Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins

Gebruikers van nas-systemen van Synology klagen over lekken in de DSM-software van het bedrijf. Hackers zouden die misbruiken om de systemen bitcoins te laten minen. Malware zou hiervoor veel cpu-rekenkracht in beslag nemen. Synology onderzoekt de claims.

Verschillende gebruikers melden dat ze hebben geconstateerd dat hun nas trager liep en dat ze na onderzoek de folder PWNED aantroffen op hun systeem. Ook zagen ze dat processen met de aanduiding PWNEDm rekenkracht opsnoepten. Een van hen wist de activiteit te herleiden tot een bitcoinminer en maakt melding van de aanwezigheid van malware die op de nas op zoek gaat naar wachtwoorden en inlognamen.

Synology geeft op Facebook aan het lek te onderzoeken. Tot die tijd zou een stappenplan van een gebruiker hulp bieden, maar het is niet zeker of dit in alle gevallen een einde maakt aan het misbruik. Het lijkt erop dat alle getroffenen verouderde versies van de DiskStation Manager-software van Synology draaiden. Gedupeerden geven aan dat ze dachten dat ze over de laatste versie beschikten, omdat de software gebruikers geen melding geeft als er kleine updates gereedstaan.

Reacties (126)

sprankel 11 februari 2014 14:30

Dit is een nieuwe trend die niet enkel over nas toestellen gaat maar over alles waarmee gemined kan worden. Er zijn hopen computers die meedraaien in het mining verhaal zonder dat de eigenaar er weet van heeft.

Enige voordeel is dat als het om een hoop computers gaat dat de mining pools bans uitdelen. Men ziet bijvoorbeeld een nieuwe user die plots een pak rekenkracht binnenbrengt. Ook valt het op als iemand heel veel clients heeft lopen die afzonderlijk heel weinig rekenkracht geven.
Immers iemand die veel clients zet om zijn rekenkracht te vergroten gaat zich niet bezig houden met huis en tuin computers maar zich richten op een configuratie met het hoogste rendement tov verbruik tov investering (en dan zit je ergens aan 3 vrij dikke GPU's per bak tov 1 budget GPU per bak).

Als iemand verdacht word krijgt hij meestal X tijd om met een verklaring af te komen (bijvoorbeeld een fototje van de mining rig), als er fraude in het spel is antwoorden ze niet en is het meteen duidelijk.

Tevens kan je bij de gekraakte pc's zien met welke mining pool ze bezig zijn en hem daar rapporteren = normaal dezelfde dag nog gebaned of account frozen voor uitbetaling.

!!!TIP voor geïnfecteerde Windows gebruikers, er word normaal ergens een .bat gestart met daarin iets van cgminer.exe --scrypt -o stratum+tcp://ltc.coinat.com:3333 -u miner.1 -p x

De user is belangerijk en de mining pool waarmee hij connecteerd, het paswoord is van de "miner" niet van de user, je kan er dus niet mee aanmelden op de pool zelf. Wel kan je de user doorgeven aan de site/pool!

[Reactie gewijzigd door sprankel op 28 juli 2024 12:08]

Pjotr22 11 februari 2014 14:32

lekker dan.. ik heb een syno maar heb geen flauw benul wat ik nu kan doen om te checken of ik de dupe ben, bovenstaande is echt Arabisch voor mij.
Iemand die in het NL kan uitleggen wat bedoeld wordt met ' even met ssh gekeken' en wat ik daarvoor moet doen? want als ik dit zo lees zou dat de eerste stap moeten zijn.

Ik vond al een paar dagen dat de syno heul traag is...

SED @Pjotr22 • 11 februari 2014 16:37

process is a result of the security vulnerability in 4.3 prior to 3810 update 3. Please backup the configuration file if any, reinstall DSM and restore configuration and update DSM to 3810 update 3.

You can backup configuration in DSM MAin Menu>Backup and Restore>Configuration backup tab.

To reinstall the DSM please follow this tutorial ( part 3)
http://www.synology.com/en-us/support/tutorials/493#t3

After you successfully install the DSM, please go to a Control Panel->DSM update.

van synology support via http://forum.synology.com/enu/viewtopic.php?f=7&t=78993

N8w8 @SED • 11 februari 2014 18:19

Pas op, dat gaat over een ander probleem!
Ja, in dat geval draait er ook stiekem een bitcoin miner, maar de procesnaam verschilt iig, en die is ook van 2-4 weken geleden!
Dus is het ook nog helemaal niet zeker of update 3 dit zou kunnen voorkomen. Update 4 is er ook al een tijdje, en misschien voorkomt die het niet eens.
Tenzij er meer bekend is. Maar in elk geval wijzen jouw links daar niet op.

SED @N8w8 • 12 februari 2014 00:37

inmiddels is er op de facebook pagina een nieuw procesnaam toegevoegd.. ip adres komt uit nederland: 46.244.18.176

Blokken dus die handel.
Overeenkoms tis allemaal bitcoin miners en je hebt gelijk, niet zeker is of ze allemaal hetzelfde ""gat"" gebruiken.

StGermain @Pjotr22 • 11 februari 2014 16:55

Ik ga er vanuit dat je een Windows gebruiker bent:

Op je NAS ga je naar control panel en dan naar Terminal, daar vink je Enable Telnet Service en Enable SSH Service aan en klikt op apply.

Dan ga je naar http://www.chiark.greenen...atham/putty/download.html en download putty

Je start putty en voert het ip adres of de netwerknaam van je NAS in bij Host Name en klikt op open.

Nu geef je de naam van het admin account van de NAS en het bijbehorende paswoord.

Als dit gelukt is kan je kijken of er een gebruiker actief is die PWNED heet met het commando: ps | grep PWNED

Je kan met het commando ls / kijken of er een folder PWNED in de root staat.

Zet voor alle veiligheid nadien de twee services bij Terminal op de NAS terug uit.

Mijn DS212j met de laatste firmware was gelukkig niet geïnfecteerd.

[Reactie gewijzigd door StGermain op 28 juli 2024 12:08]

Patrick_st @StGermain • 11 februari 2014 20:37

Ik heb geen Synology, misschien slaat mijn reactie daarom nergens op maar:

Telnet Service zou ik niet aan zetten. Telnet is niet nodig voor SSH/Putty.

Telnet stuurt het verkeer in leesbare tekst over je netwerk. Op je interne netwerk maakt dat niet heel veel uit (zolang er geen malware ronddwaalt wat netwerkpakketjes bekijkt)
Op openbare netwerken is het een groot veiligheidsrisico.

SSH doet hetzelfde alleen dan met een laagje encryptie er over zodat het niet voor heel de wereld leesbaar is.

Pjotr22 @StGermain • 11 februari 2014 17:23

Kijk dat is heldere taal!

Alle stappen lukken tm wachtwoord invoeren (die hoort bij admin account). Dan sluit dat scherm en gebeurt er niks (zichtbaars)

Maar misschien begrijp ik je niet helemaal; in welke applicatie kan ik kijken op PWNED actief is?

StGermain @Pjotr22 • 11 februari 2014 17:38

@Pjotr22 nadat je je admin account en paswoord van je NAS hebt ingegeven ga je in dat "blanco scherm" dat je dan krijgt in putty aan de slag met de unix commando's die ik gepost heb, die worden dan remote uitgevoerd op je NAS.

Pjotr22 @StGermain • 11 februari 2014 19:20

oh daar gaat het mis; het scherm verdwijnt namelijk na invoeren wachtwoord

Knutselwout 11 februari 2014 13:56

Niet echt slim om een folder PWNED aan te maken en ook nog een service die PWNEDm heet laten draaien. Dat valt toch veel te veel op of vergis ik me nu?

Tio Nordin @Knutselwout • 11 februari 2014 14:15

Check het synology forum. Er wordt wel degelijk het een en ander verborgen. Ook de resourcemonitor wordt aangepast. En een gebruiker (502) toegevoegd. Er zijn genoeg synology-gebruikers zonder voldoende linuxkennis en die niet vaak inloggen op hun NAS (mede omdat Synology o.a. bekend staat gebruiksvriendelijk, ook voor niet-tweakers), dus ik kan me voorstellen dat deze processen toch vaak een tijd onopgemerkt blijven.

musback @Knutselwout • 11 februari 2014 14:04

Lijkt wel of de hackers 'sportief' zijn in die zin van 'oké als je het merkt ben ik ook direct weer weg met excuses'

zoals een dakloze die meteen vertrekt als je hem in je tuinhuis aantreft :-)

Anoniem: 406468 @musback • 11 februari 2014 14:33

Slechte analogie. De hackers zelf zijn namelijk niet zo sportief om de software eraf te halen. Dat het open en bloot te zien is adhv folder en process maakt voor de gebruiker uit, die kan het er dan evt afgooien. Het feit dat het zo open en bloot is maakt het des te makkelijker om de software in zijn totaliteit tegen te gaan, omdat het eerder ontdekt wordt en er dus eerder een patch uitgebracht wordt. Lijkt me eerder een gevalletje laxheid van de hackers.

watercoolertje 11 februari 2014 13:54

Haha wat ongelofelijk kansloos, op de snelste CPU die beschikbaar is schiet het al niet op laat staan op zijn bakie wat juist een CPU uit het onderste segment heeft

Sowieso om Sha-256 coins te gaan minen op een CPU is al dom, pak dan een scrypt munt

Zyppora @watercoolertje • 11 februari 2014 13:59

Eentje niet nee, maar als je 1 miljoen Synology NAS systemen in je botnet hebt die allemaal (zeg) 100 kH/s draaien (geen idee of dat voor sha-256 reeel is), dan is dat toch mooi 100 GH/s waar je geen investerings- of onderhoudskosten aan hebt. En dat zet wel degelijk zoden aan de dijk.

ilaurensnl @Zyppora • 11 februari 2014 14:20

NAS systemen hebben een klein CPU, dus het is reeel om te zeggen dat het 20 - mh/s is.

En inderdaad, maar het zou beter zijn als het gericht was naar computers, die zijn namelijk iets sneller dan nasjes.

Maar inderdaad, gratis = gratis en ik neem aan dat ze denken dat niks gaat gebeuren als ze zo gaan minen, goed mis dus -.-

frankwopereis @ilaurensnl • 11 februari 2014 14:29

Een computer is misschien sneller, maar staat niet 24/7 aan. Daarbij merk je aan een PC dat de performance omlaag gaat, bij een NAS zal dat wel meevallen aangezien je die CPU niet zo zwaar belast (anders had er wel een zwaardere ingezeten).

TWeaKLeGeND @Zyppora • 11 februari 2014 15:54

Zoden aan de dijk? 100GH levert de komende 3 maanden in totaal ongeveer 1 bitcoin op if not less

MILJOEN infecties kan ik wel betere dingen mee doen dan voor 500 euro bitcoins minen

[Reactie gewijzigd door TWeaKLeGeND op 28 juli 2024 12:08]

F-O-C-U-Z @watercoolertje • 11 februari 2014 13:58

Helaas is het niet zo kansloos. Inloggen op een NAS doen mensen vaak niet zo snel op hun werkstation en een NAS staat over het algemeen altijd aan. Alle tijd dus om te minen voordat een gebruiker het doorheeft. Lijkt mij in ieder geval een redelijk kans van slagen te hebben.

Lanithro @watercoolertje • 11 februari 2014 13:59

als je een paar 1000 van die NASjes kan infecteren met die malware kom je denk ik een heel eind. Zeker als je die RACK NAS pakt daar zitten leuke CPU's in.

edit: Typo

[Reactie gewijzigd door Lanithro op 28 juli 2024 12:08]

[Remmes] @watercoolertje • 11 februari 2014 14:15

Het schiet niet veel op maar als jij bijv 1000 NASjes kan besmetten en deze laat minen dan is alles wat je binnenharkt natuurlijk mooi meegenomen, .

RocketKoen @watercoolertje • 11 februari 2014 13:59

Als je zelf de hardware en energie betaalt is het inderdaad stom.
Maar als je 100.000 CPU's kan gebruiken zonder te betalen kan het een leuk centje opleveren.

Anoniem: 415197 @RocketKoen • 11 februari 2014 14:14

Aan de andere kant, die NAS staat toch wel aan. Dus energie kost het je toch. Waarom dan niet bitcoins minen en schenken aan een goed doel?

Edit: uiteraard verbruikt je NAS minder energie in de idle stand. Maar hoeveel minder, dat is natuurlijk de vraag. En ik gok dat dat niet zoveel uitmaakt (dat de harddisks in de slaapstand kunnen maakt voor minen natuurlijk niet uit).

[Reactie gewijzigd door Anoniem: 415197 op 28 juli 2024 12:08]

Goldwing1973 @Anoniem: 415197 • 11 februari 2014 14:24

Omdat een NAS die idle is veel minder stroom verbruikt dan een die 24/7 100% CPU gebruik heeft.
Daarbij lijkt het me ook niet het beste voor de levensduur van de hardware.

Anoniem: 406468 @Anoniem: 415197 • 11 februari 2014 14:30

Mijn mobieltje staat ook de hele tijd aan, albeit in de slaapstand. Dus energie kost het me toch. Kan ik ook net zo goed een miner draaien? Ben bovendien een zeer rijke student (KUCH) dus kan het ook prima veroorloven om geld zomaar weg te geven, goed doel of niet.

In all seriousness, de reden is dus dat het meer energie kost en de kosten daarvan ofwel voor het bedrijf ofwel voor de consument op de rekening komen, laat staan dat je die bitcoins die je eventueel verdient dan ook nog eens weggeeft. Dat is een gevalletje Economics 101, je geeft geld uit én je geeft meer geld uit. Maak je winst? Nope.

T-CM11 @Anoniem: 415197 • 11 februari 2014 15:01

De levensduur van de CPU verkort toch behoorlijk als die constant aan 100% draait, wat niet het geval is bij gewoon "aan staan".
En iedereen mag toch wel zelf beslissen wat ze met hun NAS doen.

Lip @T-CM11 • 11 februari 2014 15:55

Hoe verzin je die onzin? Een verkorte levensduur van de CPU bij een constante load van 100%. Heb je hier een bron van?

BDHowner @Lip • 11 februari 2014 17:18

Het is algemeen bekend dat je hardware minder lang meegaat als deze op 100% gebruikt word. Echter, een CPU is niet heel snel stuk, dat is bijna een zeldzaamheid. 9/10x dat iets met een CPU het begeeft zijn het de soldeerpuntjes (moederbord) etc., maar niet daadwerkelijk de chip zelf die "op" is.

Conzales @T-CM11 • 11 februari 2014 21:54

Niet zolang de temperatuur niet al te hoog oploopt. Als een CPU redelijk koel blijft is het geen probleem om continue 'full load' te draaien.

FreshMaker @Aardwolf • 11 februari 2014 15:01

inderdaad, schenken aan een goed doel is geen probleem MITS het mijn keuze is.

Als ik bepaal dat mijn NAS in zijn idle tijd gaat minen, en de opbrengst door mij wordt geschonken, is er idd geen probleem.
Maar in dit geval is er een stukje software bezig buiten mijn weten, en wensen, en ik kan je bijna garanderen dat de opbrengst NIET naar enig goed doel gaat.

Flytezero @watercoolertje • 11 februari 2014 19:30

Als ik me niet vergis is XPM (primecoin) een coin die je op dit moment alleen met CPU power kunt minen, GPU mining software zit er al wel aan te komen.
Ik kan me voorstellen dat als je een groot aantal NAS systemen op je worker hebt lopen dat dit wel snel kan oplopen.

eymey

11 februari 2014 14:17

Meteen even gekeken op mijn Synology NAS en, ja hoor, de bastards hebben de mijne dus ook al te pakken gehad

.

Ik ben wel benieuwd waar het lek precies uit bestaat. Ik heb weliswaar de management interface open staan van buitenaf.

Dit alleen nog maar via een SSH tunneltje of VPN doen is natuurlijk het meest veilig, maar ondermijnt een hoop van de mogelijkheden van de NAS die ik ook gebruik.

Any way, voorlopig dan toch maar uit.

eggda @eymey • 11 februari 2014 14:23

Waar zit die folder dan precies? Direct in de root? Ik zag gisteren het bericht op het forum, toen ook even met ssh gekeken, maar kon zo snel niets vinden?

eymey

@eggda • 11 februari 2014 14:24

Direct in de root ja. En een "ps | grep PWN" ontmaskert de processen.

hgoor @eymey • 11 februari 2014 15:41

find / -xdev -user 502 (evt. sudo)

eymey

@hgoor • 11 februari 2014 15:43

Thanks voor de aanvulling

. Die is idd voor bestanden die onder deze user zijn gewijzigd.

Whatts @eymey • 11 februari 2014 15:07

Welk type Synology heb je en hoeveel % was je CPU belast? Ik zou wel willen weten of dit effectief de volle 100% is.
Op mijn Synology's heb ik de CPU die een paar % belast is in idle, dus ik heb niet verder gekeken.

eymey

@Whatts • 11 februari 2014 15:22

Ik heb de DS710+.

Ik heb verder niet gekeken naar effectieve belasting (die in resource monitor zou dus sowieso misleidend zijn geweest), hoewel ik gisteravond toevallig wel merkte dat hij wat traag was. Maar goed, ik had ook een flinke SABNZBD job draaiend.

Hoe dan ook, ik heb zo snel mogelijk de boel ge-cleaned volgens de procedure uit de link in het artikel.

Ikke_Niels @eymey • 11 februari 2014 14:23

Even snel gechecked, ben gelukkig pwned vrij

ascent @eymey • 11 februari 2014 15:06

Op z'n minst een fw regeltje voor IPs die er wel bij mogen en de rest dicht is ook wat ik maar heb gedaan... gemak vs beveiliging..

reller 11 februari 2014 14:08

Ik zou er zelf nooit achter zijn gekomen. Uiteraard zou ik wel merken dat de NAS trager zou zijn maar zou de reden niet kunnen achterhalen vrees ik

xleeuwx @reller • 11 februari 2014 14:25

De meesten mensen zullen dan inderdaad met de tijd een nieuwe kopen. Net als wanneer er te veel virussen op een computer staan kopen ze een nieuwe

Clifdon @xleeuwx • 11 februari 2014 17:39

Nouja mijn ervaring is dat het tegen die tijd ook meestal wel nodig is om een nieuwe te kopen. Neemt niet weg dat het inderdaad zo is dat mensen gewoon het apparaat waar ze elke dag mee werken te weinig begrijpen.

Soribaj 11 februari 2014 14:25

Ik heb ook even gekeken maar ben ook PWNED vrij, tenminste op eerste oog. Ik heb zelf geen performance verschil gemerkt. Maar ik vraag me inderdaad ook af waar men dan precies moet gaan kijken? Iemand die hier wat meer licht op kan schijnen?

Tylocke @Soribaj • 11 februari 2014 18:59

Als je geïnfecteerd bent dan heeft het weinig zin om via de resource monitor te kijken. Het beste kan je via putty of soortgelijke producten ssh inloggen op je NAS en dan: ps | grep PWN uitvoeren. Als hij die processen (ik had er 9, 1 master en waarschijnlijk 1 voor elke thread) weergeeft dan zijn ze aan het minen.

Het synology forum waar het Tweakers artikel naar verwijst heeft een vrij goede beschrijving wat je kan doen bij besmetting (ook de ps staat hierin).

ascent 11 februari 2014 15:18

De vraag is nu ook of die synoacl module iets helpt.. Ze zijn weliswaar root geweest maar kun je daarmee automatisch op je volume1?

/dev/vg1000/lv on /volume1 type ext4 (usrjquota=aquota.user,grpjquota=aquota.group,jqfmt=vfsv0,synoacl)

Die synoacl heeft daar ook nog wat over te zeggen en root/admin op syno is niet helemaal 'tzelfde als op een normale linux-server heb ik 't idee. Iemand een idee?

eymey

@ascent • 11 februari 2014 15:29

Geen idee (ik ben niet helemaal bekend met synoacl).

Maar als normale linux 'ssh root' user kan ik gewoon alles doen op mijn /volume1 en /volume2.

Nielsvr 11 februari 2014 13:54

Heb een aantal NAS systemen van Synology in beheer, zowel privé als zakelijk voor klanten. Ik ben benieuwd naar de oorzaak en de betreffende OS versies... heb zelf nog geen "vertraging" gedetecteerd gelukkig.

Bor Coördinator Frontpage Admins / FP Powermod 11 februari 2014 14:07

Onduidelijk is of dit een lek in de synology firmware is of dat het een lek in een (3rd party) package betreft.

Op dit item kan niet meer gereageerd worden.

Nas-systemen van Synology worden via lek misbruikt voor minen bitcoins

Lees meer

Reacties (126)

Sorteer op:

Weergave: