Gzu

C'est un screenshot tout frais d'il y a environ 1 heure, et post réinstall. Bon après, peut être me trompe-je, mais je vois de mon côté un idle à 95.4% et un nic à 0%. Non ?

Tout pareil, j'ai fait un reset et réinstallé la dernière version dispo. C'était une première fois, j'étais pas super à l'aise Me reste plus qu'à réinstaller mes paquets tiers, le plus dur est passé ! @Lindice: Hallucinant le coup du process camouflé et des commandes bricolées. En quelques jours, ce truc est passé d'un bricolage grossier à une saloperie relativement bien foutue. Je n'aurais pas repéré le problème il y 2 jours, je serais sans doute tout simplement passé à côté aujourd'hui. En tout cas tu m'as fait bien psychoter pendant quelques minutes ! Tout semble clean de mon côté... Merci pour ton retour et bon courage pour ce WE ! @Mwanico: Les commandes ls et find sont utilisées dans la console et permettent la recherche de fichiers. La commande top permet de lister les processus en cours et les ressources utilisées. En tête de la commande top tu as les informations d'utilisation globale de ton processeur, la partie idle étant les ressources non utilisées:

@lejurassic39: Je suis en DSM 4.2 et pourtant j'ai mangé le malware moi aussi (également vu d'autres témoignages ça et là). J'aurais tendance à penser que la faille est antérieure au build 4.3-3776... Bizarrement je n'ai trouvé ni le dossier /volume1/startup, ni le dossier /PWNED. Juste les 2 fichiers /var/run/http-log.pid et /tmp/dhcp.pid Je compte de toute façon me coller ce soir sur le palliatif, j'aime pas trop l'idée d'une cochonnerie dans mon serveur de données...

Hello, Je pense avoir trouvé un truc interessant: et Vu ici: http://forum.synology.com/enu/viewtopic.php?f=7&t=78993 Bref, maintenant on sait c'est connu ! La solution est connue également: Backup + Reset + Update Bon backup et bon serrage de fesse à tous pendant ces manipulations

@lejurassien39: De rien, je suis dans la même galère @manwico: http://www.synology.com/fr-fr/support/tutorials/478 (toutes les infos en chapitre 2) J'ai remarqué que changer le password de mon admin, ne modifiait pas celui du compte root pour la connexion SSH. Suis en train de regarder comment faire mais ça ne semble pas aussi simple qu'un passwd... edit: En fait c'est tout simple, il suffit de changer le mot de passe du compte "Admin" Même si ce compte est désactivé, le mot de passe root pour la connexion SSH sera néanmoins modifié par le nouveau. edit2: Quitte à désactiver SSH, j'en ai également profité pour désactiver FTPS... PS: un topic connexe concernant le "rogue *Coin miner" qui fait un peu flipper: http://forum.synology.com/enu/viewtopic.php?f=19&t=80857

Aucune idée concernant l'origine de la cochonnerie Pour le blocage des ports, j'ai simplement créé une rêgle dans le firewall de DSM empêchant l'utilisation de ces 2 ports, ainsi que sur mon routeur. J'ai également désactivé SSH en attendant d'avoir plus de lisibilité et changé mon password administrateur (Admin étant désactivé, je suis le seul admin du Syno) Ca ne résoud sans doute rien, mais c'est déja ça LA vrai solution serait de restore/update mon Syno évidemment A suivre...

Hello, Je rencontre le même symptome depuis hier soir avec dhcp.pid me consommant 100% de mon CPU tout au long de la journée. J'ai kill le process et tout est rentré dans l'ordre. Un top dans la console m'indiquait une @IP (46.249.51.176) ainsi que 2 ports 3333+3334 utilisés. Ce matin rebelote, toujours avec dhcp.pid, même port mais une autre IP (94.102.49.168). Tout est rentré dans l'ordre après un kill du process. En creusant un peu plus je suis tombé sur ce forum: http://forum.synology.com/enu/viewtopic.php?f=19&t=81026 Comme dit, le fichier est présent dans /tmp/ et se trouve être un bitcoin miner: ./dhcp.pid --help Usage: minerd [OPTIONS] Options: -a, --algo=ALGO specify the algorithm to use scrypt scrypt(1024, 1, 1) (default) sha256d SHA-256d -o, --url=URL URL of mining server (default: http://127.0.0.1:9332/) (...) Il s'agit donc bien d'un hack. J'ai effacé ce fichier de mon /tmp et lancé un scan antivirus sans succès pour l'instant. J'ai créé une rêgle de firewall pour bloquer les ports 3333 et 3334. Je n'ai pas trouvé de traces de connexion suspecte dans mes journaux et ma crontab est clean. Je suis en DSM 4.2-3211 pour info. edit: Je suis allé vérifier à mon tour dans /var/run et httpd-log.pid était bien présent, en date d'aujourdhui à 2h11. Il s'agit du même bitcoin miner qui était camouflé précedemment dans mon /tmp/dhcp.pid (en date d'hier, 15h42 en revanche)