Aller au contenu

Faille De S


Messages recommandés

Bonjour,

Voila quelques jours, je regardais les perf de mon syno, et je me suis aperçu qu'un processus minerd tournait sur le syno et prenait presque 99% des ressources de mon Syno DS710+ !

J'ai d'abord tué les processus, et il n'est pas revenu immédiatement, grace a la combinaisons des commandes :

ps |grep mine et kill -15 ou kill -9

resultat du PS grepée (filtrée) :

21700 root 57468 S ./minerd -B -o http://betterthan.dyndns.tv:13322 -u s

21701 root 57468 S ./minerd http://betterthan.dyndns.tv:13322-B -o -u s

21702 root 57468 S ./minerd http://betterthan.dyndns.tv:13322-B -o [ -u s

21704 root 57468 S ./minerd http://betterthan.dyndns.tv:13322-B -o -u s

21705 root 57468 S ./minerd http://betterthan.dyndns.tv:13322-B -o ] -u s

21706 root 57468 R N ./minerd http://betterthan.dyndns.tv:13322-B -o -u s

21707 root 57468 R N ./minerd http://betterthan.dyndns.tv:13322-B -o -u s

21863 root 3204 S grep mine

Un top me renvoyait ceci :

766700K used, 249224K free, 0K shrd, 25400K buff, 630172K cached

CPU: 0.0% usr 0.1% sys 99.6% nic 0.0% idle 0.0% io 0.0% irq 0.0% sirq

Load average: 3.21 2.04 1.62 3/106 27607

PID PPID USER STAT VSZ %MEM %CPU COMMAND

23840 23835 root R N 56444 5.5 49.8 ./minerd http://betterthan.dyndns.tv:13322 -B -o

23839 23835 root R N 56444 5.5 49.6 ./minerd http://betterthan.dyndns.tv:13322 -B -o ]

3748 1 root S 16564 1.6 0.1 scemd

7223 1 root S 12880 1.2 0.1 /usr/syno/sbin/snmpd -Ln -c /usr/syno/

27607 21722 root R 3240 0.3 0.1 top

23835 23833 root S 56444 5.5 0.0 ./minerd http://betterthan.dyndns.tv:13322-B -o

23833 1 root S 56444 5.5 0.0 ./minerd http://betterthan.dyndns.tv:13322-B -o

23836 23835 root S 56444 5.5 0.0 ./minerd http://betterthan.dyndns.tv:13322-B -o

23837 23835 root S 56444 5.5 0.0 ./minerd http://betterthan.dyndns.tv:13322-B -o

23838 23835 root S 56444 5.5 0.0 ./minerd -http://betterthan.dyndns.tv:13322 B -o

24414 1 root S 22396 2.2 0.0 /usr/syno/synoman/webman/modules/Contr

21715 8119 root S 17916 1.7 0.0 sshd: root@pts/1

Je précise que je log tout ce que je fais avec putty en ssh.

En faisant quelques recherches, je suis tombé sur cet article :

http://forum.synology.com/enu/viewtopic.php?f=7&t=78993

Artilce (indiqué aussi par EVOTk dans la shoutbox) qui semble indiquer qu'il ya aurait une faille de sécurité dans le code PHP de DSM, si j'ai bien compris...

Le fil de discussion semble aussi indiquer a la fin qu'il faut faire la mise a jour pour combler la faille de sécurité et arrêter définitivement ce processus minerd qui serait un générateur de bitcoin d'après les nombreuses recherches que j'ai fait et les résultats que j'ai eu dans une requête Google.

J'ai fait la mise a jour mais...

Ma question :

comment retrouver ces fichiers qui sexécutaient sur mon syno pour etre sur qu'il n'y sont plus. ?

Car, avant de faire la MAJ conseillée par le fil, j'ai fait une commande find de ce genre :

find / -name minerd -type f -print 2>/dev/null

Mais celle-ci ne m'a rien renvoyée !

Autres questions subsidiaires :

Comment retrouver l'emplacement doù exécute un processus comme celui là ?

Si l'intrusion a permis d'installer ces saloperies, a t-elle permis de retrouver mon mot de passe root ? (je l'ai changé au cas ou)

PS: Je précise qu'hier lorsque jke killais le processus minerd par son PID,il ne revenait pas immédiatement. Ce soir, juste avant de faire cette MAJ vers DSM 4.3.3810, et de poster ce message, j'ai killé la tache et elle s'est relancée rapidement , voir aussitôt !

et j'ai un drole de fichier caché (known_hosts) dans mon répertoire /root :

ls -la

drwx------ 2 root root 4096 Oct 4 13:36 .

drwxr-xr-x 3 root root 4096 Jan 15 19:37 ..

-rw-r--r-- 1 root root 395 Jan 14 21:18 known_hosts

Il semble contenir une ip qui serait située près de leeds au royaume uni d'après un WHOIS que j'ai fait sur la toile.

Merci pour vos réponses.

Ma commande ps | grep d'hier soir :

ps |grep mine*

26442 root 56444 S ./minerd -B -o http://betterthan.dyndns.tv:13322 -u s

26443 root 56444 S ./minerd -B -o ]http://betterthan.dyndns.tv:13322] -u s

26444 root 56444 S ./minerd -B -o http://betterthan.dyndns.tv:13322-u s

26445 root 56444 S ./minerd -B -o http://betterthan.dyndns.tv:13322 -u s

26446 root 56444 S ./minerd -B -o http://betterthan.dyndns.tv:13322 -u s

26448 root 56444 R N ./minerd -B -o http://betterthan.dyndns.tv:13322 -u s

26449 root 56444 R N ./minerd -B -o ] http://betterthan.dyndns.tv:13322 -u s

Notez que le port n'est pas le même !

EDIT : Liens cassés dans le post, car inutiles.

IP dans le fichier known_hosts : 91.203.75.72

Modifié par Moise44
Lien vers le commentaire
Partager sur d’autres sites

J'ai lu ton post jlg42, mais je n'y ai pas trouvé grand chose de plus et pas les réponses a mes questions posée ci dessus en bas de mon post.

1.Comment retrouver ces fichiers qui sexécutaient sur mon syno pour etre sur qu'il n'y sont plus. ?

2.Est-ce que ce fichier a été introduit par la faille, et uniquement en mémoire ?

3. Comment retrouver l'emplacement doù s'exécute un processus comme celui là ?

4. Si l'intrusion a permis d'installer ces saloperies, a t-elle permis de retrouver mon mot de passe root ?


Par ailleurs, je n'ai pas installé ce logiciel Sikbeard sur mon système, et donc je ne pense pas être dans la même situation que sword qui a répondu et dit avoir résolu le pb en le désinstallant.

Merci pour vos réponses.

PS aux admins du site : J'ai voulu casser les URL dans mon post, j'ai essayé avec l'éditeur avancé, mais le site remet les balises html tout seul, même quand on choisi de casser le lien VOLONTAIREMENT. Cette fonction casser le lien ne semble donc pas fontionner correctement dans l'éditeur, simplifié, ni dans l'éditeur avancé. une simple préview remet les balises aussitôt.

Modifié par Moise44
Lien vers le commentaire
Partager sur d’autres sites

N'étant pas moi-même concerné je me suis contenté de faire le lien vers le sujet qui me semblait le plus approprié.

Mais d'après ce sujet il y aurait une faille sur le DSM 4.3 et il faut mettre le Patch correctif numéro 4 sur celui-ci.

D'après le CVE-2013-6987 et le forum anglais de syno #6 du sujet pré cité : la faille est exploité via le port 5000 donc via l'interface http du dsm CrashOver1D dit qu'il n'a plus de soucis en supprimant l'accès via http et le patch.

Pour ce qui es de ton mot de passe root moi je le changerait ca coute rien.

Modifié par jlg42
Lien vers le commentaire
Partager sur d’autres sites

J'ai fait la mise a jour comme le disait un gars sur le forum anglais. Je l'ai d'ailleurs indiqué dans mon post ...

Et je n'ai plus de pb de surcharge du processeur.

Par contre, je ne comprend pas trop, ce que veut dire supprimer l'accès http sur un syno, vu que l'intérêt est tout de même d'y accéder via le port 5000, entre autre, sur le protocole http ...

Et oui, évidemment, j'ai changé mon mot de passe root aussitôt après.

Par contre, comme a chaque mise a jour, j'oublie ce qu'il faut faire pour ne pas avoir a réinstaller ipkg, pourrais tu me dire cer qu'il faut faire en plus de rajouter /opt/bin, et /opt/sbin dans le .profile ?
Parce que là j'ai plus accès a ipkg, ni a tout ce que j'avais installé avec ...

Lien vers le commentaire
Partager sur d’autres sites

Par contre, je ne comprend pas trop, ce que veut dire supprimer l'accès http sur un syno, vu que l'intérêt est tout de même d'y accéder via le port 5000, entre autre, sur le protocole http ...

A partir du moment ou on est passé en update 4 la faille est corrigée, donc on peut de nouveau ouvrir l'acces http

Lien vers le commentaire
Partager sur d’autres sites

Juste en http ? Le https n'est donc pas touché ?

D'apres le texte de l'alerte la vulnérabilité passait par une URL vers l'API filestation spécialement forgée.

Par conséquent, http et https même combat.

Je dirais toutefois que se poser maintenant cette question est purement "académique" vu que le patch est disponible.

Modifié par CoolRaoul
Lien vers le commentaire
Partager sur d’autres sites

D'apres le texte de l'alerte la vulnérabilité passait par une URL vers l'API filestation spécialement forgée.

Par conséquent, http et https même combat.

Je dirais toutefois que se poser maintenant cette question est purement "académique" vu que le patch est disponible.

Oui effectivement, pour ma part je passe par le VPN pour accéder à mon nas à distance, je suis donc tranquil :)

J'ai lu ton post jlg42, mais je n'y ai pas trouvé grand chose de plus et pas les réponses a mes questions posée ci dessus en bas de mon post.1.Comment retrouver ces fichiers qui sexécutaient sur mon syno pour etre sur qu'il n'y sont plus. ?2.Est-ce que ce fichier a été introduit par la faille, et uniquement en mémoire ?3. Comment retrouver l'emplacement doù s'exécute un processus comme celui là ?4. Si l'intrusion a permis d'installer ces saloperies, a t-elle permis de retrouver mon mot de passe root ?Par ailleurs, je n'ai pas installé ce logiciel Sikbeard sur mon système, et donc je ne pense pas être dans la même situation que sword qui a répondu et dit avoir résolu le pb en le désinstallant.Merci pour vos réponses.PS aux admins du site : J'ai voulu casser les URL dans mon post, j'ai essayé avec l'éditeur avancé, mais le site remet les balises html tout seul, même quand on choisi de casser le lien VOLONTAIREMENT. Cette fonction casser le lien ne semble donc pas fontionner correctement dans l'éditeur, simplifié, ni dans l'éditeur avancé. une simple préview remet les balises aussitôt.

Essaye plutôt cela : find / -type d -name @minerd

Lien vers le commentaire
Partager sur d’autres sites

Oui effectivement, pour ma part je passe par le VPN pour accéder à mon nas à distance, je suis donc tranquil :)

Hello

moi aussi accès uniquement par VPN, mais si tu utilise du VPN pptp, fais attention car ce protocole n'est plus réputé comme sûr ...

par exemple : http://sid.rstack.org/blog/index.php/555-ms-chapv2-definitivement-casse-consequences-pratiques (RIP sid)

il reste openvpn sur le syno qui est plus secure ... en installant openvpn client sur le poste (ou iphone) pour y accéder (et en mettant des mots de passe secure eux aussi ...

( voir : http://splashdata.com/press/worstpasswords2013.htm )

a plus !

Lien vers le commentaire
Partager sur d’autres sites

Oui effectivement, pour ma part je passe par le VPN pour accéder à mon nas à distance, je suis donc tranquil :)

Essaye plutôt cela : find / -type d -name @minerd

Ok, mais pourquoi un "@" devant ? Que signifie le @ pour find dans ce cas ?

Ok, pour le VPN, mais je ne suis pas sûr que cela facilite le partage avec les amis pas forcément tous informaticiens et plutôt béotiens, pour comprendre de quoi il s'agit, alors qu'une URL, la plupart de mes amis savent ce que c'est...

Question subsidiaire sur le VPN : Si PPTP ne semble effectivement plus sur, quelle est le niveau de sécurité avec le L2TP sur IPSec utilisant le même chiffrement : MS-CHAP-V2) ?

Oui, car OpenVPN, c'est tout de même loin d’être pratique et simple a manipuler pour le commun des mortels.

Il ne s'agit donc pas des mêmes usages dont nous parlons. Ce qui explique ma question plus haut en rapport avec un hypothétique fermeture en http.

Ceci dit, je vais dorénavant changer les ports par défaut sur mon routeur pour éviter ce genre d'attaques, tout en permettant l'accès en http, via des URLs simple et faciles, a comprendre pour la majorité, voire https (j'ai fait un certificat).

PS : J'ai tout de même vu passer ce post sur PCImpact cette semaine., et j'espère que bcp l'auront vu passer et feront la MAJ nécessaire. Mais, c'est la première fois que je fais des MAJ de Force avec mon Syno, sachant qu'avant, je ne faisais les MAJ qu'a une sortie sur deux de DSM.

PS2 : la commande find acvec le @ ne donne pas plus de résultats. Je suppose donc que l'intrus n'a pas été jusqu’à se créer un compte dans les fichiers et a juste balancé son machin en RAM, ou que les MAJ ont effacé ses fichiers.

Modifié par Moise44
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

je suis dans le même cas que toi avec un 1511+ :wacko:

Bonjour,

J'ai découvert moi aussi que mon Syno 411 + "minait" du Bitcoin a l'insu de mon plein gré. :angry:

Pourtant j'étais en DSM 4.1 2636 qui n'avait pas l'air concerné par la faille de sécurité.

Je viens de faire la mise à jour en 4.3 update 4 et je vais surveiller la charge CPU

Modifié par Alligator427
Lien vers le commentaire
Partager sur d’autres sites

Miner des Bitcoins avec des appareils si peu puissants, ca m'etonne un peu ... Vous avez quels services qui tournent sur votre Syno (PhotoStation, etc ) ?

Le lien au dessus dans mon post parle clairement d'un pb connu et d'aune faille "directory transversal" via les scripts CGI de synology. Donc rien a voir avec photostation...

Même si j'y avais pensé avant de poster et

que j'avais aussi regardé de ce coté la.

Je ne pense pas non plus que synology ait utilisé un nom de processus qui se nommerait minerd ... Et si vous faites des recherches sur GG, vous verrez que les réponses ne sont pas légions. Je ne suis peut être pas Maitre des Syno, mais il me semble que mon post donnait assez d'informations précises avec mes commandes ps, find, et grep ...D'autant plus que je suis sous windows et que je n'ai de toute façon pas installé de mineur de bitcoins sur aucunes de mes machines.

Modifié par Moise44
Lien vers le commentaire
Partager sur d’autres sites

Je ne faisais pas allusion a la manière dont tu avais débrouillé ton problème mais au fait que pour miner des BitCoins il faut maintenant de nos jours des machines autrement plus puissantes que des DiskStations (ou réussir a infecter plusieurs dizaines de millions de DiskStations )

Lien vers le commentaire
Partager sur d’autres sites

Un dossier a la racine, visible par ssh (ne se trouve pas sur les volumes, mais le système.)

Me suis mal exprimé: ce qui m'a interpellé c'est comment on peut avoir un processus *dans* un dossier.

A part "/proc", dans un dossier on trouve des fichiers (possiblement exécutables) , d'autres dossiers et éventuellement des sockets unix ou fifos, mais parler de "processus"?

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.