Synology-Forum.nl
Overige software => Web Station => Topic gestart door: Webkarma op 12 september 2010, 11:55:31
-
Sinds vorige blijkt dat er via mijn e-mail adres spam wordt verzonden. Ik krijg namelijk bounce messages from all over the world waaruit dit blijkt, en heb contact opgenomen met mijn provider. Die ziet inderdaad dat er vanaf mijn ip adres zo nu en dan enorme hoeveelheden mail wordt verzonden. Echter, dit gebeurt ook 's nachts zonder dat er ook maar één van mijn computers aanstaat (3x iMac achter een Apple Airport Extreme > Synology DS209 met DSM 2.3-1157). Het enige dat dag en nacht aanstaat is de Synology NAS. Ik kan dus niet anders concluderen dan dat dit apparaat op de een of andere manier is geinfecteerd. Dit vermoeden wordt verterkt doordat ik per mail een melding kreeg van een I/O fout op één van de harde schijven, en vanaf die tijd is het mis.
Tot zover de situatie. Mijn vraag is derhalve:
- zou het inderdaad een infectie oid kunnen zijn?
- wat valt er aan te doen om dat op te lossen, waarbij ik -als luie macgebruiker- geen reet weet van rootkits, linux command lines etc etc.
- is er nog een logfile wat ik zou kunnen raadplegen om te checken wat er aan de hand is?
Kortom, alle hulp is welkom!
Alvast hartelijk dank,
HR
-
Een trojan lijkt me wat sterk, maar wellicht heb je je smtp server open staan voor buitenstaanders?
(ofwel staat er een vinkje bij Autorisatie vereisd?)
(inloggen in DSM, management > mailstation)
-
Hmmm. Ik heb mailstation helemaal niet aanstaan.... Moet dus wat anders zijn. Wie biedt?
Een trojan lijkt me wat sterk, maar wellicht heb je je smtp server open staan voor buitenstaanders?
(ofwel staat er een vinkje bij Autorisatie vereisd?)
(inloggen in DSM, management > mailstation)
-
Hmmm. Ik heb mailstation helemaal niet aanstaan.... Moet dus wat anders zijn. Wie biedt?
Mail versturen kan altijd. Mailstation (het SMTP gedeelte) zorgt ervoor dat je ook kunt ontvangen.
Je zou ook via je webserver geinfecteerd kunnen zijn.
Helaas zet de default http server geen logging aan maar je kunt het volgende eens doen:
(je moet daarvoor wel inloggen op je synology en een file aanpassen)
Log in naar je synology, als admin gebruiker
cd /usr/syno/apache/conf
vi httpd.conf
Zoek de regel waar staat
ErrorLog /dev/null
En maak hiervan
#ErrorLog /dev/null
Zet daaronder de volgende regel:
ErrorLog /var/log/httpd-error-user.log
Doe hetzelfde met de regel
CustomLog /dev/null combined
en maak hiervan:
#CustomLog /dev/null combined
En voeg eronder deze regel toe:
CustomLog /var/log/httpd-access-user.log combined
save & exit en herstart de http daemon met het volgende command:
/usr/syno/apache/bin/httpd -k restart
Deze verandering werkt totdat je een reboot doet van je systeem, daarna zal de verandering worden verwijderd, dus er is niet veel gevaarlijks mee.
Als je dan je server hebt herstart, kan je in de 2 log files in /var/log eens kijken of er rare dingen gebeuren via de webserver.
Nog 2 opmerkingen:
* Als je deze veranderingen permanent wilt maken, moet je deze ook toepassen in de file /usr/syno/apache/conf/httpd.conf-user
* Als je dit ook wilt doen voor de admin server, moet je dit toepassen in de file /usr/syno/apache/conf/httpd.conf-sys
Succes
-
Even een kleine remark bij bovenstaande tip:
ErrorLog /var/log/httpd-error-user.log
Op zich een goed idee om te loggen, maar dan niet op deze plek (alhoewel dit wel de standaard Linux plek is waar log terecht zouden moeten komen...). Juist niet op deze plek omdat dit de systeempartitie betreft. Deze is standaard redelijk klein, zeker als je deze vergelijkt met de datapartitie onder /volume1. Wat dus een beter idee is, is om deze regels (hij wordt 2 x genoemd) te wijzigen in:
ErrorLog /volume1/public/httpd-error-user.logOf welke directory je ook maar wilt onder /volume1...
Op die manier loop je niet de kans dat je datapartitie volloopt door logging (met alle vervelende gevolgen van dien!).
Succes overigens met het zoeken naar wat er loos is!
Wizjos
-
Ok, ik trek de stoute schoenen aan en zal het eens proberen allemaal. Ben niet zo'n command line jockey, maar als het niet anders kan, dan moet het maar.