip avait été utilisée pour hacker, un site politique français (destruction de certaines pages avec remplacement par des pages remplies de haine et d'insultes)

Après la plainte déposée par les responsables politiques, je suis passé par toute une série d'épreuve.

En juillet 2010, j'ai reçu le jugement : non lieu.

Je peux t'envoyer une copie si tu ne veux pas me croire.

En effet, pas de chance !

Je ne remets pas en cause le fait qu'une IP est facile à modifier pour un hacker, je voulais juste insister sur le fait que les attaques sont automatisées, ainsi avec un range d'IP très restreint les attaques seront bloquées (presque ?) à chaque fois.

Modifié le 5 août 2014 par cultive

[rodo37]

C'est de hypothétique mais pour moi, il n'y a aucune faille, juste un brute-force quelconque (DSM, SSH etc..).

Sinon des milliers de nas auraient étés touchés sachant qu'il faut pas 24h pour 1000 bots à scanner les bonnes ranges IP.

Actuellement je dirais que c'est le noobisme du client le problème, et pas Synology.

A suivre.

Possible mais il y a toujours beaucoup d'inconnue :

1. Combien de NAS sont touchés ?

2. Quelle version DSM ?

3. Quels services étaient activés ?

4. Mot de passe Admin ? Simple ou non ?

5. etc...

Donc en gros :

1. Faille ?

2. Brute Force ?

Il faut un retour de la part de Synology pour savoir si il y a vraiment une faille ou comme tu dis, une mauvaise gestion de la sécurité par les utilisateurs.

D'autant plus, que j'avais plus de 30 IP bloquées par jours depuis le 2 août.

D'après Nextinpact, pour Synology eux-mêmes, ce n'est pas très clair. Ce serait donc bien de ne pas donner de conseils en se basant sur une pseudo faille ou que sais-je alors que personne ne sait rien.

Sans vouloir me contredire, le mieux est de couper tout accès au nas via Internet ou mieux, le couper en attendant plus d'infos!

@Kristofferabild this is not clear yet. We will release more information as soon as we can.

— Synology Inc. (@Synology) 4 Août 2014

Pour personne c'est clair. Mais pour l'instant, vaut mieux jouer la prévention en attendant plus d'informations.

[Du 82]

Bonjour

Comme dit DUKE57, le problème c'est le noobisme du client qui est responsable.

Alors je (lui) vous soumets ma config pour me mettre à l'abri en attendant une solution fiable.

Mon NAS est un DS413j sous DSM 5.

Je n'ai nullement l'utilité qu'il soit relié à la toile.

Comment le couper du monde extérieur sachant que :

j'ai une freebox V6 (nul n'est parfait)

j'utilise mon NAS pour les sauvegardes des dossiers professionnels de mon épouse (sauvegardes automatiques avec la synchro)

les dossiers familiaux (photos, vidéos)

Merci pour vos conseils éclairés

Questions subsidiaire à DUKE57, as-tu appris à démonter et remonter ta voiture et à la réparer avant de commencer à la conduire ?

[goerges]

@DU 82

Simple, tu désactives toutes les redirections de ta freebox vers ton nas (en espérant que celui-ci soit pas en DMZ ;-) )

[ASFI]

Bonjour,

J'ai un DS209+II en DSM 4.2-3250, le port est ouvert + les ports 5000 et 5001 qui eux sont seulement autorisées pour une adresse IP, dans cette configuration est-ce que le risque est important ?

Merci, A+

[CoolRaoul]

Je ne remets pas en cause le fait qu'une IP est facile à modifier pour un hacker,

Contrairement à une idée reçue, c'est non seulement loin d'être aussi facile qu'on pourrait penser, mais quasiment inexploitable dans la plupart des configurations.

Et c'est Stéphane Bortzmeyer qui l'écrit: http://www.bortzmeyer.org/usurpation-adresse-ip.html

Modifié le 5 août 2014 par CoolRaoul

[Arkatror]

Bon vue que je serais pas chez moi pendant plusieurs jours j'ai couper mon nas.

Pas grave je l'utilise surtout en local en utilisation multimédia.

Donc si j'ai bien compris si a ma page d'accueil de mon nas j'ai pas le message comme quoi j'ai été hacker et que j'accède a mes vidéo je n'ais pas été infecter .

[Einsteinium]

Contrairement à une idée reçue, c'est non seulement loin d'être aussi facile qu'on pourrait penser, mais quasiment inexploitable dans la plupart des configurations.

Et c'est Stéphane Bortzmeyer qui l'écrit: http://www.bortzmeyer.org/usurpation-adresse-ip.html

Non je pense qu'il parle de passer par un Proxy français, et donc avoir une ip française ;-)

[cultive]

Contrairement à une idée reçue, c'est non seulement loin d'être aussi facile qu'on pourrait penser, mais quasiment inexploitable dans la plupart des configurations.

Et c'est Stéphane Bortzmeyer qui l'écrit: http://www.bortzmeyer.org/usurpation-adresse-ip.html

Intéressant !

Ceci-dit modifier ne veut pas forcément dire usurper !

[CoolRaoul]

Non je pense qu'il parle de passer par un Proxy français, et donc avoir une ip française ;-)

Dans le cas donné en exemple (je cite: "Mon ip avait été utilisée pour hacker") il est bien question d'usurpation d'IP, pas d'utilisation de proxy pour masquer le pays d'origine.

[Einsteinium]

Enfin c'est pas pour ce type de cas qu'il faut s'en faire, j'ai mis à jour le post initiale, rien que pour ceux qui se demande s'ils sont infectés ou pas.

[Du 82]

Non je pense qu'il parle de passer par un Proxy français, et donc avoir une ip française ;-)

Exactement, tu as trouvé les mots justes

[PiwiLAbruti]

J'ai un DS209+II en DSM 4.2-3250, le port est ouvert + les ports 5000 et 5001 qui eux sont seulement autorisées pour une adresse IP, dans cette configuration est-ce que le risque est important ?

Oui, c'est une configuration à risque.

Désactive toutes les redirections de ports jusqu'à ce que Synology publie un correctif.

[Invité]

Je trouve que Synology mets trop de temps à communiquer.
Pas nécessairement sur un patch ou une MAJ qui corrige le problème, de ce côté, je me doute qu'il y a du boulot et que ça ne peut pas être réalisé en 24h mais pour toutes les personnes qui ne consultent pas régulièrement les forums, un mail d'information envoyé aux possesseurs de Syno avec les quelques règles de sécurités réalisables, énumérées en haut du forum...

Y a t-il un tuto pour la modification des ports 5000 et 5001 ? Je ne trouve pas comment réaliser la manipulation.

Merci par avance

[jib0610]

De mon coté deux Syno à la maison :

Un DS-1513+ avec DSM 5.0 4493 U3 en frontal sur le web pour certains services (DSM en https 5001, du Webdav en https aussi et le web en gros)

Un DS-110J avec DSM 4.3 en local only, auncuns services actifs (destination de backup nocturne du DS-1513+)

(Les deux avec un mot de passe fort et non "dictionarisables" )

RAS après vérification hier soir, hormis que j'étais persuadé que le 110J était bloqué au DSM 4.3 alors qu'en fait non J'en ai donc profité pour le passer en DSM 5.0 4493 U3

Je part en vacances ce soir, du coup j'ai joué la prudence en attendant le fin mot de l'histoire, toutes redirections coupées sur ma box, et firewall du DS-1513+ activé pour laisser passer que les connexions France/Locales.

Je verrais à mon retour comment ça a évolué ...

PS : A une époque j'avais voulu ouvrir le SSH / FTP sur le web, a peine activé c'étais déjà spammé de tentative de connexion en brute force, j'avais activé le blockage IP après 3 connexions infructueuses, mais c'étais toujours trop important à mon gout, j'ai recoupé vite fait et géré mon besoin autrement, donc de ce coté là c'est pas forcement nouveau comme comportement ...

Bonjour,

Même constat concernant les attaques sur le port par défaut SSH. Solution radicale mise en place :

Box en mode modem plage IP 192.168.0.0/24 par exemple

Configuration du NAS sur une autre plage IP 192.168.30.0/24

Un Routeur qui fait le lien entre la box et la lan du NAS

SSH "attaqué" sur la box port 30 par exemple. Le routeur s'occupe de faire le "pat" entre le port 30 sur la box et le 22 du syno sur le lan 192.168.30.0/24

Résultat plus aucune ip bloqué sur le syno port 22.

Idem sur les services SFTP, etc... Pour le moment RAS...

Pour les accès au DSM depuis l'extérieur préférer le vpn ssh (proxy sock sur firefox) :

Après avoir configuré le pat du port SSH depuis la box afin de ne pas ouvrir le port 22 par défaut : depuis putty ou un terminal en fonction de l'os tapez :

ssh -D 1060 -p (port ssh) -C root@IPEXTERNE

sur Firefox il faut configurer l'utilisation d'un proxy manuel type socks dans les préfs réseau :

hôte socks : 127.0.0.1 sur le port 1060 dans ce cas (commande -D 1060)

vous accédez ainsi au dsm comme si vous étiez sur votre LAN. seule restriction sur un réseau d'entreprise les firewall bloquent généralement le port 30 ... (utilisez le port 443 si il est dispo comme ça aucun blocage des firewall en entreprise.)

a+

Modifié le 5 août 2014 par jib0610

[Vinky]

Je trouve que Synology mets trop de temps à communiquer.

Pas nécessairement sur un patch ou une MAJ qui corrige le problème, de ce côté, je me doute qu'il y a du boulot et que ça ne peut pas être réalisé en 24h mais pour toutes les personnes qui ne consultent pas régulièrement les forums, un mail d'information envoyé aux possesseurs de Syno avec les quelques règles de sécurités réalisables, énumérées en haut du forum...

Syno a déjà réagi http://www.nextinpact.com/news/89050-nas-pirates-synolgy-publie-ses-recommandations-quid-dsm-5-0.htm

[CoolRaoul]

Même constat concernant les attaques sur le port par défaut SSH. Solution radicale mise en place :

Box en mode modem plage IP 192.168.0.0/24 par exemple

Configuration du NAS sur une autre plage IP 192.168.30.0/24

Un Routeur qui fait le lien entre la box et la lan du NAS

SSH "attaqué" sur la box port 30 par exemple. Le routeur s'occupe de faire le "pat" entre le port 30 sur la box et le 22 du syno sur le lan 192.168.30.0/24

Heureusement que la plupart des box savent faire la translation de port par elle mêmes, parce qu'avoir a mettre ce genre d'architecture avec deux subnets et un routeur intermédiaire juste pour ça, ça me gonflerait un peu.

[jib0610]

Heureusement que la plupart des box savent faire la translation de port par elle mêmes, parce qu'avoir a mettre ce genre d'architecture avec deux subnets et un routeur intermédiaire juste pour ça, ça me gonflerait un peu.

sauf erreur de ma part on ne peux pas changer le port par défaut du SSH sur les nas synology...

Modifié le 5 août 2014 par jib0610

[Invité]

Syno a déjà réagi http://www.nextinpact.com/news/89050-nas-pirates-synolgy-publie-ses-recommandations-quid-dsm-5-0.htm

Oui, ils ont confirmé le problème mais n'ont pas informé les utilisateurs de Syno...

[Vinky]

Bah tu as bien tout lu ? Ils disent quoi faire pour se prémunir en attendant plus de détails.

Tu voulais quoi ? Qu'ils t'appellent sur ton téléphone perso pour te prévenir ?

Modifié le 5 août 2014 par Vinky

[sapique]

Message du hacker !