Gehackt worden was kann ich tun?

  • Hallo Leute.

    Ich habe eine Qnap im Jänner erworben und war bis zum März zufrieden.

    Jedoch gingen dann diverse Zugriffe von irgendwelchen IP's los. Ich habe die auch immer alle Sofort dauerhaft blockiert.

    Hat aber alles nichts geholfen Alle Dateien verschlüsselt und mit einer READme zur Zahlungsaufforderung in Bitcoin zur Freigabe.

    Was habe ich falsch gemacht?


    Ich wollte nur Dateien und Fotos sichern auf dem Raid1. Fotos komfortabel mit der QFile App auf die NAS übertragen, gerade dür meine Freundin sehr einfach.


    Ich will das doch nur einfach wie meine alte Netgear im Netzwerk verwenden nur Comfortabler und schneller, aber es scheitert an der Sicherheit


    Bitte um Hilfe

  • Hallo und willkommen im Forum.


    Im habe Dir im Syno-Forum schon geschrieben.

    Überlege Dir ein Konzept. Was ist Dir wichtig, was muß funktionieren.

    Dann kann man sich Gedanken über die Umsetzung machen.

    Stichworte hierfür sind beispielsweise PAT, Firewall, VPN.

  • Was habe ich falsch gemacht?

    1. Den Werbeversprechen von QNAP mit "Einfach", "Komfortabel" und "Sicherheit" geglaubt.

    2. NAS an Router gestöpselt und online aufgesetzt.

    3. Auftauchende Buttons wie beim Moorhuhnschiessen abgetickert und dann war das NAS "irgendwieplötzlich" vom WAN zugänglich.


    Alles irgendwie in der Euphorie eines neuen Gerätes verständlich, aber wie jetzt erkannt nicht zielführend.

    Nun beginnt die Lernkurve mit UPNP, TCP/IP, Diensten, Netzwerksicherheit und dem lästigen Drumrum wie Backup uswusf.


    Viel Glück dabei und Welcome im Forum


    Nachtrag:

    1. Platten aus dem NAS raus und weglegen und auf einen gangbaren Weg zur Entschlüsselung warten. Nicht dran rumdoktern und sich das andere Netzwerk auch noch crypten lassen.

    2. NAS mit Altplatten plattmachen und offline neu aufsetzen.

    3. NAS mit neuen Platten offline neu aufsetzen und Netzwerk auf Sicherheit optimieren. IM NAS sämtliche komischen Häkchen bzgl. Update, Automatismen usw auf off setzen.

    4. Im Router dem NAS Zugriff auf WAN und Zugriff aus dem WAN verbieten.

    5 - 1000. uswusf.

    Einmal editiert, zuletzt von Matselm ()

  • Bei Punkt 3 bin ich inverser Meinung.


    Problem ist nicht der Zugriff vom NAS ins Internet, sonder z.B. der Router der per UPnP Portfreigaben erstellt.


    Meine NAS Systeme dürfen alle ins Internet und Updates abrufen, damit ich das Zeitnahe mit bekommen wenn es neue Versionen gibt.


    Wo bekommt das NAS die Zeit her, richtig NTP.

    Ist über die Fritz auch möglich aber hier hatte ich mal 30 Sekunden Versatz mit den default AVM hinterlegtem und dem Handy mit 2FA.

    War doof.


    Die Sicherheit wird durch den WAN Block nur verbessert wenn es intern ein strukturierters Patchmanagement gibt.

    Sprich min 1 mal im Monat wird das QTS und alle Apps geprüft und auch bekannte CVEs entsprechend bewertet.


    Wer macht so was privat?

  • Danke für die Antworten!

    Ja Nas is mal aus, vom Strom.

    Platten sind raus und Formatiert mit Windows, eine Sicherung war noch da.


    Was heisst Offline installieren?

    Es gibt ja dazu nicht einmal eine Beschreibung.


    Gerne würde ich ja die NAS von draussen abhängen aber die Fernsehkabelmodem von Arris sind weniger als Einstellungsfreudig.


    Die Frage ist nur die ist es dann noch möglich mit der QFileApp die Fotos vom Handy (Iphones) auf die Nas zu schicken? Oder benötigt die APP immer einen Zugang über Qnap?


    Das Netzwerk ist wie folgt aufegebaut:

    Kabelmodem 4LanPorts:
    1x Fernseher

    1x Devolo Dlan Powerline

    1x Switch - 1Stock

    1x Switch - 2Stock


    Beim Modem selbst bzgl. Firewall kann man nur die Grade der Firewall einstellen.

    Maximal, Typisch, Mindestsicherheit, Benutzerdefinierte Sicherheit (hier nur mit Häckchen von Ports zu sperren.

  • Nun, ich nutze das Ding privat.

    NAS darf WAN nicht und WAN darf NAS nicht. Ansonsten geht hier schon einiges.

    Bisher habe ich keine erkennbare Notwendigkeit, das NAS zu exponieren. Für solche Sachen würde ich einen kleinen Rechner in eine DMZ hängen, aber das wäre eine andere Geschichte.


    NTP ist hier kein Problem, denn die Zeit holt sich das NAS auf Zuruf von einem internen Rechner. Privat braucht es keine Millisekunden Genauigkeit und Transaktionsverfolgung, wirklich nicht. Firmen haben ansonsten gerne eine eigene NTP-Instanz.

    Zu den Updates/Patches usw: Warum muss ich ein funktionierendes System andauernd mit Updates quälen oder gar in einen unbrauchbaren Zustand versetzen? Das verstehe ich wirklich nicht!

    Macht was es soll und petzt nicht, dann muss es doch auch gut sein. Besonderen Krempel und Goodies kann ich mir doch auch vorher anlesen, besonders bevor ich das automatisiert und aktuell mit "Beifang" auf die Kiste bekomme, oder? Offlineinstall hat entscheidende Vorteile, auch in Hinblick Virencheck, ungewünschte Kontaktaufnahme zu Z.B. QNAP usw.


    Bei mir kam noch nie eine Kiste in die Nähe eines Gateways, die nicht vorher argwöhnisch begutachtet wurde und der die Zicken ausgetrieben wurden.


    Offtopic: Meine 2,5er Platte im XP hat knapp 48.000h drauf und sendet diesen Beitrag jetzt ab :)


    Was heisst Offline installieren?

    Offline bedeutet dabei, daß keine Internetverbindung besteht, also Rechner direkt per Ethernet am NAS und sonst nix. Karte im Rechner auf IP over DHCP, NAS starten, Q-Finder auf Suchen, dann gehts schon los. Macht das NAS den DHCP, dann bekommt der Rechner eine IP, ansonsten gehen beide Geräte auf APIPA. Einloggen auf dem NAS, einrichten und Häkchen rausnehmen, dem NAS fixe IP aus dem non-DHCP-Bereich des LAN (Router?) geben, Rechnerip auf das gleiche Netz anpassen, weitermachen bis die Kiste halbwegs steht. Es braucht keinen Internetzugriff für eine Ersteinrichtung, das bringt das NAS alles schon mit!

    Gerne würde ich ja die NAS von draussen abhängen aber die Fernsehkabelmodem von Arris sind weniger als Einstellungsfreudig.

    Ohne Typbeschreibung kann man sich auch so ein Manual nicht anschauen.

    Die Frage ist nur die ist es dann noch möglich mit der QFileApp die Fotos vom Handy (Iphones) auf die Nas zu schicken? Oder benötigt die APP immer einen Zugang über Qnap?

    Kommen die Iphone nur über Internet ins Heimnetz? Dann wäre ein Router mit W-LAN hinter der Kabelbüchse ein Ansatz, denn W-Lan können die Iphones.

    Meine Telefone können nur Telefon und SMS, ganz bewusst. Über so ein Datenkabel kommen die aber auch über USB an den Rechner. Geht das beim Iphone nicht?

    Meine Fotos sind zu fett für Internet, die kommen direkt aus der Cam/Karte auf den/die Rechner.

    Bei viel Wille gibt es immer ein Gebüsch, immer.

    2 Mal editiert, zuletzt von Matselm ()

  • Nur eins ist wichtig: Das NAS darf nicht aus dem Internet erreichbar ein. Also alle Ports sperren sowie UPnP deaktivieren. Das reicht (solange du keinen Angreifer im LAN hast). Aber Vorsicht: Auch die Qnap-Cloud benötigt Portfreigaben und die war auch schon mal ein Einfallstor für Schädlinge. Auf die muss man dann verzichten.


    Weitergehende Maßnahmen sind dann nicht nötig. Insbesondere ist es kein Problem, wenn das NAS von sich aus ins Internet zugreifen darf.


    Weitergehende Maßnahmen über die Portsperrung hinaus sind nur dann wichtig, wenn du einzelne Ports für spezielle Anwendungen doch freigeben musst. Dann solltest du aber wissen, was du machst.

    Beim Modem selbst bzgl. Firewall kann man nur die Grade der Firewall einstellen.

    Maximal, Typisch, Mindestsicherheit, Benutzerdefinierte Sicherheit (hier nur mit Häckchen von Ports zu sperren.

    Das Arris kenne ich nicht. Ich weiß nicht, was die unter maximaler Sicherheit verstehen, und was benutzerdefiniert konfigurierbar ist. Kannst du das Gerät und idealerweise die Anleitung verlinken?


    Also, was du machen musst:

    • Alle eingehenden Ports sperren.
    • UPnP deaktivieren (sonst richtet sich das QNAP eigenständig offene Ports ein).
    • Auf die QNAP-Cloud verzichten (so weit ich weiß geht die eh' nicht, wenn du die beiden vorangegangenen Punkte befolgt hast)

    Die QFile-App funktioniert dann nicht mehr. Genügt dir eine Alternative, die nur im heimischen WLAN funktioniert?


    EDIT: Könnte sein, dass die QFile-App im WLAN weiterhin funktioniert. Ich kenne die App nicht. Eine Nutzung im WLAN wäre sicher.


    Nochmal EDIT: Mit FSC830s nachfolgender Antwort heißt das, dass du QFile weiterhin verwenden kannst, aber nur, wenn dein Smartphone im WLAN eingebucht ist.

  • QFile funktioniert im WLAN. Setze ich auf mehreren Androiden ein, kein Problem.

    Mit VPN kann ich auch eine Verbindung von unterwegs auf das NAS machen um zu synchronisieren, benutze das aber relativ selten und synce meist nur wenn ich zu Hause bin.


    Gruss

  • Wobei wir immer wieder beim Thema VPN, als einzige sichere Zugriffsmethode landen.


    Mit dem richtigen VPN Gateway ist das aber auch für unbedarfte Anwender möglich, ein Powershell Skript hier geklickt, User + PW eingetragen und schon funktioniert der VPN Zugang auf einem Win 10 Client.

  • Hi zusammen


    Letztlich wurde auf die Frage des Threaderstellers nur mit "vorbeugenden Maßnahmen" geantwortet.

    Wie sieht es aus wenn man bereits gehackt wurde?


    Ich habe diesen Fall in der Familie. Alle Dateien sind verschlüsselt mit qlocker + Zahlungsaufforderung.

    Backup war auf einer externen HDD zwar vorhanden, da diese während des Angriffs angeschlossen war sind auch dort alle Daten verschlüsselt.


    Der erste Schritt war hin zu QNAP. Die haben uns QRESCUE und PHOTOREC als Software gegeben.

    Mittlerweile haben wir das Ganze 4x laufen lassen - immer mit dem selben Ergebnis: nur ca. 6 GB von insgesamt 1,3 TB konnten entschlüsseln werden.

    Wieso entschlüsselt die Software nur einen Teil; wurden beim Verschlüsseln verschiedene Passwörter verwendet? Oder habe ich hier einen Denkfehler ...

    Was wäre euer nächster Schritt? Gibt es weitere Möglichkeiten der Entschlüsselung?

    Gibt es hier im Forum User die erfolgreich alle Dateien entschlüsseln konnten?


    Danke für eure Hilfe!

  • Die Software entschlüsselt nicht. Die versucht gelöschte und nicht-überschriebene Daten von der Festplatte wiederherzustellen. Da jedes verschlüsselte Archiv als eine neue Datei geschrieben wird, wird logischer Weise auch wieder unheimlich viel des frei gewordenen Speicherplatzes unwiederbringlich mit den verschlüsselten Archiven überschrieben.

  • Abwarten kannst du, bei vielen diese Programmen kam nach rund 2 Jahren dann der Masterkey raus, mit dem sich alle Daten wiederherstellen lassen.

  • Alles klar, danke Crazyhorse.

    In dem Fall alle verschlüsselten Daten sichern, NAS neu aufsetzen und "weiter machen".

    Etwas anderes bleibt uns hier wohl kaum übrig.

  • Danke euch.


    Anthracite Ich bin gerade dabei alles im Internet zusammen zu suchen was eine mögliche Chance für die Entschlüsselung ist und fahre dann zu dem besagten Fall um das alles zu testen.

    Danke für den Thread, ich kannte den großen Thread, aber den nicht.