Was tun wenn das NAS gehacked wurde?

  • Zunächst muss die Frage geklärt werden, wie man einen Hackerangriff erkennen kann! Sollte sich das NAS oder der PC nicht in gewohnter Weise verhalten, kann ein Blick in die Logdateien eventuell Aufschluß über einen potentiellen Angriff geben, jedoch könnten auch Hardwaredefekte in Frage kommen.


    Bei der Auswertung der Logfiles ist eigentlich interressanter, was man nicht sieht, da ein erfolgreicher Hacker sicher seine Spuren verwischen wird. Wenn in einer ganzen Reihe von Logeinträgen plötzlich Sprünge in den Zeitsstempeln auftreten, könnte das ein Indiz für die Löschung von Einträgen sein.
    Auch ein erfolgreicher Login in einer Zeit wo man definitiv geschlafen hat oder nicht zu Hause war, könnte ein guter Hinweis sein :)
    Ob der PC oder das NAS erfolgreich gehacked wurde, wird sich sehr wahrscheinlich nur dem professionellen Forensicker erschließen, daher hier einige Tipps:


    Das NAS wurde kompromittiert:
    Zunächst solltet Ihr, sofern nicht vorhanden, eine Datensicherung (möglichst auf Datenträger die Ihr an jedem PC auslesen könnt!) erstellen und anschließend die Festplatte(n) des NAS herausbauen. Nun schließt Ihr die Festplatte an euren PC an (entsprechende USB-Adapter gibt es schon sehr preisgünstig) und löscht alle Partionen, optimal ist es, mit einem Cleaningtool die Platte mehrfach zu überschreiben, damit mögliche Rückstände von Viren, Trojanern und Rootkits ausgeschlossen werden können. Nun kann die Platte bzw. die Platten zurück in NAS gebaut werden und das NAS mit dem Finder neukonfiguriert und eingerichtet werden. :!: Wichtig, bevor Ihr die Daten zurückkopiert, stellt sicher, dass Euer PC "sauber" ist und Ihr einen aktuellen Virenscanner installiert habt! Kopiert die Daten nicht direkt sondern immer über den Umweg PC mit Virenscanner zurück aufs NAS :!:
    Nun sollte das NAS wieder Sauber sein!


    Der PC wurde kompromittiert:
    Zunächst wieder der Schritt einer Datensicherung auf ein auf allen Systemen lesbaren Datenträger. Dann Festplatte formatieren und OS neu installieren, System komplett aktualisieren und Virenschutz installieren (aktuelle Virensignatur versteht sich von alleine). Nun mit aktivierten Virenschutz die Daten aus der Sicherung wiederherstellen.


    Der Router wurde kompromittiert:
    Hier sollte der erste Schritt sein, neue Zugangsdaten des Providers anfordern! Wenn diese da sind, Router in den Auslieferungszustand zurücksetzen und gem. Anleitung mit den neuen Zugangsdaten einrichten und ein neues Passwort vergeben. Wenn der Router wieder funktioniert im Internet nach bekannten Sicherheitslücken des Routers suchen und versuchen diese (sofern welche gefunden wurden) mittels Firmwarupgrade zu schließen.


    Warum so restriktiv die Neuinstallation?
    Wann immer der Verdacht besteht, das ein System kompromittiert wurde, können erst nach der Neuinstallation sichere Aussagen zum Zustand des Systems getroffen werden (bis zu dem Zeitpunkt wo die Daten wiederhergestellt werden!). Jeder andere Zustand lässt die (fortdauernde) Anwesenheit eines Hackers zu, was einem unsicheren Gerät gleichkommt.


    Grundsätzlich sollten nicht für alle Geräte die gleichen Passworte genutzt werden! Passworte sollten möglichst komplex (also min. je ein Zeichen aus folgenden Gruppen beinhalten: Groß-, Kleinbuchstaben, Ziffern und Sonderzeichen) und je nach genutztem System eine bestimmte Mindestlänge nicht unterschreiten. Hierbei streiten sich die gelehrten, ob das optimale Passwort 10 oder doch besser 36 Zeichen hat. Wenn es komplex genug ist, mögen u.U. auch nur 6 Zeichen reichen, meine Empfehlung liegt irgendwo dazwischen, abhängig davon ob ein System von Internet aus erreichbar (> 10) ist, oder nicht ( ggf. < 6).