Processus A 100% Et Dhcp.pid

[Lindice]

Hello David,

Non, je ne suis pas sûr que le Idle à zéro est une preuve d'infection, je n'ai pas assez d'expérience de Linux pour dire ça, mais c'est la déduction à laquelle je suis arrivé en constatant que le virus avait juste disparu tout seul durant la journée. Comme c'était impossible, j'ai cherché les explications possibles et celle-là me semblait assez vraisemblable. De plus, à partir du moment où le process ne fait aucun accès disque, le Nas est tellement silencieux que je ne suis pas capable d'affirmer qu'il ne fait rien.

De ton côté, tu es certain 100% que ton DSM 3.1 est épargné ? Le mieux pour confirmer serait peut-être de demander à Synology si un nice à 97% (et un idle à 0) en permanence est normal ? Ca ne me semblerait pas logique. Pour moi, c'est plutôt le signe que leur truc est passé en low priority pour être plus discret. Mais je peux complètement me tromper :-(

Gzu, toi qui as tout réinstallé proprement, tu peux nous donner ton idle/nice actuel ? Parce que sur ton screenshot idle est à zéro et nice à 95.4%. Il a été fait post-réinstall, ce screenshot ?

Thx, bon courage à tous...

Lindice

[Gzu]

C'est un screenshot tout frais d'il y a environ 1 heure, et post réinstall.

Bon après, peut être me trompe-je, mais je vois de mon côté un idle à 95.4% et un nic à 0%. Non ?

[Lindice]

Non, le descriptif du process est situé avant le chiffre. CPU : 0.0%... etc. Bon, ça met à mal mon hypothèse mais ce n'est pas forcément une mauvaise nouvelle ! Sauf que je me demande maintenant si le hack a bien disparu lors de la mise à jour du DSM hier (mon NAS est un 409, je ne peux pas monter en 4.3 j'ai donc installé le dernier 4.2).

Bref : désolé si c'était une fausse alerte et toutes pistes permettant de vérifier l'absence d'infection bienvenues. Si je peux éviter un hard reset, j'aime autant.

Cordialement,

Lindice

[Lindice]

Pardon, non, tu as raison. C'est moi qui lis dans le mauvais sens. CPU, puis la liste de toutes les utilisations CPU. Une preuve de plus que je ne maîtrise pas mon sujet :-( Là, cette fois, ça rend nulle et non avenue mon analyse. Mais alors je ne comprends pas où est passé le process hier dans la journée et je ne sais toujours pas si ma mise à jour DSM a permis de l'éradiquer définitivement.

Vraiment désolé pour le coup de flip.

Lindice

[lejurassien45]

The one I found (user ‘smmsp’ with multiple PWNEDm process running – actually a program called mined that’s been renamed , no other apparent damage besides tampering with some Synology web-interface files ot hide it’s CPU activity. Seems to all be started form a user called smmsp (Sendmail user – listed in the /etc/passwd file)

Effectivement hier j'avais smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd

et aujourd'hui il y est encore malgré une reinstallation et la date n'est pas du 14 mais du 12...

Quelqu'un peut-il me confirmer que cette ligne dans /etc/passwd est bien légitime s'ils vous plaît???

Et surtout ceci smmsp:*:10933:0:99999:7::: dans /etc/shadow

Modifié le 14 février 2014 par lejurassien39

[Dex]

Non, le descriptif du process est situé avant le chiffre. CPU : 0.0%... etc. Bon, ça met à mal mon hypothèse mais ce n'est pas forcément une mauvaise nouvelle ! Sauf que je me demande maintenant si le hack a bien disparu lors de la mise à jour du DSM hier (mon NAS est un 409, je ne peux pas monter en 4.3 j'ai donc installé le dernier 4.2).

Bref : désolé si c'était une fausse alerte et toutes pistes permettant de vérifier l'absence d'infection bienvenues. Si je peux éviter un hard reset, j'aime autant.

Cordialement,

Lindice

Suis pas expert non plus, mais j'ai du me mélanger les pinceaux... Le descriptif du process doit être à GAUCHE de la valeur sinon quelle est la valeur de sirq ?

http://www.admin6.fr/2010/11/la-commande-top-traduction-et-explications/

Du coup sur le 107+ en DSM 3.1. Si il y avait un trou connu, je pense que Syno aurait sorti une maj spécifique car la 3.1 est la dernière version installable sur ce syno (ancien):

Mem: 121316K used, 5480K free, 0K shrd, 2524K buff, 86960K cached

CPU: 0.0% usr 0.1% sys 0.0% nic 99.6% idle 0.0% io 0.0% irq 0.1% sirq

99.6% en idle.

Sur le 213+ (4.3 avec les patchs):

Mem: 500300K used, 14640K free, 0K shrd, 11036K buff, 418868K cached

CPU: 4.1% usr 1.3% sys 0.0% nic 94.4% idle 0.0% io 0.0% irq 0.0% sirq

94.4% en idle.

Les deux valeur sont cohérentes vue mon utilisation de ces NAS.

@lejurassien39 j'ai le même sur mes deux syno... Date 30/11/2013 sur le 107+ (dsm3.1) et 20/01/2014 sur le 213+ ce qui correspond à la dernière modif que j'ai faite (si il avait été modifié il daterait d'hier ).

[lejurassien45]

Suis pas expert non plus, mais j'ai du me mélanger les pinceaux... Le descriptif du process doit être à GAUCHE de la valeur sinon quelle est la valeur de sirq ?

http://www.admin6.fr/2010/11/la-commande-top-traduction-et-explications/

Du coup sur le 107+ en DSM 3.1. Si il y avait un trou connu, je pense que Syno aurait sorti une maj spécifique car la 3.1 est la dernière version installable sur ce syno (ancien):

Mem: 121316K used, 5480K free, 0K shrd, 2524K buff, 86960K cached

CPU: 0.0% usr 0.1% sys 0.0% nic 99.6% idle 0.0% io 0.0% irq 0.1% sirq

99.6% en idle.

Sur le 213+ (4.3 avec les patchs):

Mem: 500300K used, 14640K free, 0K shrd, 11036K buff, 418868K cached

CPU: 4.1% usr 1.3% sys 0.0% nic 94.4% idle 0.0% io 0.0% irq 0.0% sirq

94.4% en idle.

Les deux valeur sont cohérentes vue mon utilisation de ces NAS.

@lejurassien39 j'ai le même sur mes deux syno... Date 30/11/2013 sur le 107+ (dsm3.1) et 20/01/2014 sur le 213+ ce qui correspond à la dernière modif que j'ai faite (si il avait été modifié il daterait d'hier ).

Le même quoi?? J'aimerais savoir si tu as bien cette ligne dans etc/shadow smmsp:*:10933:0:99999:7:::

et si tu as smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans etc/passwd

Parce que moi malgré restauration aujourd'hui le 14 ils sont (shadow et passwd) toujours datés du 12.

merci à toi!

[Dex]

J'ai smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd sur mes deux syno (3.1 et 4.3)

J'ai aussi smmsp:*:10933:0:99999:7::: dans /etc/shadow sur mes deux syno.

A+

David

[lejurassien45]

J'ai smmsp:x:25:25:Sendmail Submission User:/var/spool/clientmqueue:/sbin/nologin dans /etc/passwd sur mes deux syno (3.1 et 4.3)

J'ai aussi smmsp:*:10933:0:99999:7::: dans /etc/shadow sur mes deux syno.

A+

David

Merki tout plein!! Je surveille pépère et les process qui tourne et je sniff tout ce qui sort avec wireshark,pour l'instant ça roule!

A bientôt

[Einsteinium]

Une petite question a tous les intervenant touche de se post, vous aviez rendu au moins une fois sur le net votre dns qui pointe vers votre nas ? Vous utilisiez celle de synology ?

Non car la question que je me pose la question, c'est comment ses farmer trouvent les nas =) (je ne pense pas qu'il fasse du ramdon D'ip...)

[Lindice]

Bonjour à tous,

@lejurassien39 : très bonne idée sharkwire! Quand on ne peut pas faire confiance au système, il faut évidemment se placer au dehors. J'ai juste mis 3 plombes à trouver un hub pour remplacer provisoirement mon habituel switch (j'avais complètement oublié que sur un switch on ne peut pas sniffer les packets et qu'on ne reçoit que les messages de broadcast... je ne comprenais pas pourquoi je n'avais aucune activité NAS->WAN quand je consultais les packages disponibles ou que je vérifiais la disponibilité d'une nouvelle version du DSM). Après avoir résolu ça, j'ai constaté l'absence totale de traffic depuis le NAS. Good point.

@Einsteinium : non, jamais posté mon dns ou mon IP sur le net. Mais pas besoin de faire du "random d'IP", il suffit de faire du scanning de plages d'IP. Il y a des programmes qui peuvent tester plusieurs centaines de milliers d'adresses IP en quelques minutes, en testant les ports ouverts compatibles avec les attaques. Si tu laisses un robot de ce type travailler pendant quelques jours, il te sortira des listes de centaines de machines vulnérables.

@Dex : la valeur de sirq est bien à gauche de sirq (0%). Le début de ligne "CPU:" indique juste qu'il va donner l'activité CPU car catégorie de process, suivent ensuite les stats sous forme de binômes "% / type". Je n'ai pas non plus trop l'habitude de lire ces infos, d'où mon erreur d'interprétation initiale.

Je découvre ce matin le message de l'équipe Synology:

http://forum.synology.com/enu/viewtopic.php?f=2&t=81134

Sur mon DS409-slim, la correction consiste à installer/réinstaller le DSM 4.2/3243, ce que j'avais fait avant-hier soir, avant de lire sur une autre file qu'il y avait un risque que l'upgrade ne soit pas effectif en raison des modifications de scripts d'install effectuées par les hackers. Mais bon, tout va bien, c'était bien la procédure à suivre :-) Sujet clos en ce qui me concerne, content d'économiser quelques heures de hard reset !

Très bon WE à tous, voilà un sujet classé.

Lindice

[Einsteinium]

@Lindice

Tu utilise la dns ou le quickconnect de syno ?

[Oooops!]

Bonsoir,

Bonjour à tous,

.../...

Je découvre ce matin le message de l'équipe Synology:

http://forum.synology.com/enu/viewtopic.php?f=2&t=81134

.../...

Très bon WE à tous, voilà un sujet classé.

Lindice

il y a une chose que je ne comprends pas bien: le message mis en lien est bien un annonce officielle de Synology pour tous les DS/RS? avec différents cas selon la version de DSM, par exemple:

"For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center."

Mais cette version 4.2-3243 n'existe que pour la famille x09 => par exemple pas possible sur mon DS411+II sous DSM 4.2-3211; et le répertoire le plus récent, "3246" est vide?...

[Lindice]

@Lindice

Tu utilise la dns ou le quickconnect de syno ?

Négatif. Je n'utilise ni Web station, ni cloudstation, ni les sites web personnels... donc je n'ai pas eu besoin des fonctionnalités citées.

Cordialement,

Lindice

[Einsteinium]

Négatif. Je n'utilise ni Web station, ni cloudstation, ni les sites web personnels... donc je n'ai pas eu besoin des fonctionnalités citées.

Cordialement,

Lindice

ok et pour finir tu avais ouvert quels ports ? C'est plus du renseignement perso, je n'ai pas été touché pour ma par (acces syno par vpn)

[Lindice]

Bonsoir,

il y a une chose que je ne comprends pas bien: le message mis en lien est bien un annonce officielle de Synology pour tous les DS/RS? avec différents cas selon la version de DSM, par exemple:

"For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center."

Mais cette version 4.2-3243 n'existe que pour la famille x09 => par exemple pas possible sur mon DS411+II sous DSM 4.2-3211; et le répertoire le plus récent, "3246" est vide?...

Bonsoir,

Effectivement, le bug touchait de nombreuses versions du DSN. Dans ton cas, avec un DS411+II, tu peux tourner en DSM 4.3 donc en théorie tu devrais passer sous la version 4.3 / 3827 du 14 février. Cf lien :

http://www.synology.com/fr-fr/support/download/DS411+II

Si tu veux rester en DSM 4.2 - qui est la version maximale compatible avec mon 409slim - le build permettant de régler le problème est le 3243 du 14 novembre dernier. C'est bien ce qui est indiqué dans le message de l'équipe Synology. Et oui, j'ai vu comme toi qu'ils avaient prévu une 3246 mais que les fichiers étaient absents. Ils ont sans doute jugé qu'elle n'était pas nécessaire... En tous cas, la 3243 semble suffisante pour se débarrasser de l'indésirable !

Cordialement,

Lindice

[Lindice]

ok et pour finir tu avais ouvert quels ports ? C'est plus du renseignement perso, je n'ai pas été touché pour ma par (acces syno par vpn)

Le mini vital pour mon usage : 21 pour le FTP, pour HTTP, 7000 pour Filestation, 5000 et 5001 pour Musicstation. Pas vraiment l'auberge espagnole, mais apparemment l'attaque est initiée sur le port (si j'ai bien compris) donc un seul suffit ! Et pour la suite, l'injection de code est faite par ssh (que j'avais laissé actif par erreur après en avoir eu besoin pour installer crashplan). Je vais bien penser à le désactiver après chaque utilisation à présent.

Bonne fin de soirée,

Lindice

[Einsteinium]

Non port 5000/5001 d'après ce que j'ai vue, tu devrais voir a passer par VPN, tu n'aurais plus de problème à l'avenir

Édit : tout ce que tu me dis, cela confirme bien qu'il y a du port scan a grande échelle, motivé les mecs...

Modifié le 15 février 2014 par Einsteinium

[Oooops!]

Re-

>> Lindice:

merci pour ta réponse; mais effectivement, comme je ne veux pas passer en V4.3 (à cause de tous les problèmes qu'elle a posés -et pose peut-être encore-) je suis coincé; même si a priori je ne suis pas touché par le problème, j'espère que ce répertoire 3246 se remplira bientôt, avec des màj pour d'autres familles que la x09.

[lejurassien45]

Ce matin,petit mail du syno:

L'adresse IP [61.147.103.175] (adresse chinoise) a eu 5 tentatives échouées en essayant de ce connecter à SSH exécutée sur synology dans un intervalle de 5 minutes, et elle a été bloquée à Sun Feb 16 08:12:23 2014.

C'est donc "aussi"par ssh que ça se passe,et je n'ai pas de port autre que et 5000 d'ouverts je me demande donc une chose,est-ce possible d'invoquer le ssh via le port sans avoir de script ou autres qui attend sagement "que quelqu'un" vienne lui demandé de s'executer????

Et ensuite je m'interroge aussi sur dyndns et surtout sur le script dyndns.login.sh que certains dont moi ont installé pour éviter de devoir ce rendre sur son compte dyndns une fois par mois afin d'éviter la non diffusion de son adresse dyndns.

Mais je vois que certains non pas de site web ni d'adresse dyndns donc je suppose que c'est sûrement une fausse piste...

En touts cas c'est pas fini pour eux,ils essayent encore de toucher certains syno qui l'ont déjà été!

Perso je vais fermer le ssh (ce qui me les brisent unn peu) en attendant que ça se calme et je n'ai aucuns conseils à donner mais une désactivation du compte admin,remise en place de mots de passe différents,mise à jour en 4.3.3827,ainsi que la fermeture du ssh me semble un minimum.

Un bon dimanche à tous

Edit: J'ai faits le tour du proprio histoire de voir si comme la dernière fois l'heure de l'attaque était sur un dossier ou fichiers et surprise,à la même heure 8h12 un fichier à été lu ou autres choses et il s'agit du fichier /etc/synoinfo.conf. (et je roupillais donc je sais pas trop, d'un côté je suis averti d'un blocage et d'un autre je vois un fichiers qui à été utilisé (j'imagine quand essayant de se connecter sur ssh c'est ce fichier qui entre en jeu d'où sont utilisation?? (du moins je l'espère!) sinon rien d'autres à signaler.

Edit2: Tout ca me fait penser que je sais même pas ce qu'est un miner bitcoin et à quoi il sert au juste....pour ceux qui sont curieux comme moi voici un lien assez explicite et en francais (si si c'est vrai ) http://www.atlantico.fr/decryptage/mine-bitcoin-c-est-quoi-pierre-noizat-927546.html.

Modifié le 16 février 2014 par lejurassien39

[Einsteinium]

Tu n'utilise pas par hasard, le Quick connect dans ton syno , car si tel est le cas il ouvre les ports de ta box via upnp... Coup classique j'ai envie de dire...

[Vinky]

Tu n'utilise pas par hasard, le Quick connect dans ton syno , car si tel est le cas il ouvre les ports de ta box via upnp...

Euh... absolument pas...

http://blog.synology.com/blog/?p=2283

As for port forwarding, it simply doesn’t happen: QuickConnect leverages the fact that outbound signals aren’t blocked by most routers. And that’s also why all throughout the process above, the DiskStation initiates the connections with the relay site, pushing data straight through the router.

[Einsteinium]

Ok je pensais a une ouverture de port en upnp, cela passe par un relais... M'enfin je n'utilise pas cette option et j'ai bien raison...

[lejurassien45]

Ok je pensais a une ouverture de port en upnp, cela passe par un relais... M'enfin je n'utilise pas cette option et j'ai bien raison...

Oui tu as raison,l'upnp est un gruyère et même windows propose de le désactiver c'est pour dire! Tu peux aussi désactiver le nat-pmp sur ton routeur..

uPnP est une "norme maison Microsoft" (à l'origine, uniquement dans Windows XP, mais qui s'est répendue) qui affecte tous les systèmes Windows depuis 98, 98se, 2000, ME, XP et ultérieurs, d'origine ou par le biais des mises à jour (update), sous la forme d'un service nommé SSDP Discovery Service. Il écoute sur le port TCP 5000 et le port UDP 1900 pour les datagrammes. Ce dispositif comporte de très nombreuses failles de sécurité et doit être désactivé. En plus, ce dispositif n'est, n'y plus n'y moins, qu'un espion faisant l'inventaire de votre configuration.

[Dex]

Je vois pas trop ou est le pb....

uPnP : permet à une application d'ouvrir des ports dans ton routeur, faut déjà avoir l'application d'installée pour qu'elle ouvre les ports. (exemple d'appli : skype).

uPnP Av : DLNA, sort pas du réseau local, ouvre pas de port dans le routeur.

A+

David