Mirai besmetting?

[JdM]

Als gevolg van een outdated domoticz op mijn synology 216play is er een Mirai besmetting op mijn synology terecht gekomen (zo lijkt het). Zie voor de Rpi besmettingen die vrij recent opduiken bijvoorbeeld: https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329
Het betreft hier dus waarschijnlijk geen IoT exploit, zoals veel over te vinden is.

Ik ben aan het proberen te achterhalen of de besmetting ergens zichtbaar is in de synology en ik ben hiervoor aan het graven in de cronjobs.
Nu heb ik via de DSM GUI alle taken gewist en daarna via SSH opgevraagd wat de cronjobs zijn die over zijn gebleven.

In deze lijst zijn enkele cronjobs zichtbaar die verwijzen naar een id bijvoorbeeld:

Code: [Selecteer]

30 5 * * * root /usr/syno/bin/synoschedtask --run id=3
Mijn kennis van linux commando's is te laag om de betreffende id waar deze cronjob naar verwijst te achterhalen. Is er iemand die me hierbij kan en wil helpen?

[JdM]

Heb het commando inmiddels achterhaald
Id 3 betreft de auto DSM update.
Een andere is id11 en die geeft het volgende weer:

Code: [Selecteer]

root@DISKSTATION2:~# /usr/syno/bin/synoschedtask --get id=11
               ID: [11]
             Name: [Task 11]
            State: [enabled]
            Owner: [root]
             Type: [daily]
       Start date: [0/0/0]
         Run time: [0]:[0]
Repeat every [30] min (s) until [23]:[30]
          Command: [/usr/syno/bin/syno_disk_latency_collector record]
           Status: [No last run record]Dit lijkt me een taak die van een HDD controle af komt.
Ik ga eens alle id's af om te zien of er niets malafides in staat.

/edit
Er lijken geen malafide taken zichtbaar via uitlezen van de id's
Ga nu mijn syno weer online zetten, maar ben nog steeds heel erg benieuwd naar de wijze waarop de software zijn werk gedaan heeft, hopelijk achterhaal ik dat nog.

[Birdy]

synoschedtask is de Taakplanner.

[JdM]

Maar de taakplanner laat in de GUI niet alles zien, wellicht begrijp ik je reactie verkeerd?

[Birdy]

synoschedtask staat in de crontab en execute tasks, in jouw voorbeeld ID3.
Als die voor jou onbekend is, dan zou ik die verwijderen.
Je hebt al een copy van die regel en bewaar die voor de zekerheid.

[JdM]

Ik heb de regels verwijderd en nu ingevoerd en bevestigd:

Code: [Selecteer]

MAILTO=""
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/syno/sbin:/usr/syno/bin:/usr/local/sbin:/usr/local/bin
#minute hour mday month wday who command
0 0 1 * * root /usr/syno/bin/syno_disk_health_record
0 8 * * 0 root /var/packages/AntiVirus/target/bin/synoavscan --all
0 0 * * * root /var/packages/MailServer/target/bin/syno_clean_junk --clean
0 1 * * * root /var/packages/MailServer/target/bin/MailScanner/clean.quarantine



[JdM]

Voor toekomstige referral:
"In addition to @febalci and @fleinze's removal steps, there's one more step I took from synology-forum.nl.

14. Open domoticz and backup your database. Open the backup file with a database edit tool, e.g. 'DB Browser for SQLite' (https://sqlitebrowser.org/dl/).

On tab 'Browse Data' open table 'CustomImages'. There should be a row containing mr.sh (in my case it was called fakeicons or fakeimages).
Remove the row by right mouse click --> Delete Record.
Save using Write Changes button.

Restore the database backup and restart Domoticz."
Bron: https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329&sid=ad1fb062382cf536f9c4774747aca25d&start=20

Backup dus je Domoticz database en verwijder zoals bovenstaand aangegeven de genoemde tabel.


In mijn geval: Ik heb de betreffende Syno volledig gereset inmiddels, dus zal met een schone install beginnen en de nieuwste domoticz.