Auteur Topic: DS 209 geinfecteerd met Trojan, wat nu? (gelezen 4212 keer)

Webkarma · « **Gepost op:** 12 september 2010, 11:55:31 »

Sinds vorige blijkt dat er via mijn e-mail adres spam wordt verzonden. Ik krijg namelijk bounce messages from all over the world waaruit dit blijkt, en heb contact opgenomen met mijn provider. Die ziet inderdaad dat er vanaf mijn ip adres zo nu en dan enorme hoeveelheden mail wordt verzonden. Echter, dit gebeurt ook 's nachts zonder dat er ook maar één van mijn computers aanstaat (3x iMac achter een Apple Airport Extreme > Synology DS209 met DSM 2.3-1157). Het enige dat dag en nacht aanstaat is de Synology NAS. Ik kan dus niet anders concluderen dan dat dit apparaat op de een of andere manier is geinfecteerd. Dit vermoeden wordt verterkt doordat ik per mail een melding kreeg van een I/O fout op één van de harde schijven, en vanaf die tijd is het mis.
Tot zover de situatie. Mijn vraag is derhalve:

Kortom, alle hulp is welkom!
Alvast hartelijk dank,
HR

Björn · « **Reactie #1 Gepost op:** 13 september 2010, 11:48:37 »

Een trojan lijkt me wat sterk, maar wellicht heb je je smtp server open staan voor buitenstaanders?
(ofwel staat er een vinkje bij Autorisatie vereisd?)

(inloggen in DSM, management > mailstation)

Webkarma · « **Reactie #2 Gepost op:** 17 september 2010, 08:35:40 »

Hmmm. Ik heb mailstation helemaal niet aanstaan.... Moet dus wat anders zijn. Wie biedt?

Citaat van: "Bjorn"

Een trojan lijkt me wat sterk, maar wellicht heb je je smtp server open staan voor buitenstaanders?
(ofwel staat er een vinkje bij Autorisatie vereisd?)

(inloggen in DSM, management > mailstation)

klen · « **Reactie #3 Gepost op:** 19 september 2010, 15:58:14 »

Citaat van: Webkarma

Hmmm. Ik heb mailstation helemaal niet aanstaan.... Moet dus wat anders zijn. Wie biedt?

Mail versturen kan altijd. Mailstation (het SMTP gedeelte) zorgt ervoor dat je ook kunt ontvangen.

Je zou ook via je webserver geinfecteerd kunnen zijn.
Helaas zet de default http server geen logging aan maar je kunt het volgende eens doen:
(je moet daarvoor wel inloggen op je synology en een file aanpassen)
Log in naar je synology, als admin gebruiker
cd /usr/syno/apache/conf
vi httpd.conf
Zoek de regel waar staat
ErrorLog /dev/null
En maak hiervan
#ErrorLog /dev/null

Zet daaronder de volgende regel:
ErrorLog /var/log/httpd-error-user.log

Doe hetzelfde met de regel
CustomLog /dev/null combined
en maak hiervan:
#CustomLog /dev/null combined
En voeg eronder deze regel toe:
CustomLog /var/log/httpd-access-user.log combined

save & exit en herstart de http daemon met het volgende command:
/usr/syno/apache/bin/httpd -k restart

Deze verandering werkt totdat je een reboot doet van je systeem, daarna zal de verandering worden verwijderd, dus er is niet veel gevaarlijks mee.
Als je dan je server hebt herstart, kan je in de 2 log files in /var/log eens kijken of er rare dingen gebeuren via de webserver.

Nog 2 opmerkingen:
* Als je deze veranderingen permanent wilt maken, moet je deze ook toepassen in de file /usr/syno/apache/conf/httpd.conf-user
* Als je dit ook wilt doen voor de admin server, moet je dit toepassen in de file /usr/syno/apache/conf/httpd.conf-sys

Succes

wizjos · « **Reactie #4 Gepost op:** 19 september 2010, 21:31:40 »

Even een kleine remark bij bovenstaande tip:

Citaat van: "klen"

ErrorLog /var/log/httpd-error-user.log

Op zich een goed idee om te loggen, maar dan niet op deze plek (alhoewel dit wel de standaard Linux plek is waar log terecht zouden moeten komen...). Juist niet op deze plek omdat dit de systeempartitie betreft. Deze is standaard redelijk klein, zeker als je deze vergelijkt met de datapartitie onder /volume1. Wat dus een beter idee is, is om deze regels (hij wordt 2 x genoemd) te wijzigen in:

Code: [Selecteer]

ErrorLog /volume1/public/httpd-error-user.logOf welke directory je ook maar wilt onder /volume1...
Op die manier loop je niet de kans dat je datapartitie volloopt door logging (met alle vervelende gevolgen van dien!).

Succes overigens met het zoeken naar wat er loos is!

Wizjos

Webkarma · « **Reactie #5 Gepost op:** 05 oktober 2010, 18:21:21 »

Ok, ik trek de stoute schoenen aan en zal het eens proberen allemaal. Ben niet zo'n command line jockey, maar als het niet anders kan, dan moet het maar.

Synology 207+ geinfecteerd -mogelijkheden nieuwe firmware Gestart door rijiBoard NAS hardware vragen	Reacties: 3 Gelezen: 2790	12 augustus 2009, 12:02:57 door riji
andr.trojan.opfake-2 melding antivirus essential Gestart door synfanBoard Antivirus Essential	Reacties: 5 Gelezen: 5243	27 januari 2014, 17:08:22 door wyl
Mijn DS212+ lijkt geinfecteerd met een virus!! Help?! Gestart door jsahokaBoard Synology DSM algemeen	Reacties: 15 Gelezen: 9253	18 februari 2014, 00:34:11 door Jazz

Auteur Topic: DS 209 geinfecteerd met Trojan, wat nu? (gelezen 4212 keer)

Webkarma

DS 209 geinfecteerd met Trojan, wat nu?

Björn

Re: DS 209 geinfecteerd met Trojan, wat nu?

Webkarma

Re: DS 209 geinfecteerd met Trojan, wat nu?

klen

Re: DS 209 geinfecteerd met Trojan, wat nu?

wizjos

Re: DS 209 geinfecteerd met Trojan, wat nu?

Webkarma

Re: DS 209 geinfecteerd met Trojan, wat nu?

Vergelijkbare onderwerpen (3)