Backdoor op je Synology? Even opletten!!!

Even een berichtje tussendoor… er lijkt een Coin Miner gevonden te zijn op Synology. Rachid deed hier melding van op Google+ (Klik hier voor meer info).

Kan op het internet niet vinden wat het precies betekent. Wanneer ik meer info vind, of wanneer er op Google+ door anderen meer gepost wordt zal ik het hierbij zetten.

Checken of jouw NAS inmiddels ook slachtoffer is?
Dat kan. Hiervoor moet je inloggen met Putty of een ander SSH client. Wanneer je dan ingelogd bent typ je:

> top

Je krijgt nu allemaal processen te zien, en als je onderstaande hebt:

Load average: 5.51 5.58 5.57 6/295 28886
PID PPID USER STAT VSZ %MEM %CPU COMMAND
2454 2450 smmsp R N 68336 6.7 24.9 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2455 2450 smmsp R N 68336 6.7 24.9 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2456 2450 smmsp R N 68336 6.7 22.8 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2453 2450 smmsp R N 68336 6.7 20.8 ./PWNEDm -o stratum+tcp://46.244.18.176:9555

Als je ./PWNEDm hebt staan dan draait er in ieder geval iets wat niet zal moeten.

De Oplossing
Besmet? Dan kan je hier een handleiding vinden om het op te lossen: Synology Forum (Engels)

Hier vind je ook nog wat meer informatie (Engels)

Grant geeft het volgende ook aan op zijn weblog:

“There also seems to be another variant that actively looks for username/passwords in places such as /etc/ddns.conf, adds a folder called /volume1/startup with a Pearl script to activate itself. This one also seems to tamper with some rudimentary command line tools such as ls, cat and top to prevent removal.” ~ Grant

Of deze informatie allemaal juist is en klopt durf ik niet te zeggen. Ik deel hier alleen informatie die afkomstig is van anderen.

Voor het laatst geupdate om: 11-02-14 – 14:03 uur

About Ronald

Ik ben de trotse bezitter van een DS1513+ en een DS114. De DS212+ die ik hiervoor had vind ik te langzaam om goed Wordpress te kunnen gebruiken. Inmiddels alweer een paar jaar ervaring! Heb je vragen? Stuur mij een berichtje via Hangouts

Leave a Reply

Your email address will not be published. Required fields are marked *

*