Hello,
Je rencontre le même symptome depuis hier soir avec dhcp.pid me consommant 100% de mon CPU tout au long de la journée.
J'ai kill le process et tout est rentré dans l'ordre. Un top dans la console m'indiquait une @IP (46.249.51.176) ainsi que 2 ports 3333+3334 utilisés.
Ce matin rebelote, toujours avec dhcp.pid, même port mais une autre IP (94.102.49.168). Tout est rentré dans l'ordre après un kill du process.
En creusant un peu plus je suis tombé sur ce forum: http://forum.synology.com/enu/viewtopic.php?f=19&t=81026
Comme dit, le fichier est présent dans /tmp/ et se trouve être un bitcoin miner:
./dhcp.pid --help
Usage: minerd [OPTIONS]
Options:
-a, --algo=ALGO specify the algorithm to use
scrypt scrypt(1024, 1, 1) (default)
sha256d SHA-256d
-o, --url=URL URL of mining server (default: http://127.0.0.1:9332/)
(...)
Il s'agit donc bien d'un hack.
J'ai effacé ce fichier de mon /tmp et lancé un scan antivirus sans succès pour l'instant.
J'ai créé une rêgle de firewall pour bloquer les ports 3333 et 3334.
Je n'ai pas trouvé de traces de connexion suspecte dans mes journaux et ma crontab est clean.
Je suis en DSM 4.2-3211 pour info.
edit: Je suis allé vérifier à mon tour dans /var/run et httpd-log.pid était bien présent, en date d'aujourdhui à 2h11. Il s'agit du même bitcoin miner qui était camouflé précedemment dans mon /tmp/dhcp.pid (en date d'hier, 15h42 en revanche)