Internetzugang wiederholt gesperrt

Mir ist dasselbe passiert. Vor rund 4 Tagen rief ich die Swisscom unter der Nr 0800 800 800 an. Jemand sagte mir, er werde das Problem lösen, aber das werde dauern. Ich soll am Apparat bleiben. Was ich denn geschlagene 52 min (zweiundfünfzig Minuten) lang tat bis ich aufhängte. 

Heute rief ich wieder an. Diesmal war eine Dame am Apparat und konnte mir innerhalb von Minuten sagen was zu tun sei. Super. Nur beim Probegalopp meldete die Swisscom ein allgemeines technisches Problem. Also alles nochmals von vorn.  Aber später.  Schliesslich hat man noch andere Sorgen als mit der Swisscom am Tel. zu hängen. 

Wer redet denn da ständig von KI? 

Hi zusammen

ich habe das gleiche Problem.

Vor ein paar Tagen wurde das Internet sehr sehr langsam.

Daraufhin bin ich ins Kundenportal und wollte die Störung analysieren lassen.

Dann kam der Hinweis:

Ich habe dann auf "Freischalten" geklickt und alles lief wieder.

Parallel habe ich auf der Synology mittels Antivirus Essentials einen Scan laufen lassen. 

Ergebnis "Alles Sauber".

Jetzt eben wurde der Zugang wieder Gesperrt/Eingeschränkt mit dem Hinweis zum gleichen Gerät.

Jetzt wollte ich wieder entsperren, aber im Center steht, dass es nur mittels Telefon-Kontakt gelöst werden kann.

Wenn ich möchte, ruft man mich innerhalb von 10 Sekunden zurück. Gut, seit, ich glaube fast 1 Stunde ist nichts passiert. Unter 0800 800 800 ist auch niemand zu erreichen.

Mein Internet ist also gesperrt, ich erreiche niemanden und bekomme auch keine weiteren Infos. 

Ich lasse gerade nochmals einen Scan laufen...

Kann mir vielleicht jemand helfen?

Hi @Hauseunteuth11,

Hast du irgendeinen Dienst auf dem NAS installiert, der da eine falsche Erkennung auslösen könnte? Ist dein NAS aus dem Internet erreichbar (z.B. als Wiki oder so)?

Falls dein NAS übernommen wurde, gibt es nur noch eine Möglichkeit: Daten (keine Applikationen!) wegsichern, NAS komplett platt machen und neu aufsetzen.

Du erhältst aktuell keinen Rückruf, da die Hotline geschlossen ist:

Mo-Fr 08:00-20:00
Sa 08:00-20:00

LG r00t

Hi @r00t 

danke für die Infos.

Ich habe die NAS nun bezüglich des Betriebssystems (hier: DSM/Disk Station Manager) komplett zurückgesetzt.

Nur meine persönlichen Dateien, die auf dem NAS liegen, sind erhalten geblieben.

Alle Pakete, Dienste etc. sind jetzt weg bzw. auf Werkseinstellungen gesetzt.

Dann muss ich wohl bis morgen früh warten... 

@Hauseunteuth11 

Hast Du irgendwelche Ports von der Internetbox auf das NAS weitergeleitet, oder das NAS in die DMZ-Zone der Internetbox gestellt?

@Werner 

Ja, ich hatte via Swisscom DynDns auf die Synology weitergeleitet, damit ich nicht über das QuickConnect von Synology gehen muss, sondern direkt über meine eigene Leitung.

@Hauseunteuth11 

Der DynDNS ist nicht das Problem, aber das unverschlüsselte Web-Interface der Syno über Port 5000 direkt aus dem Internet zugreifbar zu machen ist natürlich eine direkte Einladung für jedes Hacker-Nachwuchs-Kid.

Die dauernd im Internet offene Ports suchenden Bots finden so etwas aktuell bereits innerhalb von Minuten und meistens beginnen dann schon innerhalb der ersten Stunde die ersten Eindringungsversuche.

Es kann also sehr gut sein, dass jemand mit einem Passwort-Cracker-Programm direkt über das Login Deines NAS hinweggekommen ist, und damit vollen Zugang auf Dein NAS erlangt hat, damit wäre dann Dein NAS als komplett kompromittiert zu betrachten.

Als erstes würde ich nun mal darüber nachdenken, welche vertraulichen Daten da drauf sind oder waren, und ob Du irgendwelche Schadenvermeidungsmassnahmen wie Sperrungen von anderen Accounts, oder Kreditkarten, oder abhängig davon was da vielleicht an Daten gestohlen worden ist, auch immer vornehmen solltest.

Um das Risiko des ev. Hacks mit dem zusätzlich möglichen Datendiebstahl abschätzen zu können, gehst Du am besten mal vom Worst-Case aus, nämlich dass alle Deine Daten komplett kopiert wurden und nun von Kriminellen, welche Du nie kennenlernen wirst, beliebig missbraucht werden können.

Hatte die Zugriffe geprüft, dass passte alles im Protokoll.

Zusätzlich habe ich den Login Schutz drin, wenn du 5x das falsche Passwort nutzt, wirst du unbefristet gesperrt.

Dazu habe ich pauschal gewisse IP Bereiche auch gesperrt.

Damit hielten sich ungewollte Zugriffe von unbekannten Anschlüssen sehr zurück.

Und noch als Nachtrag:

Falls das Protokoll auf Deiner Syno noch verfügbar wäre, und es nicht schon durch Deine bisherigen „Korrekturversuche“ gelöscht worden ist, würde ich das Protokoll mal darauf untersuchen, ob es da Benutzeranmeldungen gibt, welche zeitlich unmöglich von Dir selbst stammen können.

Dies würde natürlich helfen bei einer Risikoeinschätzung des entstandenen Schadens.

Das Web-Interface eines Routers oder eines NAS direkt aus dem Internet öffentlich zugänglich zu machen, ist Security-mässig ein absolutes No-Go, und deshalb ist z.B. auch der Web-Zugriff auf die Internetbox bereits in der Firmware absolut blockiert und man kann wirklich nur über eine zusätzlich abgesicherte VPN-Verbindung aus dem Internet auf das Web-Interface der IB zugreifen.

Genau so, sollte man das auch mit dem Webinterface eines NAS handhaben.

Das Dir im Protokoll selbst nichts aufgefallen ist, gibt übrigens keinerlei Gewissheit darüber was genau passiert ist, denn mit dem vollen Zugriff auf das NAS, kann man selbstverständlich auch jeden verdächtigen Protokolleintrag sofort wieder löschen.

Ich habe auf meinem Rechner, wie auf der NAS zwar persönliche Dinge liegen, aber nichts aus der Kategorie "Kann mir schaden".

Also Bankdaten etc.

Es wäre dann vielleicht nicht schön ein ungewollter Zugriff, aber es nicht nicht dramatisch.

Kurzes Feedback:

Gestern alles neu eingerichtet.

Nach den aktuellen üblichen Sicherheitsstandards.

Jetzt sollte alles relativ sicher sein.

Hi @Hauseunteuth11 

Ich hoffe, mit aktuell üblichen Standards meinst du Zugriff via VPN - und nicht Port 5001? 😉

Ob ich als Angreifer eine Sicherheitslücke via HTTP oder HTTPS ausnutze, spielt mir nicht so eine Rolle. 😁

LG

r00t

Was neben der von @r00t bereits erwähnten VPN-Verbindung für die grundsätzliche Sicherheit der Syno auch noch empfehlenswert ist:

- ersetzen des vorinstallierten Users „admin“ durch einen eigenen persönlichen User

- zusätzliches Absichern des Verwaltungs-GUI  der Syno durch Einschalten der 2FA, z.B. mittels zusätzlicher Codeeingabe des Google Authentifikators

- falls noch nicht eingeschaltet, aktivieren der Syno-eigenen Firewall und dabei die zugelassenen Zugriffe auf das notwendige Minimum beschränken