Lindice

Le mini vital pour mon usage : 21 pour le FTP, pour HTTP, 7000 pour Filestation, 5000 et 5001 pour Musicstation. Pas vraiment l'auberge espagnole, mais apparemment l'attaque est initiée sur le port (si j'ai bien compris) donc un seul suffit ! Et pour la suite, l'injection de code est faite par ssh (que j'avais laissé actif par erreur après en avoir eu besoin pour installer crashplan). Je vais bien penser à le désactiver après chaque utilisation à présent. Bonne fin de soirée, Lindice

Bonsoir, Effectivement, le bug touchait de nombreuses versions du DSN. Dans ton cas, avec un DS411+II, tu peux tourner en DSM 4.3 donc en théorie tu devrais passer sous la version 4.3 / 3827 du 14 février. Cf lien : http://www.synology.com/fr-fr/support/download/DS411+II Si tu veux rester en DSM 4.2 - qui est la version maximale compatible avec mon 409slim - le build permettant de régler le problème est le 3243 du 14 novembre dernier. C'est bien ce qui est indiqué dans le message de l'équipe Synology. Et oui, j'ai vu comme toi qu'ils avaient prévu une 3246 mais que les fichiers étaient absents. Ils ont sans doute jugé qu'elle n'était pas nécessaire... En tous cas, la 3243 semble suffisante pour se débarrasser de l'indésirable ! Cordialement, Lindice

Négatif. Je n'utilise ni Web station, ni cloudstation, ni les sites web personnels... donc je n'ai pas eu besoin des fonctionnalités citées. Cordialement, Lindice

Bonjour à tous, @lejurassien39 : très bonne idée sharkwire! Quand on ne peut pas faire confiance au système, il faut évidemment se placer au dehors. J'ai juste mis 3 plombes à trouver un hub pour remplacer provisoirement mon habituel switch (j'avais complètement oublié que sur un switch on ne peut pas sniffer les packets et qu'on ne reçoit que les messages de broadcast... je ne comprenais pas pourquoi je n'avais aucune activité NAS->WAN quand je consultais les packages disponibles ou que je vérifiais la disponibilité d'une nouvelle version du DSM). Après avoir résolu ça, j'ai constaté l'absence totale de traffic depuis le NAS. Good point. @Einsteinium : non, jamais posté mon dns ou mon IP sur le net. Mais pas besoin de faire du "random d'IP", il suffit de faire du scanning de plages d'IP. Il y a des programmes qui peuvent tester plusieurs centaines de milliers d'adresses IP en quelques minutes, en testant les ports ouverts compatibles avec les attaques. Si tu laisses un robot de ce type travailler pendant quelques jours, il te sortira des listes de centaines de machines vulnérables. @Dex : la valeur de sirq est bien à gauche de sirq (0%). Le début de ligne "CPU:" indique juste qu'il va donner l'activité CPU car catégorie de process, suivent ensuite les stats sous forme de binômes "% / type". Je n'ai pas non plus trop l'habitude de lire ces infos, d'où mon erreur d'interprétation initiale. Je découvre ce matin le message de l'équipe Synology: http://forum.synology.com/enu/viewtopic.php?f=2&t=81134 Sur mon DS409-slim, la correction consiste à installer/réinstaller le DSM 4.2/3243, ce que j'avais fait avant-hier soir, avant de lire sur une autre file qu'il y avait un risque que l'upgrade ne soit pas effectif en raison des modifications de scripts d'install effectuées par les hackers. Mais bon, tout va bien, c'était bien la procédure à suivre :-) Sujet clos en ce qui me concerne, content d'économiser quelques heures de hard reset ! Très bon WE à tous, voilà un sujet classé. Lindice

Pardon, non, tu as raison. C'est moi qui lis dans le mauvais sens. CPU, puis la liste de toutes les utilisations CPU. Une preuve de plus que je ne maîtrise pas mon sujet :-( Là, cette fois, ça rend nulle et non avenue mon analyse. Mais alors je ne comprends pas où est passé le process hier dans la journée et je ne sais toujours pas si ma mise à jour DSM a permis de l'éradiquer définitivement. Vraiment désolé pour le coup de flip. Lindice

Non, le descriptif du process est situé avant le chiffre. CPU : 0.0%... etc. Bon, ça met à mal mon hypothèse mais ce n'est pas forcément une mauvaise nouvelle ! Sauf que je me demande maintenant si le hack a bien disparu lors de la mise à jour du DSM hier (mon NAS est un 409, je ne peux pas monter en 4.3 j'ai donc installé le dernier 4.2). Bref : désolé si c'était une fausse alerte et toutes pistes permettant de vérifier l'absence d'infection bienvenues. Si je peux éviter un hard reset, j'aime autant. Cordialement, Lindice

Hello David, Non, je ne suis pas sûr que le Idle à zéro est une preuve d'infection, je n'ai pas assez d'expérience de Linux pour dire ça, mais c'est la déduction à laquelle je suis arrivé en constatant que le virus avait juste disparu tout seul durant la journée. Comme c'était impossible, j'ai cherché les explications possibles et celle-là me semblait assez vraisemblable. De plus, à partir du moment où le process ne fait aucun accès disque, le Nas est tellement silencieux que je ne suis pas capable d'affirmer qu'il ne fait rien. De ton côté, tu es certain 100% que ton DSM 3.1 est épargné ? Le mieux pour confirmer serait peut-être de demander à Synology si un nice à 97% (et un idle à 0) en permanence est normal ? Ca ne me semblerait pas logique. Pour moi, c'est plutôt le signe que leur truc est passé en low priority pour être plus discret. Mais je peux complètement me tromper :-( Gzu, toi qui as tout réinstallé proprement, tu peux nous donner ton idle/nice actuel ? Parce que sur ton screenshot idle est à zéro et nice à 95.4%. Il a été fait post-réinstall, ce screenshot ? Thx, bon courage à tous... Lindice

Bonjour à tous, Petite contribution de la part d'une autre victime... J'ai repéré hier matin ce fameux process DHCP.pid à 100% sur un Syno DS409slim en DSM 2.4 (celui d'avril dernier, je n'ai pas le build sous les yeux). En fait j'ai raté l'update de novembre, pas vu :-(. Bref... J'ai dû laisser le Syno allumé toute la journée pour accéder à des docs importants du bureau. Surprise, hier soir en rentrant du boulot : plus de process DHCP en vue. La CPU était revenue entre 5 et 20%, tout semblait normal. Bizarre. Je lance un top dans la console, pas de process douteux. Je lance un find sur les fichiers de l'utilisateur 502 (vu sur une des files qui traitent du sujet): rien. Bon...Je fais la mise à jour DSM, je laisse les services d'indexation tourner cette nuit. Ce matin, pris d'un doute, je jette un coup d'œil plus pointu sur les résultats du TOP. La CPU ressort autour de 10%... mais je m'aperçois qu'Idle est à zéro ! En fait le processus a été nicé pour être moins visible. Et là je vais de surprise en surprise. Apparemment, les hackers ont changé la commande TOP pour filtrer la sortie des process (ils n'ont pas encore poussé la sophistication au point de recalculer un taux idle en réintégrant la consommation de leur process, mais ça ne saurait tarder). De même, les commandes ls, find ont été modifiées. Et les scripts de mise à jour du Syno réinstallent bien proprement le virus après la mise à jour. Vérifiez bien vos taux Idle si vous pensez vous être débarrassés du bidule. A priori, la seule solution consiste à : * télécharger la version à jour du DSM en local * couper la connexion Internet * faire un hard reset du syno (je n'ai plus le mode op sous la main mais c'est facile à trouver) * réinstaller manuellement le dernier DSM Normalement, ça n'a pas d'incidence sur les fichiers de Volume1. Il paraît qu'on peut même conserver la configuration complète du Syno. Bref, je me prévois un WE sympathique. En fait, j'ai eu de la chance de repérer le process hier matin car dès hier soir, tout était parfaitement indétectable sans une analyse approfondie. Je n'aurais jamais rien vu. Juste un vague sentiment que le Syno tourne un peu moins vite que d'habitude, sans que ce soit aussi flagrant qu'il y a 24 heures (comme ils sont repassés en low priority, ils ne pompent la CPU que quand on ne requiert aucun service du Syno). Good luck à tous. J'étais content de vous trouver hier et j'espère que ce post en aidera quelques-uns à y voir plus clair sur l'état de leur système. Lindice [Edit] mwanico... Spéciale dédicace. J'espère vraiment que tu t'en es débarrassé, mais j'ai comme un doute...