AV heeft Multios.Coinminer.Miner gevonden op ds213

[leonardus]

Beste mensen,

Zal proberen een lang verhaal kort te houden. Na bericht van mijn provider hele netwerk gescand waarbij bleek dat er op een ds213 3 bestanden stonden waarvan er 2 in quarantaine zijn gezet en er dus 1 is overgebleven. Een lelijke. Kijk maar in het log:

ID Category Module   Event                                                        Date
  1 info     scanner  Report: 32878 file(s) are scanned, 3 infected file(s) found. Failed to process 1 infected file(s), please check the event log for details 2019-11-29 16:11:08
  2 info     scanner  System Scan Completed                                        2019-11-29 16:11:08
  3 error    scanner  Move /root/.cache/.kswapd to Quarantine failed.              2019-11-29 15:18:44
  4 detected scanner  /root/.cache/.kswapd : Multios.Coinminer.Miner-6781728-2 FOUND
 2019-11-29 15:18:43
  5 info     scanner  /usr/bin/[kthrotlds] is moved to Quarantine.                 2019-11-29 15:16:35
  6 detected scanner  /usr/bin/[kthrotlds] : Multios.Coinminer.Miner-6781728-2 FOUND
 2019-11-29 15:16:34
  7 info     scanner  /usr/local/lib/libkk.so is moved to Quarantine.              2019-11-29 14:35:20
  8 detected scanner  /usr/local/lib/libkk.so : Unix.Malware.Agent-6745798-0 FOUND

Inmiddels kan ik met putty in de root maar het bestand heeft dusdanige rechten dat ik met chmod niets kan veranderen en het bestand weg kan halen. Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?

Bedankt voor het meedenken mensen, ik hoor graag van jullie.

[Birdy]

Een Synology Ticket inleggen zij kunnen beslissen wat er moet gebeuren en kunnen dit dan ook op afstand voor je fixen.

[Birdy]

Is .kswapd geen onderdeel van de swap service en standaard onderdeel van de Linux kernel. Is de melding daarom een false positive?

Ik heb even gekeken op m'n DS716+II maar, bij mij bestaat geen .kswapd m.a.w., geen onderdeel van DSM dus: positive! en zal verwijderd moeten worden.
DSM is dan ook geen standaard Linux.

Hier een voorbeeld van een ander gevalletje met AV.

[leonardus]

Heb inderdaad 2 dagen geleden ticket aangemeld bij Synology maar die reageren niet binnen een week denk ik. Tot die tijd probeer ik in ieder geval het bewuste bestand met putty weg te halen maar daar ben ik dus nog niet uit omdat de rechten piep -rwxr-xr-x 1 root root 2528200 Aug  9 18:35 .kswapd staan.
 

[Birdy]

Ik had ook een Ticket ingeschoten 2 dagen geleden voor iets anders, vandaag pas een reactie gehad van een 1e line (en die was on leave ).
Denk dat jouw ticket naar 2e of 3e lines moet.

[Briolet]

Zoek hier eens op "/root/.cache".  Recentelijk was er een vergelijkbaar geval. Dat heeft Synology opgelost door die hele folder te verwijderen.

(off-topic: Als is die zoekopdracht doe, vind ik alleen dat andere topic. Niet deze waar dezelfde string in staat. Waarom?)

[leonardus]

Ik kan met putty in die folder komen en zie het bestand. Alleen de rechten staan dusdanig dat ik niets kan verwijderen.

Kijk hier maar eens

[Briolet]

Het is volgens mij niet alleen dat bestand, maar de hele '.cache' folder die de malware plaatst en dus gewist moet worden. En ze zullen dit wissen natuurlijk zo lastig mogelijk maken.

[leonardus]

Klopt wat je zegt. Ticket loopt bij Synology dus ben ook benieuwd naar de oplossing. Tot die tijd probeer ik om het zelf op te lossen. Ook de technische mensen bij Synology hebben hun kennis ergens vandaan gehaald toch?. Feit is dat het bewuste bestand nog niet te verwijderen is. En of dat de definitieve oplossing is?

Dus, als eerste: hoe verwijder ik dit bestand (die verkeerde rechten heeft) of de hele folder .cache in de root met bijvoorbeeld putty?

[Briolet]

Draai je misschien Wordpress met verouderde plugins? Er zijn de laatste maanden meerdere plugins gepubliceerd die 'lek' zijn en aanvallers toegang geven tot het onderliggende systeem.
Ze b.v. hier.

(Als je de bron van de infectie niet vind, is verwijderen zinloos. Bedenk ook dat veel malware een cronjob start waarlangs het zichzelf steeds terug plaatst)

[DSGebruiker]

Een volledig rm -rf .cache als root lukt dus niet ?! (commando uit te voeren als je in de /root staat na inloggen)

Probeer bestand ook eens tussen single-quotes te zetten.
Dus rm -f '.kswapd' als je in die /root/.cache folder zit.

Mischien is de "shell" environment ook gecompromitteerd?

[André PE1PQX]

Probeer deze procedure eens: https://www.synology-forum.nl/algemeen/nas-benaderen-met-ssh-winscp-putty/
Zo heb je (als ik het goed begrepen heb) meer rechten om e.e.a. te kunnen uithalen, mogelijk ook het verwijderen van de gewraakte bestanden en mappen.

[leonardus]

DSGebruiker, Tnks voor je tip, geprobeerd maar niet gelukt.

Zie bijlage   

[leonardus]

Tnks, André PE1PQX ga ik morgen proberen!

[dvandonkelaar]

geprobeerd maar niet gelukt.

Heb je rm -rf .cache als root gedaan? Dus, ingelogt als root óf sudo rm -rf .cache