Aller au contenu

Syno Hacked, Comment Remettre Une Conf Propre ?


Messages recommandés

Bonsoir,

Ma config : Syno DS409+ avec firewall Netasq U30 en frontal.

Les seuls ports habituellement ouverts sur le syno étaient le smtp et l'imaps pour une seule IP.

Les mêmes IP chinoises et colombiennes toquent souvent au Netasq...je suis du genre parano et surveille l'activité réseau du LAN et du WAN et n'ouvre que le strict minimum.

Lors d'un tout récent voyage j'ai eu la mauvaise idée d'ouvrir le port 5001 et le 443 afin de pouvoir consulter mon webmail de façon plus aisée...(avant je devais m'authentifier sur le Netasq) et à mon retour l'horreur....le syno clignote dans tous les sens et il cherche à se connecter vers les mêmes IP chinoises et colombiennes en smtp...et ce de façon permanente...

Un ps en ssh confirme des dizaines de tâches smtp sur le postfix qui a sans doute était compromis (faille apache sur le webmail ?).

J'ai limité les dégâts en autorisant uniquement le syno à faire du DNS et du smtp vers smtp.free.fr...mais bon ce n'est pas une solution....je dois réinstaller une conf propre.

D'où ma question, comment faire ?

Merci pour vos réponses.

Lien vers le commentaire
Partager sur d’autres sites

Comme tu as un U30 (j'ai 4 U70 au taf ;)), commence déjà par configurer un accès VPN PPTP dessus (avec un mot de passe fort : au moins 32 caractères de tous types).

Ça te permettra d'utiliser ton NAS à distance comme si tu étais sur le réseau local (ou presque).

Ensuite pour le NAS, si la configuration actuelle n'est pas trop longue à reproduire je commencerais par réinstaller de DSM histoire d'écraser les dégâts causés.

Sinon il faut chercher manuellement ce qui provoque le dysfonctionnement que tu as constaté, et résoudre le problème soi-même.

Selon la version du DSM que tu utilises, tu peux aussi essayer de sauvegarder la configuration du NAS.

Cependant il se peut que les problèmes que tu as rencontrés soient aussi sauvegardés.

Lien vers le commentaire
Partager sur d’autres sites

Selon la version du DSM que tu utilises, tu peux aussi essayer de sauvegarder la configuration du NAS.

Cependant il se peut que les problèmes que tu as rencontrés soient aussi sauvegardés.

J'ai remis le VPNSSL du Netasq comme ça pas besoin de VPN PPTP, que du web. Ca m'apprendra à ouvrir...

Pour te citer j'ai justement peur de réinjecter des trucs pourris en sauvegardant la conf.

Sinon je crois avoir trouvé la procédure pour resetter le bouzin : http://forum.synolog...Synology_System

Je vais tout refaire à la mano derrière....hmmm :blink:

Peut-être est-ce un script php qui tourne et envoie via le postfix...

Modifié par neeeko
Lien vers le commentaire
Partager sur d’autres sites

Oui je pensais stopper le service mais en fait le Syno déconne 9x sur 10...il ne veut pas rebooter...ça a beau clignoter bleu, ça redémarre pas...je crois que le reset complet s'impose, un mal pour un bien :D

Ce qui est flippant c'est toutes ces IP qui étaient bloqués par le Netasq avant....et maintenant le Syno qui s'y connecte...uniquement en smtp...j'ai de la chance mon serveur n'est pas blacklisté chez les usuels mainteneurs de blacklist. :rolleyes: (mxtoolbox.com)

Update : merde je suis blacklisté par Barracuda....pas de bol. :wacko:

Update 2 : j'ai fait une demande d'unban chez Barracuda, c'est bon. :unsure:

Modifié par neeeko
Lien vers le commentaire
Partager sur d’autres sites

Flippant! J'espere que tu va,trouver l'origine de la faille! Pr contre a la lecture de ton post je me sui demandé si le firewall materiel etait bien necessaire derriere unrouteur avec nat + le FW du syno.. Jveux dire les connexions a l'interface du syno son protegee et le port smtp aussi normalement necessite un mot de passe avec postfix - jveux pas faire le parano mais ton histoire a de quoi faire reflechir! (tu utilisait roudcube en webmail?)

Lien vers le commentaire
Partager sur d’autres sites

une pauv' page avec quelques liens, rien de plus...

Si vous êtes intéressés par les IP à blacklister sur votre syno, je peux vous les donner...

Voici (une partie!) des process en cours sur le syno :


1822 postfix  12260 S    bounce -z -n defer -t unix -u

1824 postfix  12260 S    bounce -z -n defer -t unix -u

1826 postfix  12260 S    bounce -z -n defer -t unix -u

1831 postfix  12260 S    bounce -z -n defer -t unix -u

1833 postfix  12260 S    bounce -z -n defer -t unix -u

1834 postfix  12260 S    bounce -z -n defer -t unix -u

1836 postfix  12240 S    error -n retry -t unix -u

1837 postfix  12260 S    bounce -z -n defer -t unix -u

1839 postfix  12260 S    bounce -z -n defer -t unix -u

1840 postfix  12240 S    error -n retry -t unix -u

1841 postfix  12260 S    bounce -z -n defer -t unix -u

1842 postfix  12260 S    bounce -z -n defer -t unix -u

1847 postfix  12260 S    bounce -z -n defer -t unix -u

1848 postfix  12240 S    error -n retry -t unix -u

1851 postfix  12260 S    bounce -z -n defer -t unix -u

1853 postfix  12260 S    bounce -z -n defer -t unix -u

1855 postfix  12260 S    bounce -z -n defer -t unix -u

1857 postfix  12260 S    bounce -z -n defer -t unix -u

1858 postfix  12260 S    bounce -z -n defer -t unix -u

1861 postfix  12260 S    bounce -z -n defer -t unix -u

1863 postfix  12260 S    bounce -z -n defer -t unix -u

1866 postfix  12260 S    bounce -z -n defer -t unix -u

1867 postfix  12260 S    bounce -z -n defer -t unix -u

1868 postfix  12260 S    bounce -z -n defer -t unix -u

1870 postfix  12392 S    smtp -t unix -u

1871 postfix  12392 S    smtp -t unix -u

1872 postfix  12392 S    smtp -t unix -u

1875 postfix  12240 S    error -n retry -t unix -u

1876 postfix  12240 S    error -n retry -t unix -u

1877 postfix  12240 S    error -n retry -t unix -u

1882 postfix  12240 S    error -n retry -t unix -u

1884 postfix  12240 S    error -n retry -t unix -u

1887 postfix  12240 S    error -n retry -t unix -u

1889 postfix  12240 S    error -n retry -t unix -u

1892 postfix  12240 S    error -n retry -t unix -u

1893 postfix  12240 S    error -n retry -t unix -u

1894 postfix  12240 S    error -n retry -t unix -u

1901 postfix  12240 S    error -n retry -t unix -u

1902 postfix  12240 S    error -n retry -t unix -u

1905 postfix  12240 S    error -n retry -t unix -u

1907 postfix  12260 S    bounce -z -n defer -t unix -u

1909 postfix  12260 S    bounce -z -n defer -t unix -u

1912 postfix  12260 S    bounce -z -n defer -t unix -u

1913 postfix  12240 S    error -n retry -t unix -u

1914 postfix  12260 S    bounce -z -n defer -t unix -u

1916 postfix  12260 S    bounce -z -n defer -t unix -u

1918 postfix  12260 S    bounce -z -n defer -t unix -u

1919 postfix  12240 S    error -n retry -t unix -u

1920 postfix  12260 S    bounce -z -n defer -t unix -u

1921 postfix  12240 S    error -n retry -t unix -u

1922 postfix  12260 S    bounce -z -n defer -t unix -u

1925 postfix  12260 S    bounce -z -n defer -t unix -u

1928 postfix  12240 S    error -n retry -t unix -u

1930 postfix  12260 S    bounce -z -n defer -t unix -u

1933 postfix  12260 S    bounce -z -n defer -t unix -u

1934 postfix  12240 S    error -n retry -t unix -u

1935 postfix  12260 S    bounce -z -n defer -t unix -u

1937 postfix  12260 S    bounce -z -n defer -t unix -u

1939 postfix  12260 S    bounce -z -n defer -t unix -u

1940 postfix  12260 S    bounce -z -n defer -t unix -u

1942 postfix  12260 S    bounce -z -n defer -t unix -u

1943 postfix  12240 S    error -n retry -t unix -u

1944 postfix  12260 S    bounce -z -n defer -t unix -u

1945 postfix  12240 S    error -n retry -t unix -u

1948 postfix  12240 S    error -n retry -t unix -u

1950 postfix  12240 S    error -n retry -t unix -u

1951 postfix  12240 S    error -n retry -t unix -u

1952 postfix  12260 S    bounce -z -n defer -t unix -u

1954 postfix  12260 S    bounce -z -n defer -t unix -u

1956 postfix  12260 S    bounce -z -n defer -t unix -u

1958 postfix  12240 S    error -n retry -t unix -u

1959 postfix  12260 S    bounce -z -n defer -t unix -u

1961 postfix  12392 S    smtp -t unix -u

1962 postfix  12212 S    scache -l -t unix -u

1963 postfix  12392 S    smtp -t unix -u

1970 root		 0 SW   [flush-9:0]

1971 root	 15328 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

1972 root	 13624 S    sshd: root@pts/0

1978 root	  5572 S    -ash

1981 root	  5572 R    ps

2129 root	  1712 S    /sbin/dhcpcd -n eth0 -t 30

2160 root	  2944 S    /sbin/syslogd -S

2165 root	  2944 S    /sbin/klogd

2772 root		 0 SW   [md2_raid5]

3102 root	  9284 S <  /usr/syno/bin/findhostd

4027 root		 0 SW   [kjournald]

4074 root		 0 SW   [flush-9:2]

5561 admin    34140 S    /usr/syno/pgsql/bin/postgres -D /var/services/pgsql

5563 admin    34268 S    postgres: writer process

5564 admin    34140 S    postgres: wal writer process

5574 root	  9704 S    /usr/syno/bin/scemd

6166 root		 0 SW   [usbhid_resumer]

6192 root	 10044 S    /usr/syno/sbin/hotplugd

6201 root	  4348 S    /opt/sbin/squid -f /opt/etc/squid/squid.conf

6206 nobody    6868 S    (squid) -f /opt/etc/squid/squid.conf

6223 root	  5568 S    /usr/sbin/inetd

6226 root	  2948 S    /sbin/getty 115200 console

6231 root	  5568 S    /usr/sbin/crond

6240 nobody    1536 S    (unlinkd)

6385 root	 12592 S    /usr/syno/sbin/synorelayd

6426 root	  2944 S    /bin/sh /usr/syno/mysql/bin/mysqld_safe --datadir=/v

6493 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6494 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6495 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6496 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6497 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6498 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6500 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6501 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6502 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6503 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6504 admin    56088 S    /usr/syno/mysql/libexec/mysqld --basedir=/usr/syno/m

6599 root	  9032 S    /usr/syno/sbin/cupsd -C /usr/local/cups/cupsd.conf

6676 root	 14072 S    /usr/syno/sbin/fileindexd

6687 root	 28288 S N  /usr/syno/sbin/synoindexd

6693 root	 26848 S N  /usr/syno/bin/synomkthumbd

6775 root	 19244 S    /usr/syno/sbin/nmbd -D

6829 root	 24236 S    /usr/syno/sbin/smbd -D

6831 root	 24236 S    /usr/syno/sbin/smbd -D

7782 root		 0 SW<  [kslowd000]

7783 root		 0 SW<  [kslowd001]

7837 root	 26844 S N  /usr/syno/sbin/synomkflvd

7875 root	  2392 S    /usr/syno/mailstation/sbin/saslauthd -a shadow

7887 root	  2284 S    /usr/syno/mailstation/sbin/saslauthd -a shadow

7888 root	  2284 S    /usr/syno/mailstation/sbin/saslauthd -a shadow

7889 root	  2284 S    /usr/syno/mailstation/sbin/saslauthd -a shadow

7890 root	  2284 S    /usr/syno/mailstation/sbin/saslauthd -a shadow

8562 root	 12192 S    /usr/syno/mailstation/libexec/master

8671 root	  9716 S    /usr/syno/mailstation/sbin/dovecot

8692 root	 13784 S    dovecot-auth

8889 postfix  17392 S    qmgr -l -t fifo -u

9192 root	 10260 S    /usr/syno/sbin/sshd

9204 dovecot   9580 S    pop3-login

9205 dovecot   9580 S    pop3-login

9206 dovecot   9580 S    pop3-login

9229 root	 15060 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

9406 root	  2940 S    avahi-daemon: running [KN.local]

9644 root	 65340 S <  /var/packages/AudioStation/target/sbin/synoaudiod

9646 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9647 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9648 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9649 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9650 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9651 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9652 root	 65340 S    /var/packages/AudioStation/target/sbin/synoaudiod

9658 root	 14040 S <  /var/packages/AudioStation/target/sbin/synorcd

9688 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9692 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9693 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9695 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9696 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9697 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9699 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9700 root	 67308 S    /var/packages/MediaServer/target/sbin/dms

9704 root	 10964 S    /var/packages/MediaServer/target/sbin/lighttpd -f /v

9897 root	 17304 S    /var/packages/DownloadStation/target/sbin/scheduler

9903 admin    35272 S    postgres: admin download [local] idle

10062 nicolas   4496 S    /usr/syno/mailstation/sbin/fetchmail -s -f /var/pack

10593 root	 98.5m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

10880 dovecot   9724 S    imap-login

10882 nicolas  10664 S    imap

12205 postfix  12220 S    tlsmgr -l -t unix -u

12258 nobody   98.9m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

12715 nobody   98.8m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

12768 root	 15360 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

12944 root	 15636 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

12991 nobody   98.8m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

13064 nobody   98.7m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

13167 root	 15368 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

13432 nobody   98.5m S    /usr/syno/apache/bin/httpd -DSSL -DHAVE_PHP

13452 root	 15628 S    /usr/syno/apache/bin/httpd -DSSL -f /usr/syno/apache

13763 dovecot   9588 S    imap-login

31689 dovecot   9588 S    imap-login

31819 dovecot   9588 S    imap-login

32326 postfix  12392 S    smtp -t unix -u

32328 postfix  12392 S    smtp -t unix -u

32341 postfix  12392 S    smtp -t unix -u

32343 postfix  12392 S    smtp -t unix -u

32454 postfix  12392 S    smtp -t unix -u

32455 postfix  12392 S    smtp -t unix -u

32456 postfix  12392 S    smtp -t unix -u

32457 postfix  12392 S    smtp -t unix -u

32458 postfix  12392 S    smtp -t unix -u

32463 postfix  12392 S    smtp -t unix -u

32465 postfix  12392 S    smtp -t unix -u

32534 postfix  12392 S    smtp -t unix -u

32535 postfix  12392 S    smtp -t unix -u

32536 postfix  12392 S    smtp -t unix -u

32537 postfix  12392 S    smtp -t unix -u

32538 postfix  12392 S    smtp -t unix -u

32539 postfix  12392 S    smtp -t unix -u

32541 postfix  12392 S    smtp -t unix -u

32542 postfix  12392 S    smtp -t unix -u

32543 postfix  12392 S    smtp -t unix -u

32544 postfix  12392 S    smtp -t unix -u

32545 postfix  12392 S    smtp -t unix -u

32546 postfix  12392 S    smtp -t unix -u

32547 postfix  12392 S    smtp -t unix -u

32600 postfix  12392 S    smtp -t unix -u

32697 postfix  12392 S    smtp -t unix -u

32698 postfix  12392 S    smtp -t unix -u

32699 postfix  12392 S    smtp -t unix -u

32700 postfix  12392 S    smtp -t unix -u

32702 postfix  12392 S    smtp -t unix -u

32703 postfix  12392 S    smtp -t unix -u

32709 postfix  12392 S    smtp -t unix -u

32711 postfix  12392 S    smtp -t unix -u

32725 postfix  12392 S    smtp -t unix -u

32726 postfix  12392 S    smtp -t unix -u

32727 postfix  12392 S    smtp -t unix -u

32728 postfix  12392 S    smtp -t unix -u

32729 postfix  12392 S    smtp -t unix -u

32730 postfix  12392 S    smtp -t unix -u

32758 postfix  12392 S    smtp -t unix -u

32759 postfix  12392 S    smtp -t unix -u

32760 postfix  12392 S    smtp -t unix -u

32762 postfix  12392 S    smtp -t unix -u

32763 postfix  12392 S    smtp -t unix -u

32764 postfix  12392 S    smtp -t unix -u

32765 postfix  12392 S    smtp -t unix -u

32766 postfix  12392 S    smtp -t unix -u

32767 postfix  12392 S    smtp -t unix -u

Modifié par neeeko
Lien vers le commentaire
Partager sur d’autres sites

Après avoir été victime d'une attaque sur le webmail roundcube en v0.4 j'ai fait un upgrade en v0.8rc, toute l'interface a été changée c'est magnifique, ça valait le coup. la v0.4 possède plein de bugs qui peuvent être exploités et subir une injection smtp directement dans Postfix (c'est mon cas). Votre Synology devient un spammeur en masse et utilise des relais smtp chinois, colombiens et brésiliens pour balancer la sauce..

Dans mon cas ce sont plus de 3000 messages qui étaient dans la queue Postfix.

Voici la liste des IPs à blacklister :

190.44.0.0 - 190.147.255.255 (colombia)

114.251.37.0 - 114.251.37.63 (china)

218.15.221.84 - 218.15.221.95 (china)

60.166.0.0 - 60.175.255.255 (china)

61.132.128.0 - 61.132.255.255 (china)

218.66.0.0 - 218.67.127.255 (china)

61.147.0.0 - 61.147.255.255 (china)

222.184.0.0 - 222.191.255.255 (china)

202.104.0.0 - 202.104.255.255 (china)

61.144.60.0 - 61.144.60.255 (china)

59.32.0.0 - 59.42.255.255 (china)

178.138.0.0 - 178.138.127.255 (romania)

46.138.0.0 - 46.138.255.255 (russia)

178.209.106.112 - 178.209.106.127 (russia)

92.125.192.0 - 92.125.255.255 (russia)

92.126.0.0 - 92.126.3.255 (russia)

92.127.0.0 - 92.127.255.255 (russia)

92.127.16.0 - 92.127.31.255 (russia)

200.153.128.0 - 200.153.255.255 (brasil)

91.144.132.0 - 91.144.135.255 (russia)

200.140.0.0 - 200.140.255.255 (brasil)

58.208.0.0 - 58.223.255.255 (brasil)

203.86.0.0 - 203.86.31.255 (china)

61.151.0.0 - 61.151.255.255 (china)

221.1.22.0 - 221.1.220.255 (china)

221.192.0.0 - 221.195.255.255 (china)

218.7.0.0 - 218.18.255.255 (china)

94.24.40.0 - 94.24.47.255 (romania)

46.45.144.0 - 46.45.151.255 (turkey)

A bon entendeur...

Lien vers le commentaire
Partager sur d’autres sites

Un petit up et pas des moindres sur le hack de mon Syno.

Depuis l'incident je n'ai pas réinstallé et je voulais voir le comportement du serveur Postfix. Seul le port smtp est ouvert et NATté sur le DS409+.

Quelle belle surprise de constater que mon Postfix reçoit à présent des ordres au travers du protocole smtp depuis la Roumanie.

Le log du Netasq m'indique que l'IP 95.140.125.124 s'est connecté vers 16h et a donné l'ordre au serveur mail d'envoyer un email de la part de jobs@careerbuilder.com à un certain richie.machinchose@yahoo.com.

Heureusement qu'en OUT il est juste autorisé à se connecter au smtp de free qu'il utilise en relai et pas directement sur les MX de yahoo et autres sinon je serais blacklisté depuis longtemps.

Donc un beau resumé, un hack sur roundcube/apache qui a débouché sur un Postfix compromis recevant des ordres de l'extérieur. Là on peut dire que je suis bon pour une réinstall totale.

Le support Synology n'a bien sûr rien trouver d'anormal puisqu'ils se sont contentés de constater qu'après l'effacement par mes soins de 3000 mails bloqués dans la queue Postfix, il en restait quelques uns et qu'il fallait pas s'inquiéter...autant dire qu'ils n'ont rien cherché du tout...et que leur investigation a duré 5 mins montre en main. Pas glop.

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.