Ja, ich hatte via Swisscom DynDns auf die Synology weitergeleitet, damit ich nicht über das QuickConnect von Synology gehen muss, sondern direkt über meine eigene Leitung.
Der DynDNS ist nicht das Problem, aber das unverschlüsselte Web-Interface der Syno über Port 5000 direkt aus dem Internet zugreifbar zu machen ist natürlich eine direkte Einladung für jedes Hacker-Nachwuchs-Kid.
Die dauernd im Internet offene Ports suchenden Bots finden so etwas aktuell bereits innerhalb von Minuten und meistens beginnen dann schon innerhalb der ersten Stunde die ersten Eindringungsversuche.
Es kann also sehr gut sein, dass jemand mit einem Passwort-Cracker-Programm direkt über das Login Deines NAS hinweggekommen ist, und damit vollen Zugang auf Dein NAS erlangt hat, damit wäre dann Dein NAS als komplett kompromittiert zu betrachten.
Als erstes würde ich nun mal darüber nachdenken, welche vertraulichen Daten da drauf sind oder waren, und ob Du irgendwelche Schadenvermeidungsmassnahmen wie Sperrungen von anderen Accounts, oder Kreditkarten, oder abhängig davon was da vielleicht an Daten gestohlen worden ist, auch immer vornehmen solltest.
Um das Risiko des ev. Hacks mit dem zusätzlich möglichen Datendiebstahl abschätzen zu können, gehst Du am besten mal vom Worst-Case aus, nämlich dass alle Deine Daten komplett kopiert wurden und nun von Kriminellen, welche Du nie kennenlernen wirst, beliebig missbraucht werden können.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Hatte die Zugriffe geprüft, dass passte alles im Protokoll.
Zusätzlich habe ich den Login Schutz drin, wenn du 5x das falsche Passwort nutzt, wirst du unbefristet gesperrt.
Dazu habe ich pauschal gewisse IP Bereiche auch gesperrt.
Damit hielten sich ungewollte Zugriffe von unbekannten Anschlüssen sehr zurück.
Und noch als Nachtrag:
Falls das Protokoll auf Deiner Syno noch verfügbar wäre, und es nicht schon durch Deine bisherigen “Korrekturversuche” gelöscht worden ist, würde ich das Protokoll mal darauf untersuchen, ob es da Benutzeranmeldungen gibt, welche zeitlich unmöglich von Dir selbst stammen können.
Dies würde natürlich helfen bei einer Risikoeinschätzung des entstandenen Schadens.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Das Web-Interface eines Routers oder eines NAS direkt aus dem Internet öffentlich zugänglich zu machen, ist Security-mässig ein absolutes No-Go, und deshalb ist z.B. auch der Web-Zugriff auf die Internetbox bereits in der Firmware absolut blockiert und man kann wirklich nur über eine zusätzlich abgesicherte VPN-Verbindung aus dem Internet auf das Web-Interface der IB zugreifen.
Genau so, sollte man das auch mit dem Webinterface eines NAS handhaben.
Das Dir im Protokoll selbst nichts aufgefallen ist, gibt übrigens keinerlei Gewissheit darüber was genau passiert ist, denn mit dem vollen Zugriff auf das NAS, kann man selbstverständlich auch jeden verdächtigen Protokolleintrag sofort wieder löschen.
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Ich habe auf meinem Rechner, wie auf der NAS zwar persönliche Dinge liegen, aber nichts aus der Kategorie “Kann mir schaden”.
Also Bankdaten etc.
Es wäre dann vielleicht nicht schön ein ungewollter Zugriff, aber es nicht nicht dramatisch.
Kurzes Feedback:
Gestern alles neu eingerichtet.
Nach den aktuellen üblichen Sicherheitsstandards.
Jetzt sollte alles relativ sicher sein.
Ich hoffe, mit aktuell üblichen Standards meinst du Zugriff via VPN - und nicht Port 5001? 
Ob ich als Angreifer eine Sicherheitslücke via HTTP oder HTTPS ausnutze, spielt mir nicht so eine Rolle. 
LG
r00t
4b 65 69 6e 65 20 4d 61 63 68 74 20 64 65 72 20 6c 65 67 61 63 79 20 49 50 21
Was neben der von @r00t bereits erwähnten VPN-Verbindung für die grundsätzliche Sicherheit der Syno auch noch empfehlenswert ist:
- ersetzen des vorinstallierten Users “admin” durch einen eigenen persönlichen User
- zusätzliches Absichern des Verwaltungs-GUI der Syno durch Einschalten der 2FA, z.B. mittels zusätzlicher Codeeingabe des Google Authentifikators
- falls noch nicht eingeschaltet, aktivieren der Syno-eigenen Firewall und dabei die zugelassenen Zugriffe auf das notwendige Minimum beschränken
Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
ein Jahr später
Das selbe geschiet bei und und dies in den letzten 3 Monaten. Ohne irgend welchen Support zumindest wurde uns ein euer Router zu gestellt. Aber das Problem ist weiterhin nicht gelöst. Bei den lästigen Telefonen wird einem immer nur gesagt das wir ein verrseuchtes Gerät haben aber dies ist nach reichlicher Suche und Prüfungen nicht richtig. Also was soll das ganze nur weil eine KI es so sieht wird nicht reagiert und behauptet es liege an Kunden. Sorry das geht gar nicht.
SC-Client Bleibt noch Team Viewer, das auf der Mehrheit der Geräte installiert ist, aber diese hoch professionelle Software ist für mich ausserhalb jedes Verdachts.
Da wäre ich mir nicht so sicher. Teamviewer und ähnliche Software verwende ich aus bekannten Sicherheitsgründen nicht, genau so wie ich auch Twitter, Facebook & Co auf keinem Smartphone nutze. Ich verwende nur Threema, das sehr sicher ist und auch vom Bund im Verkehr mit Botschaften usw. verwendet wird und auch beim Militär die einzige erlaubte App dieser Art ist
Ich nutze nun seit über 20 Jahren das Swisscom Internet und hatte noch nie irgend eine Sperre erlebt. Auch mit dem Service am Telefon war ich immer sehr zufrieden und es fand sich immer schnell eine Lösung bei den seltenen Problemen mit dem Internet, Blue-TV und den mobilen Geräten. Da bin ich von anderen Anbieter, die ich von Swisscom nutze, mehr schlecht als recht halfen, anderes gewohnt. Das war auch der Grund des Wechsels damals zu Swisscom.
Swisscom sperrt sicher keine Internetzugänge einfach nur so zum Spass.
Lori-77 Denn nicht jede APP welche man installiert macht auch das was sie vorgibt. Evt macht sie in Hintergrund Dinge von der du nichts wissen solltest.
Richtig, zum Beispiel ist auch die TEMU-App unter Verdacht geraten, zuviele Daten abzusaugen. Irgendwie muss ja die zu billige Ramschware auch finanziert werden, z.B. mit Handel gestohlener Daten.