Bonsoir,
Cambriolage de mon NAS. Les photos et vidéos de ma fille et des tonnes de papiers administratifs disparus.
A la place : "contact moi si tu veux votre documents.txt" avec un email à l'intérieur sur chaque répertoire.
Le mec me demande 8K€ pour tout me rendre.
Trois sujets :
1) Le risque d'usurpation d'identité. Ca, je traite avec la police.
2) Puis-je récupérer mes données ? il s'agit d'un Syno DS 414. Le mec a utilisé une faille du compte guest, donc il a juste aspiré les fichiers puis les a deletés.
Y a-t-il un moyen de récupérer la data ? car je ne connais pas les systèmes de fichier des NAS Syno, mais il y a bien les données à un endroit et la file allocation table à un autre non ? donc fondamentalement, le mec a juste supprimé la FAT, pas les fichiers non ? quelqu'un qui s'y connait pourrait m'aider ?
3) J'ai récup les logs pour comprendre d'où ça venait, voici les items dont je sais qu'ils s'agit du pirate :
INET(IP:81.28.167.40)
QLUBIC(IP:41.100.153.97)
QLUBIC(IP:41.100.174.69)
QLUBIC(IP:41.100.181.140)
QLUBIC(IP:41.100.143.130)
NEW(IP:81.28.164.54)
QLUBIC(IP:41.100.129.66)
RAMATTANGAZA(IP:95.13.81.94)
OBS01(IP:181.196.27.91)
QLUBIC(IP:41.100.203.193)
Dis-moi K-net, une chance que tu puisses m'aider sur la base de ces éléments ?
Bonsoir
Dur...
Il parait que le support Synology est très bon... tu as essayé de les joindre? Ils devraient pouvoir t'aider.
Bon courage
salut
je ne vais pas pouvoir beaucoup t'aider car non pro du dispositif mais j'ai comme toi un syno et il me semblait qu'effectivement il y avait une faille mais qu'avec les MAJ récentes ce n'était plus possible ce genre de déconvenue ..à moins que ce soit une autre faille !! avais tu fais tes MAJ ?j'ose imaginer que oui ...perso ce n'est que des sauvegarde de job mais ça me gonflerais de subir ce type d'attaque , surtout qu'au niveau sécurité je dois être au niveau maternelle ... :-[
Meme un NAS faut lui faire un backup periodique, en reseau, ou local sur p.ex bande DLT, c'est la seule facon de récuperer tes données en cas de crash complet du NAS, le RAID t'immunise que partiellement contre un crash disc, mais j'ai vu un client compètement desepèré suite a la perte de toutes ses données de comptabilité, il pensait etre imunisé contre ce genre "d'accident", mais le crash du controleur a tout corrompu, c'est irrécupérable... :(
Dans tous les cas, ne cede pas au chantage, le pourri qui a fait ca n'a surement rien backupé, mais juste effacé les fichiers...
ça veut donc dire qu'il faut un NAS pour sauvegarder ton NAS quoi ...c'est logique mais bon ...
On ne trace pas ce que vous faites avec votre connexion, donc non, on ne peut rien faire.
Faut regarder les logs.
Mais il me semble avoir déjà vu passer sur le net ce genre de façon de faire, avec le .txt
Citation de: graphisketch le 27 Février 2015 à 21:38:39
ça veut donc dire qu'il faut un NAS pour sauvegarder ton NAS quoi ...c'est logique mais bon ...
Un remote backup "online" chez un fournisseur c'est pas trop cher, maintenant pour des donnés sensibles, ca se fait sur des bandes DLT que stocks pas au meme endroit que ton NAS.
Lionel, Contacte quand meme le support Syno, tes fichers sont peux etre toujours dessus, mais juste inacessibles, je connais pas assez bien les Syno pour te donner un conseil.
Citation de: miky01 le 27 Février 2015 à 22:32:01Un remote backup "online" chez un fournisseur c'est pas trop cher, maintenant pour des donnés sensibles, ca se fait sur des bandes DLT que stocks pas au meme endroit que ton NAS.
oui il est vrai que ce n'est que du bon sens et les couts actuels ont pas mal baissés , ce qui laisse à penser que concernant une entreprise cela devrait être intégré dès le départ de la mise en place de la structure info..
Remote backup chez un fournisseur ? Il te faut donc choisir qui va lire tes données entre la NSA, le gouvernement français ou un de leurs alliés :S
En attendant qu'un pote digne de confiance ait la fibre, je sauvegarde en local sur un disque USB (rsync). Quand je pourrai, ce sera sauvegarde croisée avec cryptage.
Il faut te demander combien valent tes données.... Les ransomware sont assez efficaces au niveau cryptage et tu as peu de chance de retrouver tes données.
Techniquement il y a souvent pas grand chose a faire. Fait des recherches...
Si tu veux revoir tes fichiers, tu risque de devoir payer.... Il y a un certain nombre d'article sur le net avec des témoignages. Les groupes qui pratiquent ce genre d'extorsion sont souvent assez reglos. Ils veulent que tout le monde sache que quand on paye on retrouve ses données. C'est leur business....
Tu peux même souvent négocier. 8k pour des données perso c'est trop cher. Tu peux peut etre faire baisser la note.... en négociant
C'est con. je sais...
C'est quoi la faille qui a été utilisée? Je ne retrouve rien sur google en cherchant "contact moi si tu veux votre documents.txt" .... T 'as trouvé quelque chose ?
Je trouve bizarre qu'il ait téléchargé toutes tes données. C'est pas la méthode normal car le pirate devrait etre capable de stocker tout ca chez lui. C'est pas économiquement viable.
T'as des preuves qu'il a pas tout effacé et qu'il bluffe ?
Et pour ce qui est de la sauvegarde, je conseille crashplan. En mode gratuit ça permet de faire des sauvegarde chez des "amis". Tout est crypté (en tout cas c'est ce qui est vendu....)
Si tu payes tu peux aussi sauvegarder "dans le cloud". Taille illimité. C'est multi plateforme (windows, mac, linux, NAS ...)
Perso je sauvegarde toutes mes machines entre elles et je paye pour sauvegarder le NAS dans le cloud (ouai j ai pas peur de la NSA...)
L'interface est ultra simple et apres 1 an d'utilisation je peux dire que c'est TRES FIABLE.
Petit truc simple : Peux-tu vérifier (à l'aide d'un df -h par exemple), l'espace occupé et libre sur ton Syno ? S'il y a une grosse variation vers le bas, les données ont effectivement disparues (les photos et vidéos, ça prend pas mal de place). Tu sauras si les données sont toujours là, sous quelque forme que ce soit.
Avec un windirstat ou équivalent syno, tu peux même essayer de retrouver les plus gros répertoires pour voir s'ils ne contiennent pas justement une ou plusieurs archives inconnues.
Il a supprimer les fichiers ? Tu peux récup si il a fait un formatage rapidos.
Je ne sais pas si ça marche avec tous les formats, mais en général le formatage rapide / suppression fichier enlève juste "l'index" et donc ton fichier est encore présent. Tu as certains logiciels qui retrouvent ces fichiers (Tu n'auras pas le nom, le format, ...)
Ai-je raison ?
> je ne connais pas les systèmes de fichier des NAS Syno,
C'est de l'ext4. Donc tu dois pouvoir utiliser les soft sous linux. J'ai regardé un coup sur google il y a quelques document la dessus....
Ca demande quelques connaissance quand meme.
Recup le RAID sur un linux
https://www.synology.com/en-us/knowledgebase/faq/579 (https://www.synology.com/en-us/knowledgebase/faq/579)
Apres il faut un autre soft pour faire le "undelete"
A la suite de ce post, je viens de faire un rsync aussi vers un ks ovh lol
C'est clair, ce genre de pirates sévissent sur des milliers de clients en meme temps si une faille est découverte, et ils vont pas perdre de l'agent et beaucoup de temps en récupérent tes datas, sachant que seuls qquns vont cèder a ce chantage...
Si tu backup sur des sites comme OVH, ca coute pas cher, mais comme dit Pierre, pas de soucis pour des photos de famille, mais des données sensibles, perso je le ferais pas quand ont sait que tout est surveillé sur le net.
Tous les sites de hostings pour des gros clients backup les donnés sur un site différent (et sur des lignes dediées) en cas de destucton du site, et un 2eme backup est fait sur bandes stocké sur un 3eme site... Ca coute tres cher, mais justifié pour une entreprise qui peux pas se permettre de perdre des millions en qques secondes.
Pour un particulier, tu peux avoir une solution fiable pour pas trop cher.
A eviter c'est le backup que tu pose sur ton NAS, en cas de vol ou incendie, tu perd les deux :)
l'idée d'acheter deux NAS identiques et d'en poser un chez un pote (de confiance ou alors ta grand mère t'es tranquille ;)) me parait une très bonne idée .Il suffit qu'il ait lui aussi la fibre ...Si tout est crypté même s'il fouine à l'inferieur il ne verra rien... ;)
Encore une fois aller voir une coup sur http://syskb.com/sauvegarder-tout-votre-ordinateur-gratuitement-et-automatiquement-avec-crashplan/ (http://syskb.com/sauvegarder-tout-votre-ordinateur-gratuitement-et-automatiquement-avec-crashplan/)
(et je fais pas souvent de la pub pour un logiciel proprietaire....)
K-Net peut éventuellement proposer un espace backup
Bonjour,
Bon alors clairement je dois pouvoir récup mes données vu qu'il est passé par le compte guest en CIFS. Il a juste draggé, puis supprimé les données puis remplacé par un fichier.
Mais bon, il faut utiliser extundelete (partition des syno = ext4) sur un raid 5. Comme je n'y comprends rien en linux, clairement, je ne vais pas me lancer dans l'aventure.
Connaissez-vous une entreprise qui pourrait me faire ça ?
Merci,
Un K-Netien va bien t'aider !
Citation de: Damien le 28 Février 2015 à 10:22:43
K-Net peut éventuellement proposer un espace backup
De 6To?
A quel tarif?
À réfléchir notamment avec des fonctionnalités pour faire du rsync facilement.
J'avoue que l'idée mérite d'être étudiée^^
+1 ..à savoir quand même que Hubic d'OVH est à 1€/mois pour 100 Go et 10e/mois pour 10 To (et éventuellement gratuit pour 25 Go et déjà 25 G de photos perso ça en fait pas mal ) par contre je n'ai rien vu si on a 200 Go ,est ce simplement 2€/mois (cela m'étonnerait) ...Cette solution est à creuser avant que K-net nous fasse une propale ! :)
Oep mais coté offre, dans mon cas, rien qui me correspond. 100Go pas assez, 10To trop. Un ou deux To me suffiraient largement, j'ai à l'heure actuelle 360Go de backup.
L'avantage qu'on aura par rapport à OVH est la vitesse vu qu'on restera en "interne".
Mais les tarifs seront durs à tenir face à crashplan et son stockage illimité à 4$/mois (si on souscrit 4 ans, il est vrai...)
Si vous pouviez avoir la gentillesse de discuter ailleurs de vos trucs sans rapport avec mon problème, ça m'aiderait peut-être à avoir des gens qui m'aident :(
Désolé d'être un peu désagréable, mais j'ai le sentiment d'avoir été cambriolé et d'avoir des gens que j'appelle pour m'aider qui discutent football dans ma maison...
Personne ne connait une entreprise qui réaliserait ça ?
tu as raison
veux tu bien accepter nos excuses ..
perso je travaille avec deux gars (passionnés et passionnant)" qui me sortent de pas mal d'ornières niveau info .
je ne sais pas s'ils pourront t'aider mais voici l'adresse http://www.nettic.fr/ (http://www.nettic.fr/) et tu demandes Christophe , c'est le Boss (ou Fabrice ) de la part de Graphisketch (ils feront normalement le rapprochement ce sont des potes) par contre rien n'est sur ...mais tu peux toujours essayer ils m'ont aidé à récupérer des données corrompues il y a quelque temps de cela..et eux pourront surement te donner d'autres pistes.
Citation de: Lionel le 28 Février 2015 à 18:33:10
Personne ne connait une entreprise qui réaliserait ça ?
contacte directement le Support Synology (comme plein de personne l'ont déjà dit plus haut !) !
Ils sont très pro, et vont très probablement t'aider, et gratuitement !
Citation de: Lionel le 28 Février 2015 à 18:33:10
Si vous pouviez avoir la gentillesse de discuter ailleurs de vos trucs sans rapport avec mon problème, ça m'aiderait peut-être à avoir des gens qui m'aident :(
On comprend ta frustration, mais si ce post peux aussi faire prendre conscience a d'autres personnes de l'imortance de sauvegarder ses données, c'est benefique et utile pour tous.
Si tu veux des adresses de boites qui font du recovery, je peux t'en donner, mais le prix est exorbitant, pour un disc de laptop crashé, on a payé plus de 3000€.
Donc commence par contacter le Support Synology, regarde si ils ont un forum, et pose la meme question sur le forum http://www.libellules.ch (http://www.libellules.ch) ou il y a des gas tres fort.
Citation de: Damien le 28 Février 2015 à 16:17:24
L'avantage qu'on aura par rapport à OVH est la vitesse vu qu'on restera en "interne".
Vous avez quoi comme NAS ?
Hello,
Je suis en train de me pencher sur la question NAS Syno,
Dés que mon achat sera fait et configuré, je suis disposé à proposer de la volumétrie si certains me propose de même un peu d'espace chez eux.
Mais par contre, avant cela, et pour éviter les heures de recherche, pensez-vous que cette communauté pourrait profiter de ces événements afin de proposer un tuto visant à sécuriser ses données ? En local avec son NAS, mais aussi vu "comment faire une partition crypté dans le NAS du copaing K-net", pour éviter que le copaing K-net ait accès aux photos de vacances en mode Borat ... ::)
S'il n'y a pas et que des personnes sont toujours intéressé, j'essayerai de le faire avec mes maigres connaissances...
Mais déjà en attendant.. faut que je commande mon DS415+ et mes 4x6To ...
a+
Lionel: Juste pour etre sur ... .Tu as vu qu'il ne faut plus utiliser ton NAS ? Ne plus l'allumer du tout... Pour récupérer tes fichiers la personne qui va faire cela, va sortir tes disque du NAS et les monter sur un autre PC.
Chaque fois que tu allumes le NAS ca reduit tes chances de recuperer des données.
Regis
Citation de: Katana le 01 Mars 2015 à 21:08:19
Mais par contre, avant cela, et pour éviter les heures de recherche, pensez-vous que cette communauté pourrait profiter de ces événements afin de proposer un tuto visant à sécuriser ses données ? En local avec son NAS, mais aussi vu "comment faire une partition crypté dans le NAS du copaing K-net", pour éviter que le copaing K-net ait accès aux photos de vacances en mode Borat ... ::)
Les premières règles de sécurité sur un NAS Synology
https://www.synology.com/fr-fr/knowledgebase/tutorials/478?q_id=478 (https://www.synology.com/fr-fr/knowledgebase/tutorials/478?q_id=478)
Il faut aussi changer les ports par défaut, désactiver l'utilisateur GUEST.
Mais certains seront certainement plus compétents que moi pour décrire toutes les actions à mener pour sécuriser un NAS
Jérôme
Salut,
En dehors des règles de sécurité et autre solution de backup et étant moi même fervent utilisateur de synology depuis quelques années (maintenant sous Xpenology), je te propose
J'espère que ton nas est coupé depuis l'attaque sinon tu risque de supprimer tes fichiers (et encore synology à sa propre partition système différent du volume créer pour l'utilisateur)...
Débranche ton nas, récupère tes disques durs et branche les sur un pc linux. L'avantage des Synology c'est que le Raid est logiciel donc remontable sur une distrib unix avec un mdadm.
Tu peux suivre ce tuto très bien fait pas synology : https://www.synology.com/en-us/knowledgebase/faq/579 (https://www.synology.com/en-us/knowledgebase/faq/579)
Ensuite, il vas falloir s'armer de patience, le structure de stockage des fichiers sous unix est très différente de windows. En gros faut aller à la pêche à la recherche de mot clée, de type de fichier cible, de taille de fichée ect.. Il faut savoir ce que tu cherche à récupérer comme document (nom, taille, type...)
Mais apparemment photorec est assez userfriendly et performant. Ca reste du brutforce, donc long, mais bon http://doc.ubuntu-fr.org/photorec. (http://doc.ubuntu-fr.org/photorec.)
J'espère que tu pourras récupérer tes photos et autre documents.
Pour la suite, arrêté de mettre vos nas en dmz avec des config par défaut, c'est le pire scénario pour vos données...
Passer par du haproxy pour brouiller les pistes, désactiver tous les comptes par défaut (dont le admin) changer les ports par défaut par d'autre.
Pour les backup, synology à publié une nouvelle version beta de Cloud sync qui permet de faire du backup unidirectionel crypté vers du onedrive, google drive, hubic ou webdav ;) ca vas pas mal simplifier l'utilisation des 10,20,50Go gratuit dispo chez ces hébergeurs
Citation de: moomoon le 13 Mars 2015 à 15:35:44
Pour la suite, arrêté de mettre vos nas en dmz avec des config par défaut, c'est le pire scénario pour vos données...
Passer par du haproxy pour brouiller les pistes, désactiver tous les comptes par défaut (dont le admin) changer les ports par défaut par d'autre.
+1,
Mais c'est comme faire un backup, tu te rend compte de son utilité juste le jour ou tu as besoin, et qu'il est illisble car jamais testé...
Backuper c'est bien, pouvoir restotrer c'est mieux :)
Lionel. t'as reussi a recuperer quelque chose ?
Sinon je suis pas sur que haproxy apporte quand chose si on ne filtre pas. Il me semble que pour un neophyte il serait plus utilile d'installer openvpn et de n'ouvrir que ce port. Ca referme pas mal la surface d'attaque....
En plus openvpn est dispo pour syno. C'est pas génial mais beaucoup mieux deja il me semble.
a+
Haproxy où comment ne rediriger qu'un port internet vers le nas et masquer tous les ports des logiciels que tu souhaite ouvrir vers l'extérieur (interface de gestion, music, video, photo, pyload, plex, sabnzb, webdav,etc...).
Les scanner de ports testent les ports par défault des machine, si port 80 ou 443 = site web. De plus il faut connaitre la liste des sous domaines que tu créer pour que haproxy redirige vers le logiciel cible (gestion.toto.com => 443 => 5000) Bref, ca ne fait qu'une couche en plus mais fort pratique. Et niveau surface extérieur, tu n'as que le 443 et/ou le 80 :)
Bien sur, ca n'empêche pas la faille sur le logiciel cible hein, Open vpn ou autre, surtout aujourd'hui où il nous sorte de grosse faille sur le coeur même de module linux (crypto, ssl, etc...)
Open vpn, il faut juste pouvoir l'installer sur le poste client. Tu es chez un pote et tu veux lui montrer tes photos de vacance, pas très pratique, Tu es au taff et tu n'a pas les droits d'admin mais tu veux lancé un dll chez toi par sabnzb du dernier iso ubuntu ;)
Citation de: redge76 le 13 Mars 2015 à 16:12:37
Lionel. t'as reussi a recuperer quelque chose ?
Sinon je suis pas sur que haproxy apporte quand chose si on ne filtre pas. Il me semble que pour un neophyte il serait plus utilile d'installer openvpn et de n'ouvrir que ce port. Ca referme pas mal la surface d'attaque....
En plus openvpn est dispo pour syno. C'est pas génial mais beaucoup mieux deja il me semble.
a+
Rien récup car pas essayé, beaucoup trop complexe (ext4 + raid5, c'est la misère. ext4 seul ça se joue, mais avec un raid 5 pfiouuuuu).
Le Support Syno m'a répondu qu'il n'était pas possible de récupérer les données.
Plus précisément, ils n'ont pas envie de se faire chier :
CitationDear customer,
The raid configuration with data redundancy does not provide any data recovery ability if the data was been replaced by operation.
The raid protect your data only if the crashed by hardware issue.
To be brief, the protection in your case should be provided by backup instead of raid.
And unfortunately, there is no data recovery function in DSM, due to it much more complicate than system can be survey.
The professional data rescue service should be taken in consideration.
On the other hand, DSM doesn't provide the guest account enabled and allow guest account to write data in default, therefore, take an aggressive and limited the usage will help you if there are similar case in the next time.
Thank you for your understanding.
J'ai arrêté le NAS en attendant, au cas où je trouve une solution simple de récup, pour éviter qu'il ne réécrive par dessus.
Les différentes solutions que je trouve chiffrent vite (600, 800 euros etc...). Mais avec engagement de résultat : rien récup = pas de coût.
J'abandonne, je vais récup mon backup d'août ce week-end et remettre mon NAS en route.
Le vrai problème, c'est surtout que mon identité est désormais sur le web.
La nouvelle amusante, c'est que le week-end qui suit le hack, la faille exploitée par le hackeur a été corrigée...
Bon, ok, il ne fallait pas activer le compte guest, les forums le disaient. Mais bon, si vous voulez, quand j'achète un produit plug and play, je ne vais pas sur les forums pour voir comment bidouiller (ou ne pas bidouiller).
Le compte guest existe, il est sous SAMBA/CIFS, normalement ça marche qu'en LAN, point. Ben non, faille. Bref, pas grave, Dropbox a un nouveau client :)
Merci à ceux qui ont essayé de m'aider néanmoins
K-net peut te fournir un cloud personnel de 20Go pour stocker tes informations personnelles.
Au moins tu n'as pas la NSA qui regarde ce que tu mets dedans.
Vous avez une estimation du volume qui a disparu du NAS et de la date ?
Sur les graphs de conso il n'y a rien en upload à cette période là. Je pense que le type a supprimé sans récupérer.
J'espère que qqun de suffisament compétant paourra t'aider a récpèrer tes datas, car comme je te l'ai dis, une entrprise qui le fait c'est hors de prix, ca peux se justifier pour une boite qui perd des données stratégique, mais pour un particulier ?
J'ai eu ce cas chez un client (operateur GSM), le gas qui faisait les backup a rangé les bandes dans l'armoire alors que la savegarde avait planté, c'était pas un hack mais juste un crash de la bay de disc, ca leur a couté un saladier avec une boite en Angletere qui a essayer de récuperer leur faturation des mobile prepayed.
Sur un raid, c'est pas facile et ca necessite beaucoup de temps, d'ou les prix élevés.