Synology-Forum.nl
Firmware => Synology DSM 6.2 => Topic gestart door: Peter Wijnhoven op 02 september 2020, 09:00:29
-
Ik heb een probleem met mijn NAS (DS414j).
De CPU belasting is constant rond de 99%, en is sinds gisteren.
Bij broncontrole zie ik wel een dertigtal processen met sshd waarvan de meesten toch wel 2 of 3% CPU belasting voor hun rekening nemen.
Ook de externe benadering via het domein lukt niet zo goed meer sinds gisteren. (Zal wel hetzelfde probleem zijn)
Ik krijg de melding: "Kan het opgegeven Windows-domein niet vinden."
[attach=1]
Wat zou hier aan de hand kunnen zijn? En hoe zou ik dit kunnen oplossen?
-
Begin eens met de SSH-service gewoon UIT te zetten ? Heb je die dan nodig voor iets ?
Mischien is je Synology wel gehacked oid.
-
het gekke is, dat ik de SSH sinds vanmorgen nog niet had aanstaan.
Deze heb ik vanmorgen pas aangezet om een en ander te checken.
Gehacked? Weet ik niet, maar volgens mij is er nog wel een recente update op geïnstalleerd.
-
Mischien bepaalde update-scripts die in de soep zijn gedraaid en die blijven lopen oid. Het zal normaal wel iets "onschuldigs" zijn. Welke updates ? DSM ? Of van bepaalde packages?
Je kan altijd net zien met een "netstat -n" of er bepaalde connecties naar/van buiten open staan oid.
Als je de SSH-service disabled zet zou ik denken dat de processen gekilled moeten worden, worst-case NAS eens terug starten.
-
Ik heb de SSH weer uitgeschakeld, maar de processen blijven actief.
-
Rebootje doen en kijken of de processen dan weg zijn.(en checken of die SSH service niet weer "vanzelf" aan zou staan...)
-
OpenSSH wordt niet alleen voor ssh inloggen gebruikt. Ook sftp etc gebruikt OpenSSH.
-
Reboot heeft geen resultaat gehad.
Ik heb even met putty geprobeerd ps -ef:
heel veel processen met sshd als root en admin
Terwijl standaardgebruiker admin is gedisabled.
En sftp en ftps uitgeschakeld geeft geen verbetering.
-
Het is in ieder geval niet normaal, zoveel sshd processen.
Heb even met Putty gekeken en zie in feite maar 1 sshd process, met 2 sub processen:
[attachimg=1]
Kijk ook eens met top of er een andere processen hoge CPU gebruik hebben.
-
Toch resultaat met uitschakelen van ssh.
Ik heb nu bij terminal SSH-service uitgeschakeld (die had ik nog aanstaan) en sftp en ftps uitgeschakeld.
Nu gaan alle processen weg, en valt de CPU tijd terug naar 15%
Toch gehacked? Hoe zou ik dat kunnen testen?
Kan er zo niet bij met Putty zonder ssh weer in te schakelen.
-
Maar je houdt wel het probleem, na de reboot?
De CPU belasting is constant rond de 99%, en is sinds gisteren.
-
Als ik SSH uitschakel stoppen alle processen met sshd
Als ik SSH weer inschakel dan komen ze met z'n allen weer terug.
het zijn er wel een stuk of 30.
Als ik de lijst hier in <code> probeer te plaatsen krijg ik: CleanTalk: *** Forbidden. Contains contacts. Message seems to be spam. ***
bij top staat de meeste tijd sshd bovenaan.
Toch even een stukje proberen:
root 18873 1 0 12:04 ? 00:00:01 /usr/bin/sshd
root 19186 18873 0 12:04 ? 00:00:00 sshd: Beheerder [priv]
root 19458 19186 0 12:05 ? 00:00:00 sshd: Beheerder@pts/8
root 19990 18873 4 12:06 ? 00:00:00 sshd: Test [priv]
root 19998 18873 4 12:06 ? 00:00:00 sshd: root [priv]
root 20021 18873 3 12:06 ? 00:00:00 sshd: unknown [priv]
root 20023 18873 4 12:06 ? 00:00:00 sshd: root [priv]
admin 20030 19990 0 12:06 ? 00:00:00 sshd: test [net]
root 20033 18873 4 12:06 ? 00:00:00 sshd: unknown [priv]
root 20035 18873 4 12:06 ? 00:00:00 sshd: unknown [priv]
admin 20036 19998 0 12:06 ? 00:00:00 sshd: root [net]
-
Je zegt dat dit is begonnen "na een update" ? Wel dan moet je beginnen na te gaan WAT er nu net ge-updated is geweest ? Packages ? DSM zelf ?
Kan je op de NAS eens een "netstat -n |grep :22" doen om te zien of er SSH TCP-connecties van/naar Internet open staan ? Of had je SSH op een aparte poort draaien ? Eerst natuurlijk wel SSH terug even opzetten.
Eerlijk gezegd zou het straf zijn dat je gehacked bent oid, maar als je bepaalde packages zou draaien (3e party) en wat weet ik allemaal....
-
Na een update weet ik natuurlijk niet zeker (dacht ik misschien).
(die vervelende CleanTalk, eerst mag ik geen code plaatsen, dan zegt hij dat het SPAM is, en dan moet ik wachten omdat ik te veer berichten verstuur)
netstat -n |grep :22 geeft heel veel resultaten en zo te zien naar internet.
[attach=1]
Ik heb SSH eens op een andere poort gezet dan 22, dan is het resultaat maar 1 process.
-
Ik heb de zelfde 3 processen als Birdy geeft. Als ik vervolgens met een 2e naam probeer in te loggen worden er per naam direct al twee nieuwe sshd processen opgestart, Dit is al voordat er daadwerkelijk ingelogd is. Dus als een hacker namen probeert zonder in te loggen, lopen die processen al. Anderzijds worden die automatisch binnen een paar minuten weer gesloten als er niet ingelogd wordt.
Als k een niet bestaande naam probeer komt er 'unknown' te staan:
root 17340 16049 1 14:20 ? 00:00:00 sshd: unknown [priv]
admin 17342 17340 0 14:20 ? 00:00:00 sshd: unknown [net]
Is de inlognaam wel bekend, dan komt die naam er te staan.
Zelf heb ik in mijn firewall ingesteld dat maar een paar specifieke IP adressen de poort 22 mogen gebruiken. (Ook op mijn lan waar alleen mijn iBook en één iMac toegang heeft). Poort 22 is te gevaarlijk om gewoon open te hebben.
-
Krijg ik nu in de gaten, maar volgens mij heeft dat onze IT-partner voor ons ingesteld destijds.
Ik weet er wel wat van af maar zo veel ook weer niet.
Ik heb nog even naar de router/firewall bij ons gekeken, en de poorten staan inderdaad gewoon open.
Zijn dit pogingen om in te loggen, of is er per definitie al verbinding geweest, met inbraak tot gevolg?
Kan het zijn dat deze poort open staat voor SFTP os is dit een andere poort?
Met het domein heb ik nu ook geen probleem. Alles werkt nu.
-
Dan blijft toch het feit dat ik SSH had uitstaan.
en SFTP en FTPS aan.
Kan het dan door een van de twee laatste zijn gebeurt?
-
Is toch gekomen door SFTP of FTPS.
Toen ik die weer had aanstaan, groeide het aantal verbindingen op poort 22, ondanks dat ik SSH op poort 26 heb gezet.
De "ps -ef | grep sshd" kwamen inderdaad namen als root en admin te staan.
Dat wil dus zeggen dat ze met deze namen proberen in te loggen.
achter enkele zie je wel het woord [accepted] staan. Betekent dat de verbinding is geaccepteerd?
-
Yep
-
Gelukkig staan er geen bedrijfsgeheimen of persoonsgegevens op.
Ik zal zeker deze poort dicht laten spijkeren voor andere adressen als de beheerders. Of helemaal dicht.
Verder is het zo te zien SFTP geweest, daar staat standaard bij poortnummer 22. (Heb ik uit voorzorg al aangepast)
Allemaal hartelijk dank voor jullie meedenken en advies. Ik heb weer veel geleerd.
-
Zou alles dicht zetten en VPN gebruiken.
-
Denk inderdaad geen slecht idee.