Vorgehen nach Deadbolt Befall

    Ich denke das könnte einen eigenen Thread wert sein, so viele Möglichkeiten und Überlegungen wie es dazu gibt.

    VPN ist klar, dann ist Frage, ob die beiden entfernten NAS nur Ziel für Deine Backups sind, oder ob Du auch Ziel für deren Backup wirst. Dann die Frage, welche Art von Backup es wird... Versioniert? Im Containerformat? Nur als Sync fur "saubere Lesbarkeit"? Gibt es interne Backups? Dann würde ich auch darüber nachdenken, ob die Quelle die Aufträge steuert, oder die Ziele... Oder gemischt. So einfach ist das finde ich gar nicht, allgemeingültig eine Anleitung dafür zu erstellen... :)

    Zitat von skern

    für Laien verständlich

    Immer diese schwerwiegenden Einschränkungen :cursing:  ;)


    Ich mache die Verbindung nicht über VPN, sondern über einen ssh-Tunnel, was im Endeffekt gar nicht trivial war, wobei erschwerend hinzukam, dass das ferne NAS von Synology stammt.


    Das Backup vom Qnap zum Syno ging noch recht problemlos (Backup über rsync und ssh), da HBS die notwendigen Funktionen enthält. Aber die andere Richtung, Syno zu Qnap, war haarig. Das fing schon damit an, dass das Backup-Programm von Syno mangels notwendiger Funktionen ausschied, und ich stattdessen das Hobbyprojekt Ultimate-Backup nutze, was hier und da hakelt. Richtig schwierig war dann der sichere ssh-Zugang zum Qnap mit ssh-Keys (nicht die ssh-Keys sind das Problem, sondern das Abschalten der Authentifizierung über Passwort), Login mit Nicht-Admin (sudo-Recht auf rsync wird benötigt) und Einschränkung von ssh auf die notwendigen Befehle.


    Nach diesen Erfahrungen würde ich allen, die sich nicht mit ssh auskennen und wo VPN möglich ist, den VPN-Tunnel empfehlen. Scheint leichter zu sein.

    Zitat von tiermutter

    Versioniert? Im Containerformat?

    Empfehlung: NIcht versioniert und kein Containerformat, da über das Netz nur das nötigste übertragen werden soll (und ich meine, mit rsync hat die Versionierung in keiner Richtung geklappt). Für die Versionierung legt man dann einen weiteren lokalen Backup-Job auf dem Ziel-NAS an oder nimmt einfach das Empfangsverzeichnis für das ferne Backup in das normale lokale Backup mit auf.

    Was die Versionierung mittels separatem Job angeht: Bin ich "Fan" von und mache ich bei meinem externen Backup auch so (Sync nach extern und hier wird dann nochmal ein Backup mit Versionierung gemacht). Hier muss man allerdings sehen, dass dadurch die doppelte Kapazität für die Daten in Anspruch genommen wird.

    Eigentlich wollte ich das so auch für ein anderes internes Backup machen, hier habe ich mich letztlich aber doch dagegen entschieden (außerdem habe ich bereits drei weitere versionierte Backups, alle allerdings auf unterschiedliche Weisen), um die Kapa zu sparen.


    Vom Containerformat bin ich eigentlich gar kein Freund, allerdings mag ich eine wesentliche Funktion davon: Jobs können neu verlinkt werden. Sprich wenn das Quell NAS ersetzt wird, kann man das Backup (die Jobs) unproblematisch auf dem neuen Gerät weiter fortsetzen und die bisherige Versionierung beibehalten. Das verwende ich so für eins meiner internen Backups. Wird sicherlich nicht unbedingt benötigt, wenn die Versionierung auf dem Backupsystem erfolgt, was ja aber wieder mit der doppelt erforderlichen Kapazität einhergeht. Über das neu Verlinken und Erstellen/ Wiederaufnehmen von Sync-Jobs hatte ich hier mal berichtet, als mein HBS den Geist aufgegeben hat: HBS3 - Unentdeckter Totalausfall

    Zitat von Anthracite

    mit rsync hat die Versionierung in keiner Richtung geklappt

    Für Versionierung kann man rsnapshot nehmen, was auf rsync basiert. Hat den Vorteil, daß mit Hardlinks gearbeitet wird, d.h. nur geänderte Daten werden gespeichert, was das Backup auch bei vielen Versionen klein hält (man ändert ja nicht täglich alle Dateien auf dem NAS). Damit klappt auch die Versionierung ganz gut. Man kann einstellen, wieviele Versionen man vom täglichen, vom wöchentlichen oder vom monatlichen Backup behalten will. Und es funktioniert genauso wie rsync über SSH mit ssh-Key. Das rsnapshot sollte dann auf dem Backup-NAS laufen. Dieses holt sich dann die Dateien über SSH vom Haupt-NAS. Eine Freigabe wird dafür nicht benötigt, d.h. auch wenn das Backup-NAS 24/7 läuft, kann es nicht von einem befallenen Haup-NAS infiziert werden. Das Backup-NAS darf natürlich nicht vom Internet ereichbar sein und sollte auch keine Freigaben haben, da ein infizierter Rechner oder NAS dann alle erreichbaren Freigaben verschlüsseln kann. Durch die Versionierung kann man dann auch immer auf ältere noch unverschlüsselte Dateien, die man vor dem Infekt gebackupt hatte, zugreifen (spätestens nach etlichen Tagen wird man ja merken daß es einen erwischt hat und kann handeln).


    Edit: was mir noch einfällt: es wird doch immer davon gesprochen, daß die verschlüsselten Dateien die Extension ".deadbolt" bekommen? Könnte man dann nicht einmal täglich vor dem Backup einen cronjob laufen lassen, der nach Dateien mit der Datei-Extension ".deadbolt" sucht und wenn eine gefunden wird, eine Benachrichtigung (per E-Mail?) verschickt und das NAS dann herunterfährt? Was so zu lesen ist von teilweise verschlüsselten Dateien zeigt doch, daß es eine Weile dauert bis alles verschlüsselt ist. Würde man das so nicht stoppen können bevor alles Verschlüsselt ist und unbemerkt im Backup landet?

    Zitat von Nordlicht000

    Würde man das so nicht stoppen können bevor alles Verschlüsselt ist und unbemerkt im Backup landet?

    Das würde natürlich nur Deadbold adressieren, nicht aber andere Malware. Dann könnte man auch einfach entsprechende Dateiendungen aus dem Backup ausschließen, unterm Strich muss das betroffene System ja eh platt gemacht werden, dann ist es also egal ob die Malware bis zum Ende läuft oder vorzeitig unterbrochen wird. Und wenn wirklich alle verschlüsselten Daten eine neue Endung bekommen: Umso besser, dann sind die originalen Daten im Backup ja gar nicht durch das Überschreiben mit verschlüsselten Daten gefährdet :)

    Wenn ich mir hier die Trheads so ansehen, dann scheint Deadbold z.Zt. wohl der am meisten verbreitete Verschlüsseler bei QNAP-NAS zu sein.


    Zitat von tiermutter

    dann sind die originalen Daten im Backup ja gar nicht durch das Überschreiben mit verschlüsselten Daten gefährdet

    Aber nur wenn man eine Versionierung hat die weit genug zurückreicht (falls man das nicht sofort bemerkt). ;) Bei einer einfachen Synchronisation sind die unverschlüsselten dann beim nächsten Backup weg.

    Nein. Weil datei.jpg nicht datei.deadbolt ist.

    Es gäbe dann zwei Dateien im Backup,auch ohne Versionierung.

    Bei "Synchronisierung" nicht. Da werden ja auf der Quelle nicht mehr vorhandene Dateien auch im Ziel gelöscht. Oder man muß explizit ankreuzen im Backup-Job, daß nicht mehr vorhandene Dateien im Ziel nicht gelöscht werden sollen, aber dann ist es ja keine echte Synchronisation mehr und das Zeillaufwerk läuft schnell voll.

    wenn auf dem zweiten, dem Backup NAS, snapshots der Backups da sind, dann hast du sicher einen clean snapshot ohne die geänderten Daten.

    Zurück zum Thread Titelthema


    Wenn ich die Daten habe, wie ist dann das Vorgehen?

    NAS Reset auf Werkseinstellung und dann Platten formatieren ? Oder kann der Übeltäter diese Prozedur überleben? Wo hat er sich versteckt?


    Alle bisherigen Beschreibungen beinhalten m.E. immer die Rettung der Daten auf dem infizierten NAS.


    Danke


    .

    Einmal editiert, zuletzt von skern () aus folgendem Grund: Ein Beitrag von skern mit diesem Beitrag zusammengefügt.

    Hier gibt es eine allgemeine Info dazu: Wie sinnvoll ist ein DOM-Recovery bei einem Malware-Befall


    Wenn die autorun.sh leer ist (kann man über die Einstellungen einsehen), dann sollte das Initialisieren mit Installation der neuesten oder derzeit installierten Firmware ausreichen.

    Die alten Disks werden dabei neu formatiert, ich würde aber sichergehen und sie vorher schonmal an einem Rechner formatieren.

    Einmal editiert, zuletzt von tiermutter () aus folgendem Grund: Ein Beitrag von tiermutter mit diesem Beitrag zusammengefügt.

    Gefällt mir 1

    Meines Erachtens reicht es aus, am PC alle Partitionen der HDDs zu entfernen.


    Gruss

    Joa, initialisieren muss man dann ja sowieso... aber erst mit einem FW Update wird auch der DOM angetastet, falls sich da ein bissl was eingenistet hat. Ohne Update wird ja das vermeintlich infizierte OS auf den Disks installiert... aber keine Ahnung ob Deadbold da überhaupt was macht...

    Mod: Unnötiges Volltextzitat gekürzt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von tiermutter

    Wenn die autorun.sh leer ist (kann man über die Einstellungen einsehen), dann sollte das Initialisieren mit Installation der neuesten oder derzeit installierten Firmware ausreichen.

    autorun.sh prüfen/anzeigen ist hier zu finden:


    Einstellungen - Hardware - allgemein


    =======

    ist leer - kein Eintrag!

    Und nach Neueinrichtung gleich mal den Malware remover laufen lassen? Oder wie kann ich den Erfolg überprüfen (System sauber neu aufgesetzt)?

    Einmal editiert, zuletzt von skern () aus folgendem Grund: Ein Beitrag von skern mit diesem Beitrag zusammengefügt.

    Hallo, ich habe eine Frage.

    War von Deadbolt jetzt am 03.09. betroffen, hatte nur teilweise Backup, aber das wichtigste war online und die Daten die Weg sind ist es zwar schade, aber die Welt geht nicht unter.

    Eine ältere TV Aufnahmen aber nicht persönliches direkt. Egal, habe das NAS nun neu gemacht, alle Portweiterleitungen (vorher für Plex und WEBDAV, damit ich bestimmte Dateien einem Freund freigeben kann in einem Ordner).

    Ich komme jedoch immer noch per My Qnap auf mein NAS, das ist okay so, dafür scheint es ja keine Portweiterleitung zu brauchen?

    Oder sollte ich das auch deaktivieren? Finde ich aber nicht schlecht, um mal aus der Ferne nach dem rechten zu sehen, wenn man mal mehrere Tage nicht in der Nähe des NAS ist. Dank für die Auskunft.

    Wenn du keine Portweiterleitung aktiv hast läuft der Zugriff sicherlich über myqnapcloud Link. Das ist ok, käme für mich aber nicht in Frage. Wenn möglich würde ich den Zugriff über ein VPN realisieren.

    Hi

    Ich weiß nicht ob ich hier ganz richtig bin, suche aber bisher ergebnislos... Habe eine deadbolt attacke und möchte eine Anleitung zum reset meiner TS-421.

    Die Daten sind mir egal. Ich komme halt nicht auf die Weboberfläche weil da immer dieses grün schwarze deadbolt Bild ist das mich blockiert...


    Bitte um Hilfe


    ps 3 sec oder 10 sec reset hat nicht funltioniert...

    derzeit läuft über den Finder ein Sys update


    Danke !

    Zitat von Martini

    Die Daten sind mir egal. Ich komme halt nicht auf die Weboberfläche weil da immer dieses grün schwarze deadbolt Bild ist das mich blockiert...

    Festplatten ausbauen und dann mal schauen was kommt.

    und alle Partitionen auf den ausgebauten Festplatten löschen -> zum Beispiel mit dem Windows Diskpart-Tool.