Synology-Forum.nl
Packages => Officiële Packages => Antivirus Essential => Topic gestart door: leonardus op 30 november 2019, 15:19:13
-
Beste mensen,
Zal proberen een lang verhaal kort te houden. Na bericht van mijn provider hele netwerk gescand waarbij bleek dat er op een ds213 3 bestanden stonden waarvan er 2 in quarantaine zijn gezet en er dus 1 is overgebleven. Een lelijke. Kijk maar in het log:
ID Category Module Event Date
1 info scanner Report: 32878 file(s) are scanned, 3 infected file(s) found. Failed to process 1 infected file(s), please check the event log for details 2019-11-29 16:11:08
2 info scanner System Scan Completed 2019-11-29 16:11:08
3 error scanner Move /root/.cache/.kswapd to Quarantine failed. 2019-11-29 15:18:44
4 detected scanner /root/.cache/.kswapd : Multios.Coinminer.Miner-6781728-2 FOUND
2019-11-29 15:18:43
5 info scanner /usr/bin/[kthrotlds] is moved to Quarantine. 2019-11-29 15:16:35
6 detected scanner /usr/bin/[kthrotlds] : Multios.Coinminer.Miner-6781728-2 FOUND
2019-11-29 15:16:34
7 info scanner /usr/local/lib/libkk.so is moved to Quarantine. 2019-11-29 14:35:20
8 detected scanner /usr/local/lib/libkk.so : Unix.Malware.Agent-6745798-0 FOUND
Inmiddels kan ik met putty in de root maar het bestand heeft dusdanige rechten dat ik met chmod niets kan veranderen en het bestand weg kan halen. Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?
Bedankt voor het meedenken mensen, ik hoor graag van jullie.
-
Een Synology Ticket inleggen zij kunnen beslissen wat er moet gebeuren en kunnen dit dan ook op afstand voor je fixen.
-
Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?
Ik heb even gekeken op m'n DS716+II maar, bij mij bestaat geen .kswapd m.a.w., geen onderdeel van DSM dus: positive! en zal verwijderd moeten worden.
DSM is dan ook geen standaard Linux. ;)
Hier een voorbeeld (https://www.synology-forum.nl/antivirus-essential/antivirus-essential-bedreiging-root-cache-ntp/) van een ander gevalletje met AV.
-
Heb inderdaad 2 dagen geleden ticket aangemeld bij Synology maar die reageren niet binnen een week denk ik. Tot die tijd probeer ik in ieder geval het bewuste bestand met putty weg te halen maar daar ben ik dus nog niet uit omdat de rechten piep -rwxr-xr-x 1 root root 2528200 Aug 9 18:35 .kswapd staan.
-
Ik had ook een Ticket ingeschoten (https://www.synology-forum.nl/hardware-vragen/migratie-ds411ii-gt-ds918-mislukt/msg277655/#msg277655) 2 dagen geleden voor iets anders, vandaag pas een reactie gehad van een 1e line (en die was on leave ::) ).
Denk dat jouw ticket naar 2e of 3e lines moet.
-
Zoek hier eens op "/root/.cache". Recentelijk was er een vergelijkbaar geval. Dat heeft Synology opgelost door die hele folder te verwijderen.
(off-topic: Als is die zoekopdracht doe, vind ik alleen dat andere topic. Niet deze waar dezelfde string in staat. Waarom?)
-
Ik kan met putty in die folder komen en zie het bestand. Alleen de rechten staan dusdanig dat ik niets kan verwijderen.
Kijk hier (https://www.dropbox.com/s/gt63lw58h7bt2nq/ds213av-1.jpeg?dl=0) maar eens
-
Het is volgens mij niet alleen dat bestand, maar de hele '.cache' folder die de malware plaatst en dus gewist moet worden. En ze zullen dit wissen natuurlijk zo lastig mogelijk maken.
-
Klopt wat je zegt. Ticket loopt bij Synology dus ben ook benieuwd naar de oplossing. Tot die tijd probeer ik om het zelf op te lossen. Ook de technische mensen bij Synology hebben hun kennis ergens vandaan gehaald toch?. Feit is dat het bewuste bestand nog niet te verwijderen is. En of dat de definitieve oplossing is?
Dus, als eerste: hoe verwijder ik dit (https://www.dropbox.com/s/gt63lw58h7bt2nq/ds213av-1.jpeg?dl=0) bestand (die verkeerde rechten heeft) of de hele folder .cache in de root met bijvoorbeeld putty?
-
Draai je misschien Wordpress met verouderde plugins? Er zijn de laatste maanden meerdere plugins gepubliceerd die 'lek' zijn en aanvallers toegang geven tot het onderliggende systeem.
Ze b.v. hier (https://www.nederob.nl/2019/10/21/wordpress-websites-targeted-with-crypto-mining-malware/).
(Als je de bron van de infectie niet vind, is verwijderen zinloos. Bedenk ook dat veel malware een cronjob start waarlangs het zichzelf steeds terug plaatst)
-
Een volledig rm -rf .cache als root lukt dus niet ?! (commando uit te voeren als je in de /root staat na inloggen)
Probeer bestand ook eens tussen single-quotes te zetten.
Dus rm -f '.kswapd' als je in die /root/.cache folder zit.
Mischien is de "shell" environment ook gecompromitteerd?
-
Probeer deze procedure eens: https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/
Zo heb je (als ik het goed begrepen heb) meer rechten om e.e.a. te kunnen uithalen, mogelijk ook het verwijderen van de gewraakte bestanden en mappen.
-
DSGebruiker, Tnks voor je tip, geprobeerd maar niet gelukt.
Zie bijlage [attach=1]
-
Tnks, André PE1PQX ga ik morgen proberen!
-
geprobeerd maar niet gelukt.
Heb je rm -rf .cache als root gedaan? Dus, ingelogt als root óf sudo rm -rf .cache
-
@ dvandonkelaar: zeker, kreeg onderstaande melding bij rm -rf .cache. Pffft, dat bestand of die folder moet toch weg te halen zijn op een of andere manier zonder de NAS opnieuw op te bouwen?
Kijk maar in de bijlage.
Bedankt alvast voor het meedenken mensen!!
-
Nou ben ik niet heel erg thuis in Linux, maar het commando voor het verwijderen van folders is toch rmdir? Of is dat binnen de linuxversie van Synology ook anders...
-
Niet in dit geval omdat 'rmdir' alleen een lege directory verwijderd en deze is niet leeg. 'rm -d' verwijderd ook een directory. En het hier gebruikte 'rm -r" verwijdert recursief alles, incl directories.
Hier wordt echter een 'beveiliging' gebruikt die ik niet kan thuisbrengen. Ik dacht dat root alles kon.
Ik zou nog "sudo rm -r .cache" gebruikt hebben, maar eigenlijk zou dat hetzelfde zijn als iets vanuit root gebruiken.
Je kunt nog "sudo rm -rv .cache" proberen. Dan zet je de verbose optie aan met meer output. Misschien dat je dan een reden krijgt waarom hij niet gewist mag worden, inplaats van alleen "niet toegestaan".
Ik zie dat 'rm' ook nog een -P optie kent waarbij de file eerst 3x overschreven wordt, voordat hij gewist wordt. Maar dat zal ook wel niet mogen.
-
@ Briolet, tnks, ga ik proberen
-
Kijk hier (https://www.linuxquestions.org/questions/linux-newbie-8/rm-rf-chmod-as-root-permission-denied-832150/) eens, waar een soortgelijk probleem beschreven wordt.
Daar was de oplossing om eerst de attributen aan te passen met een chattr (http://man7.org/linux/man-pages/man1/chattr.1.html) commando:
chattr -i filenaam
rm -rf filenaam
Mijn mac kent geen chattr, maar de linux in de nas wel. De -i optie staat voor 'immutable' (onveranderbaar)
Kijkk eerst met
lsattr filenaam
of de i flag gezet is. Dan weet je meer.
-
Even een test voor mijzelf
~$ lsattr test.txt
-------------e-- test.txt
~$ sudo chattr +i test.txt
~$ lsattr test.txt
----i--------e-- test.txt
~$ sudo rm -f test.txt
rm: cannot remove ‘test.txt’: Operation not permitted
Inderdaad een methode om een file ook tegen wissen door root te beschermen.
-
Tnks, ga ik straks proberen maar welke attr (http://man7.org/linux/man-pages/man1/chattr.1.html)zou je dan moeten gebruiken als niet-linux kenner?
-
Inderdaad, en nu?
-
Nu dus
sudo chattr -i .kswapd
Daarna zou rm weer moeten werken.
Maar wees erop voorbereid dat ook al kun je ze wissen, er delen van de mallware kunnen zijn die de aanwezigheid van deze files constant monitoren en weer terug plaatsen. Maar dat zie je vanzelf.
-
@ Briolet Lukt niet, krijg deze melding
-
Het is wel gelukt hoor, .kswapd is verwijderd (geen foutmelding), later wel foutmeldingen omdat die file niet meer bestaat. ;)
-
@ Birdy, Gezien, geweldig. Ik ga nu nog een x een full scan draaien met av. Het resultaat zal ik hier posten. Voor nu, prachtig resultaat en zeer leerzaam. Nogmaals tnks voor de moeite!!!
-
Volgens mij moet .cache helemaal niet bestaan, zal straks wel even kijken.
-
Dat schreef ik eerder al in reactie #7. De hele .cache folder kan weg omdat die niet van dsm is. En ik verwacht ook niet van een pakket.
Bij de andere recente melding van een miner was die folder ook aangemaakt. Reactie #5
-
Ik heb op dezelfde manier ingelogd dus, ik kom standaard in /root en zie geen .cache map, sterker nog, ik heb daar staan wat jij niet hebt, zie in rood.
admin@DS918Plus:/$ sudo -i
root@DS918Plus:~# ls -la
total 24
drwx------ 3 root root 4096 Nov 29 23:30 .
drwxr-xr-x 25 root root 4096 Dec 4 19:38 ..
drwx------ 2 root root 4096 Nov 29 11:32 .gnupg
-rw-r--r-- 1 root root 1113 Mar 31 2019 .profile
-rw------- 1 root root 635 Nov 29 23:30 .viminfo
-rw-r--r-- 1 root root 355 Nov 29 14:11 .wget-hsts
root@DS918Plus:~# pwd
/root
root@DS918Plus:~#
In iedergeval, moeten .cd, .ct, .ntp en .rm ook verwijderd worden.
Maar, dan vertrouw ik het nog niet, je hebt immers die file (in het rood) niet.
Misschien is er nog (veel) meer aan de hand.
Zou toch op Synology Support wachten of alleen DSM herinstalleren: Modus 2: Synology NAS resetten en besturingssysteem DSM opnieuw installeren (https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS#t3)
Je data (volume) blijft behouden.
-
FYI:
- DSM 6.2.2-24922 Update 4 heb ik 29/11 geïnstalleerd op m'n DS918+.
- Heb o.a. nClone package geïnstalleerd, misschien heeft nClone die rode map en files geïnstalleerd.
Ik zal eens testen op m'n DS716+II kijken en testen.
-
DS716+II terug naar fabrieksinstellingen en DSM 6.2.2-24922 Update 4 geïnstalleerd, meer niet.
Gekeken: Heb standaard:
root@DS716-II:~# ls -la
total 20
drwx------ 3 root root 4096 Dec 4 22:07 .
drwxr-xr-x 24 root root 4096 Dec 4 22:09 ..
drwx------ 2 root root 4096 Dec 4 22:07 .gnupg
-rw-r--r-- 1 root root 1113 Mar 31 2019 .profile
-rw-r--r-- 1 root root 320 Dec 4 22:09 .wget-hsts
Mis alleen .viminfo
Waarom ik op de DS918+ wel .viminfo heb, is een ander verhaal, heb n.l. nog nooit vim gebruikt, gebruik alleen vi. ::)
Nu effe wel vim gebruikt, nu heb ik wel .viminfo
-
@ Birdy,
Net geprobeerd om op voorhand de 4 bestanden te verwijderen uit de .cache map. Krijg deze melding.
-
Probeer het eens per file te verwijderen na:
[attachimg=1]
Dus, sta in .cache en rm .cd enz.
Heb je die 4 files gehad, blijf in .cache en dan dir
-
Gedaan, zie melding. Attr staan op -----a-------e--
-
Na sudo chattr -i en rm dit resultaat
-
Haal ook eens weg op die files: append only (a) dus: chattr -a <filenaam>
En probeer ze dan nog eens te verwijderen.
Lukt het dan ook niet, haal dan ook weg op die files: extent format (e) dus: chattr -e <filenaam>
En probeer ze dan nog eens te verwijderen.
-
@ Birdy, gelukt man. Map .cache is zo te zien nu leeg.
Dit is wat overblijft bij dir
drwxr-xr-t 2 root root 4096 Dec 5 13:53 .
drwx------ 6 root root 4096 Aug 10 08:54 ..
.cache folder staat er nog. Moet eigenlijk ook nog weg ;)
-
Mooi zo en ja, de map .cache moet ook weg.
-
Het lijkt er op dat .cache is verdwenen na rm -i .cache. Nu laat is de av volledig scannen maar dat duurt wel een dagje zag ik. Melding in bijlage wel een beetje vreemd nog. Maar, het gaat de goede kant op!!!
-
Hm...nu begint het op dit Topic (https://www.synology-forum.nl/firmware-algemeen/process-'sustse'-gebruikt-volledige-processor/msg269927/#msg269927) te lijken.
Mijn advies is nu echt: of wachten Synology Support (die zouden onderhand moeten reageren, dus even pushen !) of je installeert DSM opnieuw zoals eerder aangegeven.
-
Vandaag volledige scan gedraaid. Zie hier het resultaat ;)
-
DAT ziet er goed uit echter, DIT ziet er niet goed uit:
[attachimg=1]
Ik vertrouw die errors niet.
Heeft Synology nog steeds niet gereageerd ?
-
Die error werd ook gemeld bij een mr.sh/sustse infectie. Link (https://www.raspberrypi.org/forums/viewtopic.php?t=242640)
Of op dit forum: link (https://www.synology-forum.nl/firmware-algemeen/process-'sustse'-gebruikt-volledige-processor/msg270086/#msg270086) en link (https://www.synology-forum.nl/synology-dsm-6-2/toepassingsservice-van-synology/msg271524/#msg271524)
-
@ Birdy, zeker wel maar schiet er niet echt mee op. Het enige wat ik van de behandelaar van het ticket hoor is een re-install van dsm zoals jullie ook al hebben aangegeven. Maar zijn we niet allemaal nieuwsgierig naar een methode om het verwijderen van deze meuk zelf te doen?. Ik bedoel, het is wel heel leerzaam en zij hebben die kennis toch ook ergens opgedaan? En allemaal het gevolg (denk ik) van die foute versie van Domoticz (https://www.domoticz.com/forum/viewtopic.php?t=28329). Nu nog ff die foutmelding van ld.so wegkrijgen dan ben ik een heel eind op de goede weg zoals het zich laat aanzien.
-
Waar het om gaat, is dat Synology zelf het probleem moet oplossen in hun eigen package Antivirus Essential.
Maar goed, heb je dan ook Domoticz draaien op je NAS ?
-
/etc/ld.so.preload proberen te verwijderen.
sudo vi /etc/ld.so.preload
Regel verwijderen (of uitschakelen door er een # voor te zetten).
Opslaan middels inmiddels welbekende <esc> en :wq
Krijg nu bijgaande melding.
-
…in hun eigen package Antivirus Essential.
Dat het pakket niet kijkt of een file gelocked is en zo ja eerst unlocked voordat hij een verdachte file in quarantaine zet, lijkt me meer een fout in het programma ClamAV (https://www.clamav.net) zelf en niet in het sausje dat Synology er over gestrooid heeft. Hoe dan ook een fout van één van beiden.
-
Kan je die .swp file dan ook zien ? Zo ja, punt 2 opvolgen.
-
@Briolet Dan moet Synology contact opnemen met ClamAV, lijkt mij.
Het geklungel in SSH is n.l. niet echt de bedoeling dus, de bal ligt toch bij Synology, niet bij de gebruikers. ;)
-
@ Birdy, swap is er niet meer zo te zien.
-
Even kijken wat ze hier op antwoorden;
Synology:
Dear Leo,
Yes, the damages that the virus causes can be disastrous and that is the reason why we recommend you to reinstall the DSM.
Try fixing it one by one may be causes even more damages.
Leo:
No, I do not think so. I think it's an error from the official antivirus package, ClamAV. That the package does not check whether a file has been locked and if so first it is unlocked before it puts a suspicious file in quarantine. I would appreciate you solving this problem for me.
-
:thumbup:
Alleen dit is wel een vreemde:
Try fixing it one by one may be causes even more damages.
Er valt natuurlijk niets meer te fixen voor jou als DSM opnieuw is geïnstalleerd :lol:
-
Klopt, maar aankomende week druk, druk, druk. Nu ff ontspannen meuk weghalen als afleiding en leermoment. Heb vanmiddag verschillende tips en fora doorgelezen. Verschillende stappenplannen die ook door jullie zijn aangegeven gevolgd. Nu nog de gouden tip (behalve dan een re-install) of stappenplan om ld.so.preload weg te halen?. Dat is het enige wat ik nu nog zie. Systemscan op de NAS geeft geen foutmeldingen. Volledige scan van de NAS is nu (na een dag werken) op 28% pas. Ook hier nog geen foutmeldingen.
-
Mensen, graag wil ik jullie op de hoogte brengen van het volgende referte mijn probleem met de meuk die is veroorzaakt door de foute versie van Domoticz (met een aan zekerheid grenzende waarschijnlijkheid). De foutmeldingen bleven zich maar opstapelen, waaronder dat av niet meer werkte en tevens het verzenden van email lag eruit. Ook Synology kwam er niet meer uit en daarom toch maar besloten om dsm opnieuw te installeren met behulp van optie 2 (resetknop 4 seconden, daarna loslaten en binnen 10 seconden gelijk weer indrukken tot 3 piepjes). Het is me behoorlijk meegevallen, ook wel doordat ik wel eerst ff de systeem settings (.dds) had geback upt en terug gezet. Graag wil ik jullie bedanken voor jullie tijd en input!. Ik heb er veel van geleerd!
-
Dat was sowieso de allerbeste manier om zeker te weten dat de machine schoon is.
-
IDD, de beste optie :thumbup:
-
De beste optie om het op te lossen, maar niet de beste optie om te begrijpen wat er gebeurd is.
Als je de kennis hebt om het te bekijken wil je het zelf proberen te doen. Zou ik waarschijnlijk ook geprobeerd hebben. Omdat het een miner was, die alleen rekenkracht kost. Als het ransomeware was, had ik hem er wel zo snel mogelijk af willen hebben.
-
Tuurlijk wil je dat begrijpen en experimenteren om het in de toekomst te voorkomen. Maar uiteindelijk wil je toch 100% zeker weten dat er geen restanten meer op je NAS aanwezig zijn.