Deadbolt / Angriff

    Zitat von tiermutter

    Deshalb werden ja auch eher alte Leute bestohlen und betrogen statt die jüngeren die nicht so leicht darauf reinfallen oder sich körperlich zur Wehr setzen können...

    da haben die bei mir aber auf den falschen gesetzt. Mit 66Jahren und 20 Jahre als Admin in einer Firma :) .


    Bei mir heist es "Du kommst hier nicht rein", eine reine VPN-Lösung ist das einzige was dagegen hilft :thumbup:.


    was will ich schreiben -> das hat nix mit dem Alter zu tun, sondern nur mit der Auseinandersetzung mit der eigenen IT-Sicherheit.


    Ja, ich bin für einen Adminführerschein beim Kauf eines NAS :cup:

    Zitat von flatterrich

    das hat nix mit dem Alter zu tun,

    Natürlich nicht... Das war ja nur ein Vergleich zu den Betrugsmaschen, die oft mit älteren abgezogen werden. Da ist es die Zielgruppe "Alt" und in der IT ist die Zielgruppe hier halt "User die keine Ahnung von Sicherheit und Backups haben".

    QNAP sind halt vorwiegend bei dieser Zielgruppe im Einsatz.

    Stellt sich die Frage, wie kann man NAS-Benutzer dazu animieren, Sicherungen zu erstellen und sich mit dem Thema Sicherheit zu beschäftigen. Und bitte jetzt nicht wieder den schwarzen Peter auf QNAP schieben, nach dem Schema, QNAP muss besser und stärker darauf hinweisen. Nutzt nämlich nichts. Habe vor Jahren einem Kollegen ein NAS eingerichtet. Auf die Frage: "Wie gedenkst Du die Sicherung umzusetzen?" kam nur: "Brauche ich nicht." Auch Aufklärung der Sachlage brachte nichts. Aber wer bin ich denn den Lehrmeister zu spielen. Aber hatte bis jetzt, zumindest soviel ich weiß, bis jetzt keine Probleme oder hat sich nicht getraut zu melden. Allerdings, zumindest von mir so eingerichtet, nichts mit offen ins Internet.

    Ich sage dann immer: durch Schmerzen lernt man! Und wenn der Schmerz groß genug war (=wichtige Daten), dann lernt man erst recht.

    Die Masochisten lasse ich mal aussen vor! :D

    Denen ist nicht zu helfen (Beispiel aus dem US-Forum: erst Qlocker , dann Deadbolt). :ziped:


    Gruss

    Hallo, kann mir diesbezüglich auch wer helfen?


    Komm nur noch so auf mein NAS http://x.x.x.x:8080/cgi-bin/.

    Würd aber gern zahlen da ich die Daten brauch und muss da her ohne cgi-bin/ zugreifen um die deadbolt seite aufzurufen


    wie schalt ich die weiterleitung aus?

    Am besten den Thread lesen: Deadbolt

    Das wichtigste ist im ersten Post zussammengefasst.

    Oder wende Dich an den QNAP Support, die helfen i.d,R. auch die Seite wiederzufinden.


    Gruss

    Ich soll nur die UPnp ausschalten.

    Support ist bereits ein ticket aufgegeben aber bis sich hier wer meldet....

    Habe hier ein Seperates Thema geöffnet

    Thema
    xxx.xxx.xxx.xxx/cgi-bin/ Automatische weiterleitung Abschalten
    Hallo,

    komme nur noch mit xxx.xxx.xxx.xxx/cgi-bin/ auf mein NAS.
    Möchte aber so zugreifen: http://NAS_IP:8080

    Dürfte dies mit klicken auf Automatischen Router Konfiguration eingestellt haben.
    Stellt sich hier mein A1 Router um oder die eisntellungen vom NAS WEbServer?

    danke
    sascha.bitt


    danke


    Mod: Unnötiges Volltext-/Direktzitat entfernt! :handbuch::arrow: Forenregeln beachten und Die Zitat Funktion des Forums richtig nutzen

    Zitat von binam

    Stimmt, mit Synology wäre das nicht passiert

    Ohne Portforwarding wäre das nicht passiert

    Ohne Zutun der User wäre das nicht passiert

    ...

    ...

    Unfassbar, die Blauäugigkeit vieler User :ziped:

    Ist wie sonst auch, alle anderen sind Schuld. Nur man selbst nicht!

    Mal abwarten, wie so der Langzeitlerneffekt ist. ;)


    Gruss

    Der Langzeiteffekt ist der, dass viele betroffen waren die glaubten alles für die Sicherheit getan zu haben.

    Firmware immer aktuell gehalten, Anti-Viren und Mailware-Remover immer aktuell und regelmäßig laufen lassen.

    Alles abgeschottet was geht und TROTZDEM betroffen sind.


    In dem Fall kamen die Angreifer ja durch die Photo-Station herein, die eine eigene - unbekannte - Hintertür mit Netzverbindung hat. QNAP ist hier der einzige Übeltäter, da Sie niemals auf diese Schwachstelle hingewiesen haben bzw. nie veröffentlicht wurde, dass die Photo-Station einen eigenen Netzwerkzugang nutz.


    Also sollten alle diejenigen die hier großspurig von sich geben wie dumm User sind die ihr NAS ins Netz stellen erst mal überlegen ob sie nicht selbst die Dummen sind bei solchen Sprüchen.

    Wenn keine Ports freigegeben sind, kommt nichts rein, egal was die Photostation macht.

    Jemanden mit Portfreigaben für solche Dienste als dumm darzustellen finde ich ebenfalls nicht richtig, da es häufig aus Unwissenheit passiert. Wenn man aber bereits darauf hingewiesen wurde, dass dies riskant ist, unabhängig von einer Sicherheitslücke in der PS, und user das ignorieren, dann finde ich es OK wenn man von "dumm" spricht.

    Wenn diese "Hintertür" natürlich absichtlich Malware geladen hat, dann ist allein QNAP schuld, aber das bezweifle ich.

    Zitat von MarkoP

    Alles abgeschottet was geht und TROTZDEM betroffen sind.

    Also normalerweise muss man die Photo Station schon selbst so einrichten, dass sie aus dem Internet (ohne VPN) erreichbar ist. Und genau das ist das Problem. Darauf wurde hier im Forum schon unzählige Male hingewiesen und dies schon vor Jahren, lange vor Deadbolt.

    Zitat von MarkoP

    die eine eigene - unbekannte - Hintertür mit Netzverbindung hat.

    Wie kann die unbekannt sein, wenn genau der Port (angeblich Hintertür) wissentlich genutzt wurde, um Bilder mit Bekannten extern zu teilen?

    UPnP könnte das natürlich tun ohne dass der User es weiß, aber darauf wird ja auch immer hingewiesen wenn es um Portfreigaben geht.


    Allerdings weiß ich gar nichts von einer "Hintertür", die CVE sagt nichts dazu... Kann mir diesbezüglich jemand auf die Sprünge helfen?

    So, mir ist nun auch aufgefallen, dass auch ich betroffen bin. Das NAS wurde von mir die 12 Monate nur sperrlich genutzt / gepflegt. Es ist kein externes Backup vorhanden, daher gerne auch bei mir nochmal die üblichen Witze ;-).


    Was mir halt nur auffällt ist, dass ich keinerlei Info bekommen habe bzw. auch keine "Zahlungsaufforderung" ausfindig machen kann. Ich habe das hier (https://forum.qnap.com/viewtop…t=164797&p=822616#p822616) mal durchgespielt, aber ohne Erfolg. Ich würde zumindest mal "meine" BITCOIN-Adresse in Erfahrung bringen, um mögliche weitere Erfolge seitens der Polizei abgleichen zu können.


    Ansonsten bin ich ziemlich ratlos, was ich machen soll, da der imaterielle Wert der jetzt verschlüsselten Daten (vorzugsweise Bilder) extrem hoch ist. Ein "Schmalspur"-Backup über die Adobe-Cloud ist dafür vorhanden, allerdings eben keine Originale.

    Schwierig, wenn man nicht näher eingrenzen kann, wann Du betroffen warst.

    In den "späteren" Deadbolt Wellen war die Transaction ID für das Lösegeld aus jeder verschlüsselten Datei herstellbar, bei der (den?) ersten Wellen war man m.W. auf die Information in der index Datei angewiesen.


    Gruss

    Einfach mal ein paar Dateien durch das Tool jagen und gucken ob Bitcoin Adresse und Lösegeld Betrag gleich bleiben.