Synology-Forum.nl

Packages => Officiële Packages => Antivirus Essential => Topic gestart door: leonardus op 30 november 2019, 15:19:13

Titel: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 30 november 2019, 15:19:13
Beste mensen,

Zal proberen een lang verhaal kort te houden. Na bericht van mijn provider hele netwerk gescand waarbij bleek dat er op een ds213 3 bestanden stonden waarvan er 2 in quarantaine zijn gezet en er dus 1 is overgebleven. Een lelijke. Kijk maar in het log:

ID Category Module   Event                                                        Date
  1 info     scanner  Report: 32878 file(s) are scanned, 3 infected file(s) found. Failed to process 1 infected file(s), please check the event log for details 2019-11-29 16:11:08
  2 info     scanner  System Scan Completed                                        2019-11-29 16:11:08
  3 error    scanner  Move /root/.cache/.kswapd to Quarantine failed.              2019-11-29 15:18:44
  4 detected scanner  /root/.cache/.kswapd : Multios.Coinminer.Miner-6781728-2 FOUND
 2019-11-29 15:18:43

  5 info     scanner  /usr/bin/[kthrotlds] is moved to Quarantine.                 2019-11-29 15:16:35
  6 detected scanner  /usr/bin/[kthrotlds] : Multios.Coinminer.Miner-6781728-2 FOUND
 2019-11-29 15:16:34
  7 info     scanner  /usr/local/lib/libkk.so is moved to Quarantine.              2019-11-29 14:35:20
  8 detected scanner  /usr/local/lib/libkk.so : Unix.Malware.Agent-6745798-0 FOUND

Inmiddels kan ik met putty in de root maar het bestand heeft dusdanige rechten dat ik met chmod niets kan veranderen en het bestand weg kan halen. Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?

Bedankt voor het meedenken mensen, ik hoor graag van jullie.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 30 november 2019, 15:26:22
Een Synology Ticket inleggen zij kunnen beslissen wat er moet gebeuren en kunnen dit dan ook op afstand voor je fixen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 30 november 2019, 15:34:08
Citaat
Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?
Ik heb even gekeken op m'n DS716+II maar, bij mij bestaat geen .kswapd m.a.w., geen onderdeel van DSM dus: positive! en zal verwijderd moeten worden.
DSM is dan ook geen standaard Linux. ;)

Hier een voorbeeld (https://www.synology-forum.nl/antivirus-essential/antivirus-essential-bedreiging-root-cache-ntp/) van een ander gevalletje met AV.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 30 november 2019, 16:10:54
Heb inderdaad 2 dagen geleden ticket aangemeld bij Synology maar die reageren niet binnen een week denk ik. Tot die tijd probeer ik in ieder geval het bewuste bestand met putty weg te halen maar daar ben ik dus nog niet uit omdat de rechten piep -rwxr-xr-x 1 root root 2528200 Aug  9 18:35 .kswapd staan.
 
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 30 november 2019, 16:15:58
Ik had ook een Ticket ingeschoten (https://www.synology-forum.nl/hardware-vragen/migratie-ds411ii-gt-ds918-mislukt/msg277655/#msg277655) 2 dagen geleden voor iets anders, vandaag pas een reactie gehad van een 1e line (en die was on leave ::) ).
Denk dat jouw ticket naar 2e of 3e lines moet.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 30 november 2019, 16:21:23
Zoek hier eens op "/root/.cache".  Recentelijk was er een vergelijkbaar geval. Dat heeft Synology opgelost door die hele folder te verwijderen.

(off-topic: Als is die zoekopdracht doe, vind ik alleen dat andere topic. Niet deze waar dezelfde string in staat. Waarom?)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 30 november 2019, 17:09:31
Ik kan met putty in die folder komen en zie het bestand. Alleen de rechten staan dusdanig dat ik niets kan verwijderen.

Kijk hier (https://www.dropbox.com/s/gt63lw58h7bt2nq/ds213av-1.jpeg?dl=0) maar eens
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 30 november 2019, 19:58:17
Het is volgens mij niet alleen dat bestand, maar de hele '.cache' folder die de malware plaatst en dus gewist moet worden. En ze zullen dit wissen natuurlijk zo lastig mogelijk maken.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 30 november 2019, 20:23:23
Klopt wat je zegt. Ticket loopt bij Synology dus ben ook benieuwd naar de oplossing. Tot die tijd probeer ik om het zelf op te lossen. Ook de technische mensen bij Synology hebben hun kennis ergens vandaan gehaald toch?. Feit is dat het bewuste bestand nog niet te verwijderen is. En of dat de definitieve oplossing is?

Dus, als eerste: hoe verwijder ik dit (https://www.dropbox.com/s/gt63lw58h7bt2nq/ds213av-1.jpeg?dl=0) bestand (die verkeerde rechten heeft) of de hele folder .cache in de root met bijvoorbeeld putty?
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 30 november 2019, 22:44:35
Draai je misschien Wordpress met verouderde plugins? Er zijn de laatste maanden meerdere plugins gepubliceerd die 'lek' zijn en aanvallers toegang geven tot het onderliggende systeem.
Ze b.v. hier (https://www.nederob.nl/2019/10/21/wordpress-websites-targeted-with-crypto-mining-malware/).

(Als je de bron van de infectie niet vind, is verwijderen zinloos. Bedenk ook dat veel malware een cronjob start waarlangs het zichzelf steeds terug plaatst)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: DSGebruiker op 01 december 2019, 08:01:59
Een volledig rm -rf .cache als root lukt dus niet ?! (commando uit te voeren als je in de /root staat na inloggen)

Probeer bestand ook eens tussen single-quotes te zetten.
Dus rm -f '.kswapd' als je in die /root/.cache folder zit.

Mischien is de "shell" environment ook gecompromitteerd?

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: André PE1PQX op 02 december 2019, 10:19:02
Probeer deze procedure eens: https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/
Zo heb je (als ik het goed begrepen heb) meer rechten om e.e.a. te kunnen uithalen, mogelijk ook het verwijderen van de gewraakte bestanden en mappen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 03 december 2019, 20:23:30
DSGebruiker, Tnks voor je tip, geprobeerd maar niet gelukt.

Zie bijlage   [attach=1]

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 03 december 2019, 20:28:38
Tnks, André PE1PQX ga ik morgen proberen!
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: dvandonkelaar op 04 december 2019, 07:52:21
geprobeerd maar niet gelukt.

Heb je rm -rf .cache als root gedaan? Dus, ingelogt als root óf sudo rm -rf .cache
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 13:20:07
@ dvandonkelaar: zeker, kreeg onderstaande melding bij rm -rf .cache. Pffft, dat bestand of die folder moet toch weg te halen zijn op een of andere manier zonder de NAS opnieuw op te bouwen?

Kijk maar in de bijlage.

Bedankt alvast voor het meedenken mensen!!
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: ufosyno op 04 december 2019, 17:08:50
Nou ben ik niet heel erg thuis in Linux, maar het commando voor het verwijderen van folders is toch rmdir? Of is dat binnen de linuxversie van Synology ook anders...
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 04 december 2019, 17:29:26
Niet in dit geval omdat 'rmdir' alleen een lege directory verwijderd en deze is niet leeg. 'rm -d' verwijderd ook een directory. En het hier gebruikte 'rm -r" verwijdert recursief alles, incl directories.

Hier wordt echter een 'beveiliging' gebruikt die ik niet kan thuisbrengen. Ik dacht dat root alles kon.

Ik zou nog "sudo rm -r .cache" gebruikt hebben, maar eigenlijk zou dat hetzelfde zijn als iets vanuit root gebruiken.

Je kunt nog "sudo rm -rv .cache" proberen. Dan zet je de verbose optie aan met meer output. Misschien dat je dan een reden krijgt waarom hij niet gewist mag worden, inplaats van alleen "niet toegestaan".

Ik zie dat 'rm' ook nog een -P optie kent waarbij de file eerst 3x overschreven wordt, voordat hij gewist wordt. Maar dat zal ook wel niet mogen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 17:40:32
@ Briolet, tnks, ga ik proberen
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 04 december 2019, 17:52:21
Kijk hier (https://www.linuxquestions.org/questions/linux-newbie-8/rm-rf-chmod-as-root-permission-denied-832150/) eens, waar een soortgelijk probleem beschreven wordt.

Daar was de oplossing om eerst de attributen aan te passen met een chattr (http://man7.org/linux/man-pages/man1/chattr.1.html) commando:

chattr -i filenaam
rm -rf filenaam

Mijn mac kent geen chattr, maar de linux in de nas wel. De -i optie staat voor 'immutable' (onveranderbaar)

Kijkk eerst met
lsattr filenaam of de i flag gezet is. Dan weet je meer.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 04 december 2019, 18:02:07
Even een test voor mijzelf

~$ lsattr test.txt
-------------e-- test.txt

~$ sudo chattr +i test.txt
~$ lsattr test.txt
----i--------e-- test.txt

~$ sudo rm -f test.txt
rm: cannot remove ‘test.txt’: Operation not permitted

Inderdaad een methode om een file ook tegen wissen door root te beschermen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 18:03:47
Tnks, ga ik straks proberen maar welke attr  (http://man7.org/linux/man-pages/man1/chattr.1.html)zou je dan moeten gebruiken als niet-linux kenner?
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 18:11:19
Inderdaad, en nu?
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 04 december 2019, 18:13:55
Nu dus
sudo chattr -i .kswapd
Daarna zou rm weer moeten werken.

Maar wees erop voorbereid dat ook al kun je ze wissen, er delen van de mallware kunnen zijn die de aanwezigheid van deze files constant monitoren en weer terug plaatsen. Maar dat zie je vanzelf.

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 19:25:10
@ Briolet Lukt niet, krijg deze melding
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 04 december 2019, 19:30:10
Het is wel gelukt hoor, .kswapd is verwijderd (geen foutmelding), later wel foutmeldingen omdat die file niet meer bestaat. ;)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 04 december 2019, 19:50:58
@ Birdy, Gezien, geweldig. Ik ga nu nog een x een full scan draaien met av. Het resultaat zal ik hier posten. Voor nu, prachtig resultaat en zeer leerzaam. Nogmaals tnks voor de moeite!!!
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 04 december 2019, 20:30:52
Volgens mij moet .cache helemaal niet bestaan, zal straks wel even kijken.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 04 december 2019, 21:27:35
Dat schreef ik eerder al in reactie #7. De hele .cache folder kan weg omdat die niet van dsm is. En ik verwacht ook niet van een pakket.

Bij de andere recente melding van een miner was die folder ook aangemaakt. Reactie #5
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 04 december 2019, 21:37:06
Ik heb op dezelfde manier ingelogd dus, ik kom standaard in /root en zie geen .cache map, sterker nog, ik heb daar staan wat jij niet hebt, zie in rood.

Citaat
admin@DS918Plus:/$ sudo -i
root@DS918Plus:~# ls -la
total 24
drwx------  3 root root 4096 Nov 29 23:30 .
drwxr-xr-x 25 root root 4096 Dec  4 19:38 ..
drwx------  2 root root 4096 Nov 29 11:32 .gnupg
-rw-r--r--  1 root root 1113 Mar 31  2019 .profile
-rw-------  1 root root  635 Nov 29 23:30 .viminfo
-rw-r--r--  1 root root  355 Nov 29 14:11 .wget-hsts

root@DS918Plus:~# pwd
/root
root@DS918Plus:~#

In iedergeval, moeten .cd, .ct, .ntp en .rm ook verwijderd worden.
Maar, dan vertrouw ik het nog niet, je hebt immers die file (in het rood) niet.
Misschien is er nog (veel) meer aan de hand.

Zou toch op Synology Support wachten of alleen DSM herinstalleren: Modus 2: Synology NAS resetten en besturingssysteem DSM opnieuw installeren (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS#t3)

Je data (volume) blijft behouden.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 04 december 2019, 21:56:34
FYI:
- DSM 6.2.2-24922 Update 4 heb ik 29/11 geïnstalleerd op m'n DS918+.
- Heb o.a. nClone package geïnstalleerd, misschien heeft nClone die rode map en files geïnstalleerd.

Ik zal eens testen op m'n DS716+II kijken en testen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 04 december 2019, 22:17:01
DS716+II terug naar fabrieksinstellingen en DSM 6.2.2-24922 Update 4 geïnstalleerd, meer niet.
Gekeken: Heb standaard:

Citaat
root@DS716-II:~# ls -la
total 20
drwx------  3 root root 4096 Dec  4 22:07 .
drwxr-xr-x 24 root root 4096 Dec  4 22:09 ..
drwx------  2 root root 4096 Dec  4 22:07 .gnupg
-rw-r--r--  1 root root 1113 Mar 31  2019 .profile
-rw-r--r--  1 root root  320 Dec  4 22:09 .wget-hsts

Mis alleen .viminfo

Waarom ik op de DS918+ wel .viminfo heb, is een ander verhaal, heb n.l. nog nooit vim gebruikt, gebruik alleen vi. ::)
Nu effe wel vim gebruikt, nu heb ik wel .viminfo
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 05 december 2019, 10:03:07
@ Birdy,

Net geprobeerd om op voorhand de 4 bestanden te verwijderen uit de .cache map. Krijg deze melding.

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 05 december 2019, 10:16:36
Probeer het eens per file te verwijderen na:
[attachimg=1]
Dus, sta in .cache en rm .cd enz.
Heb je die 4 files gehad, blijf in .cache en dan dir
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 05 december 2019, 12:16:30
Gedaan, zie melding. Attr staan op -----a-------e--
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 05 december 2019, 12:23:39
Na sudo chattr -i en rm dit resultaat
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 05 december 2019, 12:33:09
Haal ook eens weg op die files: append only (a) dus: chattr -a <filenaam>
En probeer ze dan nog eens te verwijderen.

Lukt het dan ook niet, haal dan ook weg op die files: extent format (e) dus: chattr -e <filenaam>
En probeer ze dan nog eens te verwijderen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 05 december 2019, 14:00:59
@ Birdy, gelukt man. Map .cache is zo te zien nu leeg.
Dit is wat overblijft bij dir
drwxr-xr-t 2 root root 4096 Dec  5 13:53 .
drwx------ 6 root root 4096 Aug 10 08:54 ..

.cache folder staat er nog. Moet eigenlijk ook nog weg ;)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 05 december 2019, 14:11:13
Mooi zo en ja, de map .cache moet ook weg.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 05 december 2019, 14:14:41
Het lijkt er op dat .cache is verdwenen na rm -i .cache. Nu laat is de av volledig scannen maar dat duurt wel een dagje zag ik. Melding in bijlage wel een beetje vreemd nog. Maar, het gaat de goede kant op!!!
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 05 december 2019, 15:01:38
Hm...nu begint het op dit Topic (https://www.synology-forum.nl/firmware-algemeen/process-'sustse'-gebruikt-volledige-processor/msg269927/#msg269927) te lijken.
Mijn advies is nu echt: of wachten Synology Support (die zouden onderhand moeten reageren, dus even pushen !) of je installeert DSM opnieuw zoals eerder aangegeven.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 06 december 2019, 20:19:02
Vandaag volledige scan gedraaid. Zie hier het resultaat ;)

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 06 december 2019, 23:28:54
DAT ziet er goed uit echter, DIT ziet er niet goed uit:

[attachimg=1]

Ik vertrouw die errors niet.
Heeft Synology nog steeds niet gereageerd ?
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 07 december 2019, 08:36:44
Die error werd ook gemeld bij een mr.sh/sustse infectie. Link (https://www.raspberrypi.org/forums/viewtopic.php?t=242640)

Of op dit forum: link (https://www.synology-forum.nl/firmware-algemeen/process-'sustse'-gebruikt-volledige-processor/msg270086/#msg270086) en link (https://www.synology-forum.nl/synology-dsm-6-2/toepassingsservice-van-synology/msg271524/#msg271524)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 07 december 2019, 11:43:04
@ Birdy, zeker wel maar schiet er niet echt mee op. Het enige wat ik van de behandelaar van het ticket hoor is een re-install van dsm zoals jullie ook al hebben aangegeven. Maar zijn we niet allemaal nieuwsgierig naar een methode om het verwijderen van deze meuk zelf te doen?. Ik bedoel, het is wel heel leerzaam en zij hebben die kennis toch ook ergens opgedaan? En allemaal het gevolg (denk ik) van die foute versie van Domoticz (https://www.domoticz.com/forum/viewtopic.php?t=28329). Nu nog ff die foutmelding van ld.so wegkrijgen dan ben ik een heel eind op de goede weg zoals het zich laat aanzien.

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 07 december 2019, 11:57:43
Waar het om gaat, is dat Synology zelf het probleem moet oplossen in hun eigen package Antivirus Essential.
Maar goed, heb je dan ook Domoticz draaien op je NAS ?
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 07 december 2019, 12:25:20
/etc/ld.so.preload proberen te verwijderen.
sudo vi /etc/ld.so.preload

Regel verwijderen (of uitschakelen door er een # voor te zetten).
Opslaan middels inmiddels welbekende <esc> en :wq

Krijg nu bijgaande melding.

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 07 december 2019, 12:30:22
…in hun eigen package Antivirus Essential.

Dat het pakket niet kijkt of een file gelocked is en zo ja eerst unlocked voordat hij een verdachte file in quarantaine zet, lijkt me meer een fout in het programma ClamAV (https://www.clamav.net) zelf en niet in het sausje dat Synology er over gestrooid heeft. Hoe dan ook een fout van één van beiden.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 07 december 2019, 12:30:53
Kan je die .swp file dan ook zien ? Zo ja, punt 2 opvolgen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 07 december 2019, 12:34:46
@Briolet Dan moet Synology contact opnemen met ClamAV, lijkt mij.
Het geklungel in SSH is n.l. niet echt de bedoeling dus, de bal ligt toch bij Synology, niet bij de gebruikers. ;)
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 07 december 2019, 15:52:33
@ Birdy, swap is er niet meer zo te zien.

Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 07 december 2019, 16:20:08
Even kijken wat ze hier op antwoorden;

Synology:
Dear Leo,

Yes, the damages that the virus causes can be disastrous and that is the reason why we recommend you to reinstall the DSM.
Try fixing it one by one may be causes even more damages.

Leo:

No, I do not think so. I think it's an error from the official antivirus package, ClamAV. That the package does not check whether a file has been locked and if so first it is unlocked before it puts a suspicious file in quarantine. I would appreciate you solving this problem for me.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 07 december 2019, 16:32:48
 :thumbup:

Alleen dit is wel een vreemde:
Citaat
Try fixing it one by one may be causes even more damages.
Er valt natuurlijk niets meer te fixen voor jou als DSM opnieuw is geïnstalleerd :lol:
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 07 december 2019, 16:48:36
Klopt, maar aankomende week druk, druk, druk. Nu ff ontspannen meuk weghalen als afleiding en leermoment. Heb vanmiddag verschillende tips en fora doorgelezen. Verschillende stappenplannen die ook door jullie zijn aangegeven gevolgd. Nu nog de gouden tip (behalve dan een re-install) of stappenplan om ld.so.preload weg te halen?. Dat is het enige wat ik nu nog zie. Systemscan op de NAS geeft geen foutmeldingen. Volledige scan van de NAS is nu (na een dag werken) op 28% pas. Ook hier nog geen foutmeldingen.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: leonardus op 09 december 2019, 11:42:01
Mensen, graag wil ik jullie op de hoogte brengen van het volgende referte mijn probleem met de meuk die is veroorzaakt door de foute versie van Domoticz (met een aan zekerheid grenzende waarschijnlijkheid). De foutmeldingen bleven zich maar opstapelen, waaronder dat av niet meer werkte en tevens het verzenden van email lag eruit. Ook Synology kwam er niet meer uit en daarom toch maar besloten om dsm opnieuw te installeren met behulp van optie 2 (resetknop 4 seconden, daarna loslaten en binnen 10 seconden gelijk weer indrukken tot 3 piepjes). Het is me behoorlijk meegevallen, ook wel doordat ik wel eerst ff de systeem settings (.dds) had geback upt en terug gezet. Graag wil ik jullie bedanken voor jullie tijd en input!. Ik heb er veel van geleerd!
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Hofstede op 09 december 2019, 11:49:48
Dat was sowieso de allerbeste manier om zeker te weten dat de machine schoon is.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Birdy op 09 december 2019, 12:12:05
IDD, de beste optie :thumbup:
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Briolet op 09 december 2019, 14:05:31
De beste optie om het op te lossen, maar niet de beste optie om te begrijpen wat er gebeurd is.

Als je de kennis hebt om het te bekijken wil je het zelf proberen te doen. Zou ik waarschijnlijk ook geprobeerd hebben. Omdat het een miner was, die alleen rekenkracht kost. Als het ransomeware was, had ik hem er wel zo snel mogelijk af willen hebben.
Titel: Re: AV heeft Multios.Coinminer.Miner gevonden op ds213
Bericht door: Hofstede op 09 december 2019, 14:14:44
Tuurlijk wil je dat begrijpen en experimenteren om het in de toekomst te voorkomen. Maar uiteindelijk wil je toch 100% zeker weten dat er geen restanten meer op je NAS aanwezig zijn.