AV heeft Multios.Coinminer.Miner gevonden op ds213

[leonardus]

@ dvandonkelaar: zeker, kreeg onderstaande melding bij rm -rf .cache. Pffft, dat bestand of die folder moet toch weg te halen zijn op een of andere manier zonder de NAS opnieuw op te bouwen?

Kijk maar in de bijlage.

Bedankt alvast voor het meedenken mensen!!

[ufosyno]

Nou ben ik niet heel erg thuis in Linux, maar het commando voor het verwijderen van folders is toch rmdir? Of is dat binnen de linuxversie van Synology ook anders...

[Briolet]

Niet in dit geval omdat 'rmdir' alleen een lege directory verwijderd en deze is niet leeg. 'rm -d' verwijderd ook een directory. En het hier gebruikte 'rm -r" verwijdert recursief alles, incl directories.

Hier wordt echter een 'beveiliging' gebruikt die ik niet kan thuisbrengen. Ik dacht dat root alles kon.

Ik zou nog "sudo rm -r .cache" gebruikt hebben, maar eigenlijk zou dat hetzelfde zijn als iets vanuit root gebruiken.

Je kunt nog "sudo rm -rv .cache" proberen. Dan zet je de verbose optie aan met meer output. Misschien dat je dan een reden krijgt waarom hij niet gewist mag worden, inplaats van alleen "niet toegestaan".

Ik zie dat 'rm' ook nog een -P optie kent waarbij de file eerst 3x overschreven wordt, voordat hij gewist wordt. Maar dat zal ook wel niet mogen.

[leonardus]

@ Briolet, tnks, ga ik proberen

[Briolet]

Kijk hier eens, waar een soortgelijk probleem beschreven wordt.

Daar was de oplossing om eerst de attributen aan te passen met een chattr commando:

Code: [Selecteer]

chattr -i filenaam
rm -rf filenaam
Mijn mac kent geen chattr, maar de linux in de nas wel. De -i optie staat voor 'immutable' (onveranderbaar)

Kijkk eerst met

Code: [Selecteer]

lsattr filenaam of de i flag gezet is. Dan weet je meer.

[Briolet]

Even een test voor mijzelf

Code: [Selecteer]

~$ lsattr test.txt
-------------e-- test.txt

~$ sudo chattr +i test.txt
~$ lsattr test.txt
----i--------e-- test.txt

~$ sudo rm -f test.txt
rm: cannot remove ‘test.txt’: Operation not permitted

Inderdaad een methode om een file ook tegen wissen door root te beschermen.

[leonardus]

Tnks, ga ik straks proberen maar welke attr zou je dan moeten gebruiken als niet-linux kenner?

[leonardus]

Inderdaad, en nu?

[Briolet]

Nu dus

Code: [Selecteer]

sudo chattr -i .kswapd
Daarna zou rm weer moeten werken.

Maar wees erop voorbereid dat ook al kun je ze wissen, er delen van de mallware kunnen zijn die de aanwezigheid van deze files constant monitoren en weer terug plaatsen. Maar dat zie je vanzelf.

[leonardus]

@ Briolet Lukt niet, krijg deze melding

[Birdy]

Het is wel gelukt hoor, .kswapd is verwijderd (geen foutmelding), later wel foutmeldingen omdat die file niet meer bestaat.

[leonardus]

@ Birdy, Gezien, geweldig. Ik ga nu nog een x een full scan draaien met av. Het resultaat zal ik hier posten. Voor nu, prachtig resultaat en zeer leerzaam. Nogmaals tnks voor de moeite!!!

[Birdy]

Volgens mij moet .cache helemaal niet bestaan, zal straks wel even kijken.

[Briolet]

Dat schreef ik eerder al in reactie #7. De hele .cache folder kan weg omdat die niet van dsm is. En ik verwacht ook niet van een pakket.

Bij de andere recente melding van een miner was die folder ook aangemaakt. Reactie #5

[Birdy]

Ik heb op dezelfde manier ingelogd dus, ik kom standaard in /root en zie geen .cache map, sterker nog, ik heb daar staan wat jij niet hebt, zie in rood.

admin@DS918Plus:/$ sudo -i
root@DS918Plus:~# ls -la
total 24
drwx------  3 root root 4096 Nov 29 23:30 .
drwxr-xr-x 25 root root 4096 Dec  4 19:38 ..
drwx------  2 root root 4096 Nov 29 11:32 .gnupg
-rw-r--r--  1 root root 1113 Mar 31  2019 .profile
-rw-------  1 root root  635 Nov 29 23:30 .viminfo
-rw-r--r--  1 root root  355 Nov 29 14:11 .wget-hsts
root@DS918Plus:~# pwd
/root
root@DS918Plus:~#

In iedergeval, moeten .cd, .ct, .ntp en .rm ook verwijderd worden.
Maar, dan vertrouw ik het nog niet, je hebt immers die file (in het rood) niet.
Misschien is er nog (veel) meer aan de hand.

Zou toch op Synology Support wachten of alleen DSM herinstalleren: Modus 2: Synology NAS resetten en besturingssysteem DSM opnieuw installeren

Je data (volume) blijft behouden.