---

@schoepi schrieb:

Und wie soll ich “lösungsorientiert” meinen Provider vom Netz nehmen???

---

Du sollst ja nicht den Provider vom Netz nehmen, sondern deine Geräte - zumindest temporär

@schoepi

Eingrenzung nach dem Ausschlussverfahren ist in einem solchen Fall Best Practice.

Was wäre denn deiner Meinung nach eine lösungsorientierte Vorgehensweise?

Die Sperre die Swisscom da schaltet ist etwas undurchsichtig. So werden diverse Verbindungen gesperrt, während andere noch weiterhin offen sind.

Leider ist die Auskunft welche man vom der Swisscom erhält nur sehr dürftig.

Ich kriegte nur die Folgende Info:

Ungewöhnliche Aktivitäten in Ihrem Netzwerk weisen auf einen Missbrauch oder eine Malware hin.

Weder was als Ungewöhnlich eingestuft wird, noch wann diese Aktivität aufgetreten ist. Konnte mir beantwortet werden. Auch nicht ob es sich um IPv4 oder IPv6 handelt.

Beim ersten mal, habe ich nur den Anschluss entsperrt. Nach ca. 4 Monaten wurde der Anschluss nun erneut gesperrt.

Die Hotline hat mich zu der My Security von Swisscom gedrängt. Ich gebe ihr mal eine Chace, es würde mich jedoch erstaunen wen diese etwas finden würde. Die ersten 2 Geräte wahren jeden falls schon mal negativ.

@Chrigu

Kann es sein das Du die WLAN Verbindung jemand anderem auch noch zur Verfügung stellst, würde man sehen in der Geräteliste von der Internet-Box?

@WalterB Nicht das ich wüste. Da die Sperrung nur sehr selten Auftritt kann der Übeltäter auch nicht durch ein Ausschluss verfahren ermittelt werden. Wen ich etwas konkretere Informationen hätte könnte ich unter Umständen mit dem Sperren gewisser Ports für gewisse Geräte das ganze etwas eingrenzen.

Hallo @schoepi

Wegen der gesperrten Domain, kann ich dort evt einen Tipp geben.

Du hast deine Seite bei einen anderen Hoster, alles kein Problem.

Dein Hoster bereit ja mehr als nur eine Domain.

Wenn di bei deine. HOSTER KEINE EIGENE Fixe IP hast, wird die mit mehren Domains geteilt.

Es kann auch eine andere Domain sei. Welche Mist drauf hat.

Bitte deinen Hoster mal zu prüfen ob nicht seine IP Adresse auf einer Blackliste gelandet ist.

Gruss Lorenz

Mir ist dasselbe passiert. Vor rund 4 Tagen rief ich die Swisscom unter der Nr 0800 800 800 an. Jemand sagte mir, er werde das Problem lösen, aber das werde dauern. Ich soll am Apparat bleiben. Was ich denn geschlagene 52 min (zweiundfünfzig Minuten) lang tat bis ich aufhängte.

Heute rief ich wieder an. Diesmal war eine Dame am Apparat und konnte mir innerhalb von Minuten sagen was zu tun sei. Super. Nur beim Probegalopp meldete die Swisscom ein allgemeines technisches Problem. Also alles nochmals von vorn. Aber später. Schliesslich hat man noch andere Sorgen als mit der Swisscom am Tel. zu hängen.

Wer redet denn da ständig von KI?

Hi zusammen

ich habe das gleiche Problem.

Vor ein paar Tagen wurde das Internet sehr sehr langsam.

Daraufhin bin ich ins Kundenportal und wollte die Störung analysieren lassen.

Dann kam der Hinweis:

Ich habe dann auf “Freischalten” geklickt und alles lief wieder.

Parallel habe ich auf der Synology mittels Antivirus Essentials einen Scan laufen lassen.

Ergebnis “Alles Sauber”.

Jetzt eben wurde der Zugang wieder Gesperrt/Eingeschränkt mit dem Hinweis zum gleichen Gerät.

Jetzt wollte ich wieder entsperren, aber im Center steht, dass es nur mittels Telefon-Kontakt gelöst werden kann.

Wenn ich möchte, ruft man mich innerhalb von 10 Sekunden zurück. Gut, seit, ich glaube fast 1 Stunde ist nichts passiert. Unter 0800 800 800 ist auch niemand zu erreichen.

Mein Internet ist also gesperrt, ich erreiche niemanden und bekomme auch keine weiteren Infos.

Ich lasse gerade nochmals einen Scan laufen…

Kann mir vielleicht jemand helfen?

Hi @Hauseunteuth11,

Hast du irgendeinen Dienst auf dem NAS installiert, der da eine falsche Erkennung auslösen könnte? Ist dein NAS aus dem Internet erreichbar (z.B. als Wiki oder so)?

Falls dein NAS übernommen wurde, gibt es nur noch eine Möglichkeit: Daten (keine Applikationen!) wegsichern, NAS komplett platt machen und neu aufsetzen.

Du erhältst aktuell keinen Rückruf, da die Hotline geschlossen ist:

Mo-Fr 08:00-20:00
Sa 08:00-20:00

LG r00t

Hi @r00t

danke für die Infos.

Ich habe die NAS nun bezüglich des Betriebssystems (hier: DSM/Disk Station Manager) komplett zurückgesetzt.

Nur meine persönlichen Dateien, die auf dem NAS liegen, sind erhalten geblieben.

Alle Pakete, Dienste etc. sind jetzt weg bzw. auf Werkseinstellungen gesetzt.

Dann muss ich wohl bis morgen früh warten…

Werner

Ja, ich hatte via Swisscom DynDns auf die Synology weitergeleitet, damit ich nicht über das QuickConnect von Synology gehen muss, sondern direkt über meine eigene Leitung.

@Hauseunteuth11

Der DynDNS ist nicht das Problem, aber das unverschlüsselte Web-Interface der Syno über Port 5000 direkt aus dem Internet zugreifbar zu machen ist natürlich eine direkte Einladung für jedes Hacker-Nachwuchs-Kid.

Die dauernd im Internet offene Ports suchenden Bots finden so etwas aktuell bereits innerhalb von Minuten und meistens beginnen dann schon innerhalb der ersten Stunde die ersten Eindringungsversuche.

Es kann also sehr gut sein, dass jemand mit einem Passwort-Cracker-Programm direkt über das Login Deines NAS hinweggekommen ist, und damit vollen Zugang auf Dein NAS erlangt hat, damit wäre dann Dein NAS als komplett kompromittiert zu betrachten.

Als erstes würde ich nun mal darüber nachdenken, welche vertraulichen Daten da drauf sind oder waren, und ob Du irgendwelche Schadenvermeidungsmassnahmen wie Sperrungen von anderen Accounts, oder Kreditkarten, oder abhängig davon was da vielleicht an Daten gestohlen worden ist, auch immer vornehmen solltest.

Um das Risiko des ev. Hacks mit dem zusätzlich möglichen Datendiebstahl abschätzen zu können, gehst Du am besten mal vom Worst-Case aus, nämlich dass alle Deine Daten komplett kopiert wurden und nun von Kriminellen, welche Du nie kennenlernen wirst, beliebig missbraucht werden können.

Hatte die Zugriffe geprüft, dass passte alles im Protokoll.

Zusätzlich habe ich den Login Schutz drin, wenn du 5x das falsche Passwort nutzt, wirst du unbefristet gesperrt.

Dazu habe ich pauschal gewisse IP Bereiche auch gesperrt.

Damit hielten sich ungewollte Zugriffe von unbekannten Anschlüssen sehr zurück.

Und noch als Nachtrag:

Falls das Protokoll auf Deiner Syno noch verfügbar wäre, und es nicht schon durch Deine bisherigen “Korrekturversuche” gelöscht worden ist, würde ich das Protokoll mal darauf untersuchen, ob es da Benutzeranmeldungen gibt, welche zeitlich unmöglich von Dir selbst stammen können.

Dies würde natürlich helfen bei einer Risikoeinschätzung des entstandenen Schadens.

Das Web-Interface eines Routers oder eines NAS direkt aus dem Internet öffentlich zugänglich zu machen, ist Security-mässig ein absolutes No-Go, und deshalb ist z.B. auch der Web-Zugriff auf die Internetbox bereits in der Firmware absolut blockiert und man kann wirklich nur über eine zusätzlich abgesicherte VPN-Verbindung aus dem Internet auf das Web-Interface der IB zugreifen.

Genau so, sollte man das auch mit dem Webinterface eines NAS handhaben.

Das Dir im Protokoll selbst nichts aufgefallen ist, gibt übrigens keinerlei Gewissheit darüber was genau passiert ist, denn mit dem vollen Zugriff auf das NAS, kann man selbstverständlich auch jeden verdächtigen Protokolleintrag sofort wieder löschen.

Ich habe auf meinem Rechner, wie auf der NAS zwar persönliche Dinge liegen, aber nichts aus der Kategorie “Kann mir schaden”.

Also Bankdaten etc.

Es wäre dann vielleicht nicht schön ein ungewollter Zugriff, aber es nicht nicht dramatisch.

Kurzes Feedback:

Gestern alles neu eingerichtet.

Nach den aktuellen üblichen Sicherheitsstandards.

Jetzt sollte alles relativ sicher sein.

Hi @Hauseunteuth11

Ich hoffe, mit aktuell üblichen Standards meinst du Zugriff via VPN - und nicht Port 5001?

Ob ich als Angreifer eine Sicherheitslücke via HTTP oder HTTPS ausnutze, spielt mir nicht so eine Rolle.

LG

r00t

Was neben der von @r00t bereits erwähnten VPN-Verbindung für die grundsätzliche Sicherheit der Syno auch noch empfehlenswert ist:

- ersetzen des vorinstallierten Users “admin” durch einen eigenen persönlichen User

- zusätzliches Absichern des Verwaltungs-GUI der Syno durch Einschalten der 2FA, z.B. mittels zusätzlicher Codeeingabe des Google Authentifikators

- falls noch nicht eingeschaltet, aktivieren der Syno-eigenen Firewall und dabei die zugelassenen Zugriffe auf das notwendige Minimum beschränken