Even een berichtje tussendoor… er lijkt een Coin Miner gevonden te zijn op Synology. Rachid deed hier melding van op Google+ (Klik hier voor meer info).
Kan op het internet niet vinden wat het precies betekent. Wanneer ik meer info vind, of wanneer er op Google+ door anderen meer gepost wordt zal ik het hierbij zetten.
Checken of jouw NAS inmiddels ook slachtoffer is?
Dat kan. Hiervoor moet je inloggen met Putty of een ander SSH client. Wanneer je dan ingelogd bent typ je:
> top
Je krijgt nu allemaal processen te zien, en als je onderstaande hebt:
Load average: 5.51 5.58 5.57 6/295 28886
PID PPID USER STAT VSZ %MEM %CPU COMMAND
2454 2450 smmsp R N 68336 6.7 24.9 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2455 2450 smmsp R N 68336 6.7 24.9 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2456 2450 smmsp R N 68336 6.7 22.8 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
2453 2450 smmsp R N 68336 6.7 20.8 ./PWNEDm -o stratum+tcp://46.244.18.176:9555
Als je ./PWNEDm
hebt staan dan draait er in ieder geval iets wat niet zal moeten.
De Oplossing
Besmet? Dan kan je hier een handleiding vinden om het op te lossen: Synology Forum (Engels)
Hier vind je ook nog wat meer informatie (Engels)
- Synology Forum Discussie
- Synology Forum Oplossing
- Facebook post op de Synology Facebook pagina
- Blogpost van een slachtoffer (Grant)
Grant geeft het volgende ook aan op zijn weblog:
“There also seems to be another variant that actively looks for username/passwords in places such as /etc/ddns.conf, adds a folder called /volume1/startup with a Pearl script to activate itself. This one also seems to tamper with some rudimentary command line tools such as ls, cat and top to prevent removal.” ~ Grant
Of deze informatie allemaal juist is en klopt durf ik niet te zeggen. Ik deel hier alleen informatie die afkomstig is van anderen.
Voor het laatst geupdate om: 11-02-14 – 14:03 uur