CPU 99% meerdere sshd processen

[Peter Wijnhoven]

Ik heb een probleem met mijn NAS (DS414j).
De CPU belasting is constant rond de 99%, en is sinds gisteren.
Bij broncontrole zie ik wel een dertigtal processen met sshd waarvan de meesten toch wel 2 of 3% CPU belasting voor hun rekening nemen.
Ook de externe benadering via het domein lukt niet zo goed meer sinds gisteren. (Zal wel hetzelfde probleem zijn)
Ik krijg de melding: "Kan het opgegeven Windows-domein niet vinden."


Wat zou hier aan de hand kunnen zijn? En hoe zou ik dit kunnen oplossen?

[DSGebruiker]

Begin eens met de SSH-service gewoon UIT te zetten ? Heb je die dan nodig voor iets ?
Mischien is je Synology wel gehacked oid.

[Peter Wijnhoven]

het gekke is, dat ik de SSH sinds vanmorgen nog niet had aanstaan.
Deze heb ik vanmorgen pas aangezet om een en ander te checken.

Gehacked? Weet ik niet, maar volgens mij is er nog wel een recente update op geïnstalleerd.

[DSGebruiker]

Mischien bepaalde update-scripts die in de soep zijn gedraaid en die blijven lopen oid. Het zal normaal wel iets "onschuldigs" zijn. Welke updates ? DSM ? Of van bepaalde packages?

Je kan altijd net zien met een "netstat -n" of er bepaalde connecties naar/van buiten open staan oid.
Als je de SSH-service disabled zet zou ik denken dat de processen gekilled moeten worden, worst-case NAS eens terug starten.

[Peter Wijnhoven]

Ik heb de SSH weer uitgeschakeld, maar de processen blijven actief.

[DSGebruiker]

Rebootje doen en kijken of de processen dan weg zijn.(en checken of die SSH service niet weer "vanzelf" aan zou staan...)

[Briolet]

OpenSSH wordt niet alleen voor ssh inloggen gebruikt. Ook sftp etc gebruikt OpenSSH.

[Peter Wijnhoven]

Reboot heeft geen resultaat gehad.

Ik heb even met putty geprobeerd ps -ef:

heel veel processen met sshd als root en admin

Terwijl standaardgebruiker admin is gedisabled.

En sftp en ftps uitgeschakeld geeft geen verbetering.

[Birdy]

Het is in ieder geval niet normaal, zoveel sshd processen.
Heb even met Putty gekeken en zie in feite maar 1 sshd process, met 2 sub processen:



Kijk ook eens met top of er een andere processen hoge CPU gebruik hebben.

[Peter Wijnhoven]

Toch resultaat met uitschakelen van ssh.

Ik heb nu bij terminal SSH-service uitgeschakeld (die had ik nog aanstaan) en sftp en ftps uitgeschakeld.
Nu gaan alle processen weg, en valt de CPU tijd terug naar 15%

Toch gehacked? Hoe zou ik dat kunnen testen?
Kan er zo niet bij met Putty zonder ssh weer in te schakelen.

[Birdy]

Maar je houdt wel het probleem, na de reboot?

De CPU belasting is constant rond de 99%, en is sinds gisteren.

[Peter Wijnhoven]

Als ik SSH uitschakel stoppen alle processen met sshd
Als ik SSH weer inschakel dan komen ze met z'n allen weer terug.

het zijn er wel een stuk of 30.

Als ik de lijst hier in <code> probeer te plaatsen krijg ik: CleanTalk: *** Forbidden. Contains contacts. Message seems to be spam. ***

bij top staat de meeste tijd sshd bovenaan.

Toch even een stukje proberen:

Code: [Selecteer]

root     18873     1  0 12:04 ?        00:00:01 /usr/bin/sshd
root     19186 18873  0 12:04 ?        00:00:00 sshd: Beheerder [priv]
root     19458 19186  0 12:05 ?        00:00:00 sshd: Beheerder@pts/8
root     19990 18873  4 12:06 ?        00:00:00 sshd: Test [priv]
root     19998 18873  4 12:06 ?        00:00:00 sshd: root [priv]
root     20021 18873  3 12:06 ?        00:00:00 sshd: unknown [priv]
root     20023 18873  4 12:06 ?        00:00:00 sshd: root [priv]
admin    20030 19990  0 12:06 ?        00:00:00 sshd: test [net]
root     20033 18873  4 12:06 ?        00:00:00 sshd: unknown [priv]
root     20035 18873  4 12:06 ?        00:00:00 sshd: unknown [priv]
admin    20036 19998  0 12:06 ?        00:00:00 sshd: root [net]


[DSGebruiker]

Je zegt dat dit is begonnen "na een update" ? Wel dan moet je beginnen na te gaan WAT er nu net ge-updated is geweest ? Packages ? DSM zelf ?

Kan je op de NAS eens een "netstat -n |grep :22" doen om te zien of er SSH TCP-connecties van/naar Internet open staan ? Of had je SSH op een aparte poort draaien ? Eerst natuurlijk wel SSH terug even opzetten.

Eerlijk gezegd zou het straf zijn dat je gehacked bent oid, maar als je bepaalde packages zou draaien (3e party) en wat weet ik allemaal....

[Peter Wijnhoven]

Na een update weet ik natuurlijk niet zeker (dacht ik misschien).

(die vervelende CleanTalk, eerst mag ik geen code plaatsen, dan zegt hij dat het SPAM is, en dan moet ik wachten omdat ik te veer berichten verstuur)

netstat -n |grep :22 geeft heel veel resultaten en zo te zien naar internet.


Ik heb SSH eens op een andere poort gezet dan 22, dan is het resultaat maar 1 process.

[Briolet]

Ik heb de zelfde 3 processen als Birdy geeft. Als ik vervolgens met een 2e naam probeer in te loggen worden er per naam direct al twee nieuwe sshd processen opgestart, Dit is al voordat er daadwerkelijk ingelogd is. Dus als een hacker namen probeert zonder in te loggen, lopen die processen al. Anderzijds worden die automatisch binnen een paar minuten weer gesloten als er niet ingelogd wordt.

Als k een niet bestaande naam probeer komt er 'unknown' te staan:

Code: [Selecteer]

root     17340 16049  1 14:20 ?        00:00:00 sshd: unknown [priv]
admin    17342 17340  0 14:20 ?        00:00:00 sshd: unknown [net]

Is de inlognaam wel bekend, dan komt die naam er te staan.

Zelf heb ik in mijn firewall ingesteld dat maar een paar specifieke IP adressen de poort 22 mogen gebruiken. (Ook op mijn lan waar alleen mijn iBook en één iMac toegang heeft). Poort 22 is te gevaarlijk om gewoon open te hebben.