[Ziggo] poort scans uitgevoerd vanaf mijn verbinding - Internet en hosting

Vraag

donderdag 28 januari 2021 21:21

Acties:

0 Henk 'm!

Topicstarter

Goedeavond,

Afgelopen dinsdag kreeg ik een brief van Ziggo dat er poortscans zouden worden uitgevoerd vanaf mijn internet verbinding.

Via abuseipdb zie ik dat er inderdaad sinds 11 januari 13 meldingen zijn gemaakt.
Gaat om 5a6 verschillende melders, allemaal met de melding "port scan attack" en "Port probing on unauthorized port 23"

Nu ben ik reeds het netwerk nagelopen, maar vannacht is er weer een melding gemaakt.

Mijn netwerk bestaat uit:

-Ziggo connectbox modem, verzorgt ook de Wifi
-Linksys wrt320n , wordt enkel als switch gebruikt.
-Win 10 surface pro
-Win 10 PC
-Samsung s10 en s20
-2x ipad air 2 voor de kinderen.
-Synology ds213j en ds920+
-Philips smart tv
-Xbox one S
-Google home mini
-Toon thermostaat geroot
-Ziggo connect next
-slimme stekker van action

Alle apparaten beschikken over de laatste firm/software updates.
Heb direct in de modem alle port-forwards uitgezet, DMZ stond al uit. En firewall staat ingeschakeld.
Mijn vermoeden ging in 1e instantie uit naar de windows systemen,
Dinsdag meteen deze compleet gescand met mcafee en malware bytes.
Niks bijzonders gevonden.
Heb sindsdien de PC uit staan, en alleen de surface draait.
Ook ben ik intussen al met wireshark aan het loggen gegaan, maar ook hier zie ik zo geen ecnt gekke dingen naar mijn mening.

Iemand nog suggesties wat ik nog kan doen of welk apparaat ik moet verdenken?

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

Alle reacties

vrijdag 29 januari 2021 00:16

Acties:

0 Henk 'm!

MaD_co

Topicstarter

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

hierbij nog even een wetransfer link naar een excel sheet met de data uit wireshark welke een paar uur heeft gedraaid.

ip-adressen heb ik even hernoemd naar de device namen, zodat duidelijk is welk apparaat het is.

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

vrijdag 29 januari 2021 08:08

Acties:

+2 Henk 'm!

rens-br

Admin IN & Moderator Mobile

MaD_co schreef op donderdag 28 januari 2021 @ 21:21:
Heb direct in de modem alle port-forwards uitgezet,

Wat voor port-forwards had je open staan?

vrijdag 29 januari 2021 08:17

Acties:

+1 Henk 'm!

Gwindorian

MaD_co schreef op donderdag 28 januari 2021 @ 21:21:

-Linksys wrt320n , wordt enkel als switch gebruikt.

Iemand nog suggesties wat ik nog kan doen of welk apparaat ik moet verdenken?

Staat de Wifi hier niet nog op aan per ongeluk, met een niet - zo - sterke beveiliging ?

Gwindorian's Diablo Profiel

vrijdag 29 januari 2021 08:59

Acties:

+4 Henk 'm!

Brahiewahiewa

boelkloedig

MaD_co schreef op vrijdag 29 januari 2021 @ 00:16:
***members only***

hierbij nog even een wetransfer link naar een excel sheet met de data uit wireshark welke een paar uur heeft gedraaid.

ip-adressen heb ik even hernoemd naar de device namen, zodat duidelijk is welk apparaat het is.

Je hebt gewoon wireshark op je surfacePro opgestart. Dan zie je alleen maar het verkeer van die surfacePro en de broadcasts van je andere apparaten. En niet het overige verkeer wat die apparaten genereren. Daar heb je dus nagenoeg niets aan.

Het enige opvallende is dat je samsungS20 je hele interne ip-range meerdere malen scant. Het kan zijn dat je dat bewust zelf hebt gedaan, maar het kan ook een aanwijzing voor malware zijn

QnJhaGlld2FoaWV3YQ==

vrijdag 29 januari 2021 10:33

Acties:

+1 Henk 'm!

NoahAmber

Hoe oud zijn die kinderen met die iPad

vrijdag 29 januari 2021 11:15

Acties:

+2 Henk 'm!

Kasper1985

Ik zou die Synology’s ook goed scannen. Heb je daar ssh op uit staan? Gebruik je een andere user dan de default “admin” met een sterk wachtwoord en bij voorkeur 2fa?

Ik zou mijn geld op 1 van de NAS zetten.

vrijdag 29 januari 2021 11:17

Acties:

+2 Henk 'm!

Thralas

Brahiewahiewa schreef op vrijdag 29 januari 2021 @ 08:59:
Het enige opvallende is dat je samsungS20 je hele interne ip-range meerdere malen scant. Het kan zijn dat je dat bewust zelf hebt gedaan, maar het kan ook een aanwijzing voor malware zijn

Maar dat is erg onwaarschijnlijk. Ik vind het zeer onverstandig om hierover te speculeren omdat het afleidt van de (veel) waarschijnlijkere opties. Het enige opmerkelijke hier dat er wat ge-ARP't wordt. Dat heeft niets te maken met het scannen op telnetpoorten en is waarschijnlijk een artifact van iets van LAN discovery doet.

Mobiele malware kun je op één hand tellen, en is dan meestal in de vorm van iets dat notificaties oid. genereert. De kans dat een applicatie die 'scans' uitvoert en een app store review van Google of Apple overleeft is bovendien enorm klein.

Wat is het dan wel?

Wat TS allereerst moet controleren is waar @rens-br al op wijst: services die je zelf via het internet bereikbaar maakt zijn een notoire bron van dit soort ellende.

Die software moet je zeer secuur up-to-date houden, anders is de vraag niet of er een keer ellende uit voortkomt, maar vooral wanneer. Services voor persoonlijk gebruik zou ik altijd achter een VPN zetten.

MaD_co schreef op donderdag 28 januari 2021 @ 21:21:
Iemand nog suggesties wat ik nog kan doen of welk apparaat ik moet verdenken?

Welke portforwards had je actief, en welke services (software, versies) draaiden daarop?

Als je toevallig allerlei docker containers op je Synology draaide en via het internet beschikbaar maakte dan ga ik bij deze vast all-in op de Synology.

Het vorige topic met exact dezelfde problematiek had óók een Synology die allerlei services draaide maar was te koppig om daar goed naar te kijken. Tip vooraf: herstart in ieder geval niet zomaar alle containers, anders loop je het risico het probleem (al dan niet tijdelijk!) op te lossen zonder dat je nu weet wat er loos was en dat laatste is ook erg belangrijk.

vrijdag 29 januari 2021 12:08

Acties:

+1 Henk 'm!

lier

MikroTik nerd

Je zou een firewall tussen je router en je interne netwerk kunnen zetten die gaat loggen als (bijvoorbeeld) telnet naar buiten geïnitieerd wordt. Dan kan je tenminste een beetje onderzoek doen. Speculeren over wat de oorzaak kan zijn is naar mijn bescheiden mening verre van interessant.

Eerst het probleem, dan de oplossing

vrijdag 29 januari 2021 12:43

Acties:

0 Henk 'm!

MaD_co

Topicstarter

Bedankt allemaal voor het meedenken, ik heb weer wat stof of na te kijken.
Zal hier vanavond eens mee aan de gang gaan, hierbij ook de antwoorden op jullie vragen.

Gebruik nu wel sinds enkele maanden Teamviewer, moet ik deze misschien ook wantrouwen? (nouja moet eigenlijk altijd alles wantrouwen, maar hoe groot is de kans dat dit ermee te maken heeft? 2FA is hierbij wel ingeschakeld)

rens-br schreef op vrijdag 29 januari 2021 @ 08:08:
[...]

Wat voor port-forwards had je open staan?

80 / 443 / 5000 / 5001 heeft Synology zelf ingesteld in de router
3389 RDP poort , heb deze ooit handmatig ingesteld om te testen maar vergeten dicht te zetten nadien

Gwindorian schreef op vrijdag 29 januari 2021 @ 08:17:
[...]

Staat de Wifi hier niet nog op aan per ongeluk, met een niet - zo - sterke beveiliging ?

Wifi staat hierop aan, maar met goede beveiliging , zal deze voor de zekerheid ook eens uitschakelen

Brahiewahiewa schreef op vrijdag 29 januari 2021 @ 08:59:
[...]

Je hebt gewoon wireshark op je surfacePro opgestart. Dan zie je alleen maar het verkeer van die surfacePro en de broadcasts van je andere apparaten. En niet het overige verkeer wat die apparaten genereren. Daar heb je dus nagenoeg niets aan.

Het enige opvallende is dat je samsungS20 je hele interne ip-range meerdere malen scant. Het kan zijn dat je dat bewust zelf hebt gedaan, maar het kan ook een aanwijzing voor malware zijn

Klopt, dit om te kijken of het misschien een geinfecteerde Windows installatie was. wat mij in 1e instantie het meest voor de hand liggende was.

De gescande ip-ranges komt doordat ik met mijn samsung enkele malen het netwerk heb gescand op actieve apparaten, en om de bijbehorende IP-adressen op te zoeken om de .CSV aan te passen.

NoahAmber schreef op vrijdag 29 januari 2021 @ 10:33:
Hoe oud zijn die kinderen met die iPad

4 en 7 ,
Spelen voornamelijk Roblox, en kijken Youtube en youtube kids. verder af en toe facetime met familie of vriendinnetjes.
Heb nu ook elke avond als ze naar bed zijn ook alle actieve apps bekeken en gewist.
Stond buiten dit eigenlijk niks anders tussen.

Kasper1985 schreef op vrijdag 29 januari 2021 @ 11:15:
Ik zou die Synology’s ook goed scannen. Heb je daar ssh op uit staan? Gebruik je een andere user dan de default “admin” met een sterk wachtwoord en bij voorkeur 2fa?

Ik zou mijn geld op 1 van de NAS zetten.

De Synology's zal ik vanavond nog eens onder handen nemen dan,
De ds213j staat al een jaar of 5 hetzelfde ingesteld, de DS920+ nu +/- 1.5 maand, maar draait eigenlijk niks anders op dan DSM7 met photo's.
SSH is uitgeschakeld.
Wel admin useraccount, maar met sterk gegenereerd password.
Zal 2FA ook meteen inschakelen.

lier schreef op vrijdag 29 januari 2021 @ 12:08:
Je zou een firewall tussen je router en je interne netwerk kunnen zetten die gaat loggen als (bijvoorbeeld) telnet naar buiten geïnitieerd wordt. Dan kan je tenminste een beetje onderzoek doen. Speculeren over wat de oorzaak kan zijn is naar mijn bescheiden mening verre van interessant.

Dat is altijd een optie, maar gedeeltelijk buiten mijn kennis hoe ik dat goed op kan zetten

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

vrijdag 29 januari 2021 12:51

Acties:

+2 Henk 'm!

Kasper1985

Met RDP open kan je er bijna een stopwatch bijhouden en wachten tot het mis gaat. Tijdje windows server beheerd in een IaaS omgeving dat was een groot drama.

Ssh dicht op de sysnologies is tenminste iets maar zou ze alsnog nakijken.

Het is aan te raden om een tweede gebuiker aan te maken zonder admin rechten. Daar gewoonlijk mee te werken. En alleen als admin in te loggen als je echt admin taken moet uitvoeren.

vrijdag 29 januari 2021 12:58

Acties:

+1 Henk 'm!

Jarno

Kan het niet simpeler en gewoon eens het verdachte apparaat eens een nachtje uit te zetten en te kijken? Ik denk dat je het bij je nassen moet zoeken, die zijn ook het meest "interessant".

vrijdag 29 januari 2021 13:02

Acties:

+2 Henk 'm!

Gunner

Invincibles

Port forwards lijken me het probleem niet. Het gaat immers om telnet-verkeer van binnen naar buiten? niet andersom?

Still warm the blood that courses through my veins. | PvOutput | ARSENAL FC

vrijdag 29 januari 2021 13:25

Acties:

+1 Henk 'm!

Thralas

MaD_co schreef op vrijdag 29 januari 2021 @ 12:43:
Gebruik nu wel sinds enkele maanden Teamviewer, moet ik deze misschien ook wantrouwen? (nouja moet eigenlijk altijd alles wantrouwen, maar hoe groot is de kans dat dit ermee te maken heeft?

Klein. Enige scenario dat ik me kan voorstellen is als je een zwak wachtwoord gebruikt en men daarmee bij je Teamviewer account, en dus je computer (?) kan.

Maar dat is nog steeds erg onwaarschijnlijk ten opzichte van andere zaken, en met 2FA durf ik te stellen uitgesloten. Bovendien kun je vast nagaan wie er wanneer inlogde/een sessie startte.

80 / 443 / 5000 / 5001 heeft Synology zelf ingesteld in de router

En er draaien geen extra docker containers of services op deze poorten, anders dan wat Synology standaard meelevert?

3389 RDP poort , heb deze ooit handmatig ingesteld om te testen maar vergeten dicht te zetten nadien

Dat is (zoals hierboven al is genoemd) ook een redelijke kanshebber als je perongeluk een testaccountje laat staan.

De Synology's zal ik vanavond nog eens onder handen nemen dan,

Met enkel Synology (zonder zelf toegevoegde accounts) is de laatste tijd niet heel veel mis geloof ik, maar staat of valt met accounts met goede wachtwoorden. Exact hetzelfde geldt voor RDP (mits up-to-date).

Dat is altijd een optie, maar gedeeltelijk buiten mijn kennis hoe ik dat goed op kan zetten

Als alternatief kun je op de hosts zelf Wireshark installeren en filteren op bv. poort 22/23. Dat kun je in ieder geval doen op de machine met RDP, en op de Synology met tcpdump (daarna kun je de capture bekijken met Wireshark).

En het hoeft verder ook niet moeilijk te zijn: als je een switch hebt (of koopt) die ports kan mirroren dan is dat het enige dat je aan moet zetten, daarna kun je met een computer met Wireshark (had je al) ook gewoon filteren op interessant verkeer. Misschien wel de beste optie uiteindelijk, want daarmee spoor je gegarandeerd de boosdoener op.

EDIT: als de boosdoener op WiFi zit dan zul je het zo om moeten klussen dat je dat ook ziet: bijvoorbeeld door WiFi op de connectbox uit te zetten en op de (stokoude) wrt320n aan.

Gunner schreef op vrijdag 29 januari 2021 @ 13:02:
Port forwards lijken me het probleem niet. Het gaat immers om telnet-verkeer van binnen naar buiten? niet andersom?

Maar de malware wordt vaak geínstalleerd door misbruik te maken van een port forward naar een service die niet up-to-date is (of een zwak wachtwoord heeft).

Daarna kun je wel je port forwards verwijderen, maar dat maakt niet uit voor de malware, dat blijft gewoon draaien (op z'n minst tot je het systeem herstart).

[ Voor 3% gewijzigd door Thralas op 29-01-2021 13:32 ]

vrijdag 29 januari 2021 16:33

Acties:

0 Henk 'm!

MaD_co

Topicstarter

Jarno schreef op vrijdag 29 januari 2021 @ 12:58:
Kan het niet simpeler en gewoon eens het verdachte apparaat eens een nachtje uit te zetten en te kijken? Ik denk dat je het bij je nassen moet zoeken, die zijn ook het meest "interessant".

Ik heb 2 problemen, op dit moment vind ik meerdere apparaten verdacht ( surface tablet , en de 2 nassen)

Probleem 2: ik kan ze wel uit zetten, maar ben afhankelijk van de meldingen van abuseipdb .
Als zij de meldingen niet direct verwerken, dan weet ik nog niks. ik zelf weet namelijk niet of de poortscan nog actief is of niet, pas als er weer meldingen bij komen.
Als het probleem blijft bestaan zou ziggo de internet verbinding (tijdelijk) uitschakelen tot het probleem verholpen is.
Dit is helaas niet wenselijk i.v.m. het schoolwerk van de kinderen die dagelijks moeten inbellen.
Vandaar dat ikzelf het liefst zo actief mogelijk op zoek ga naar de boosdoener

Thralas schreef op vrijdag 29 januari 2021 @ 13:25:
[...]

Klein. Enige scenario dat ik me kan voorstellen is als je een zwak wachtwoord gebruikt en men daarmee bij je Teamviewer account, en dus je computer (?) kan.

Maar dat is nog steeds erg onwaarschijnlijk ten opzichte van andere zaken, en met 2FA durf ik te stellen uitgesloten. Bovendien kun je vast nagaan wie er wanneer inlogde/een sessie startte.

[...]

En er draaien geen extra docker containers of services op deze poorten, anders dan wat Synology standaard meelevert?

[...]

Dat is (zoals hierboven al is genoemd) ook een redelijke kanshebber als je perongeluk een testaccountje laat staan.

[...]

Met enkel Synology (zonder zelf toegevoegde accounts) is de laatste tijd niet heel veel mis geloof ik, maar staat of valt met accounts met goede wachtwoorden. Exact hetzelfde geldt voor RDP (mits up-to-date).

[...]

Als alternatief kun je op de hosts zelf Wireshark installeren en filteren op bv. poort 22/23. Dat kun je in ieder geval doen op de machine met RDP, en op de Synology met tcpdump (daarna kun je de capture bekijken met Wireshark).

En het hoeft verder ook niet moeilijk te zijn: als je een switch hebt (of koopt) die ports kan mirroren dan is dat het enige dat je aan moet zetten, daarna kun je met een computer met Wireshark (had je al) ook gewoon filteren op interessant verkeer. Misschien wel de beste optie uiteindelijk, want daarmee spoor je gegarandeerd de boosdoener op.

EDIT: als de boosdoener op WiFi zit dan zul je het zo om moeten klussen dat je dat ook ziet: bijvoorbeeld door WiFi op de connectbox uit te zetten en op de (stokoude) wrt320n aan.

[...]

Maar de malware wordt vaak geínstalleerd door misbruik te maken van een port forward naar een service die niet up-to-date is (of een zwak wachtwoord heeft).

Daarna kun je wel je port forwards verwijderen, maar dat maakt niet uit voor de malware, dat blijft gewoon draaien (op z'n minst tot je het systeem herstart).

Synology's draaien geen apps van derden, of dockers.
Zal voor de zekerheid tcpdump eens proberen in te stellen vanavond op de nassen, kijken of daar misschien toch op een of andere manier iets op draait waar ik geen weet van heb.

Op de wifi lijkt mij uitgesloten, buitenshuis is er eigenlijk al geen verbinding meer,
Mijn buren die het eventueel nog wel op zouden kunnen vangen, zijn allebei zo a-technisch dat ik die niet verdenk

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

vrijdag 29 januari 2021 17:21

Acties:

+1 Henk 'm!

Kasper1985

Voor sysnology zijn in ieder geval virus scanners. Of die ook malware detecteren weet ik zo niet maar je kan eens erop googelen of kijken op het (nederlandse) gebruikersforum.

Maar als ssh uit staat is het onwaarschijnlijk. Zo lang ze tenminste up to date zijn.

Rdp vind inmiddels een logischere boosdoener.

Sla vooral alle rapporten op van scans die je uitvoert. Mocht ziggo je toch afsluiten dan heb je die achter de hand om naar abuse te sturen. Zo kan je in ieder geval laten zien dat je volledig aan je inspannings verplichting hebt voldaan.

Vaak zijn abuse afdelingen ook nog wel hulpvaardig met het geven van tips. De absue afdeling van xs4all bijvoorbeeld kwam met allerlei malware scanners waar ik nog nooit van gehoord had nadat ik ze meldde dat ik een windows machine volledig had gescand met de door hun zelf aangeboden f-Secure

vrijdag 29 januari 2021 22:45

Acties:

+1 Henk 'm!

ChaserBoZ_

Thralas schreef op vrijdag 29 januari 2021 @ 13:25:
[...]

En het hoeft verder ook niet moeilijk te zijn: als je een switch hebt (of koopt) die ports kan mirroren dan is dat het enige dat je aan moet zetten, daarna kun je met een computer met Wireshark (had je al) ook gewoon filteren op interessant verkeer. Misschien wel de beste optie uiteindelijk, want daarmee spoor je gegarandeerd de boosdoener op.

EDIT: als de boosdoener op WiFi zit dan zul je het zo om moeten klussen dat je dat ook ziet: bijvoorbeeld door WiFi op de connectbox uit te zetten en op de (stokoude) wrt320n aan.

[...]

Een TPLink 8 poorts switch met die functie (TL-SG108E) kost €40. Laat dan een laptop of RPi sniffen op poort 23 op de juiste plaats in je netwerk (switch tussen je modem/router en de rest zetten).

'Maar het heeft altijd zo gewerkt . . . . . . '

vrijdag 29 januari 2021 23:22

Acties:

+6 Henk 'm!

MaD_co

Topicstarter

Bedankt allen, heb de boosdoener intussen gevonden.
De winaar is........ @Kasper1985

De ds213j stond inderdaad heel de tijd te scannen op voornamelijk poort 23.
Heb nu de antivirus scanner lopen om te kijken waar het vandaan komt.

Heb het iets conventioneler aangepakt, heb bij de netwerkinstelingen mijn surface ingesteld als als gateway, om zodoende daarop met wireshark het verkeer te kunnen monitoren.

Heb eerst geprobeerd alle niet essentiele packages te verwijderen, maar hij bleef scannen, zie ook geen verdachte taken tussen de processen staan.
Hopelijk vind de antivirus iets zodat ik weet wat er mis ging. Anders wordt hij van het weekend gewiped en opnieuw ingericht.

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

zaterdag 30 januari 2021 00:36

Acties:

0 Henk 'm!

MaD_co

Topicstarter

Afbeeldingslocatie: https://tweakers.net/i/GMuxKPjdLeoPfNb46mHFJLQJkQs=/800x/filters:strip_icc():strip_exif()/f/image/OjDdXRWIGqBshkEws7o1r0A5.jpg?f=fotoalbum_large

Ter archivering op het forum, mochten er meer mensen met dit probleem komen..
1 virus gevonden, maar kan niet worden verwijderd met de virusscanner.
Morgen eens via de terminal proberen, om alsnog een wipe te doen, maar wil kijken of het te verwijderen is

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

zaterdag 30 januari 2021 00:39

Acties:

0 Henk 'm!

Kasper1985

@MaD_co Mooi dat je het gevonden hebt. En ook fijn dat je terug koppeling geeft. Dat is weleens anders.

Je kan in de firewall van die 213j misschien poort 23 dicht zetten naar buiten.

Ik weet niet of het werkt maar je kan in de terminal natuurlijk ook nog een rootkit scanner draaien.

zaterdag 30 januari 2021 00:53

Acties:

0 Henk 'm!

Thralas

MaD_co schreef op zaterdag 30 januari 2021 @ 00:36:
Ter archivering op het forum, mochten er meer mensen met dit probleem komen..
1 virus gevonden, maar kan niet worden verwijderd met de virusscanner.
Morgen eens via de terminal proberen, om alsnog een wipe te doen, maar wil kijken of het te verwijderen is

Dat is wel zorgelijk. Geroot.

Googlen op de filename geeft een hit uit 2019 (!). Was de Synology niet up-to-date? Ik zie zo 123 geen recente issues met Synology die dit veroorzaken als je enkel de webinterface exposet.

Je kunt het beste even inloggen met ssh. Als je /root/.cache/.ntp ergens uploadt dan werp ik er wel een blik op, misschien geeft het aanwijzingen over wat er nog meer bij hoort (kijk ook eens aandachtig naar de proceslijst: ps -axfu). Je kunt ervan uitgaan dat men nog wat doet om ervoor te zorgen dat het altijd wordt gestart (cronjob oid).

Mogelijk heeft het ding zichzelf immutable gemaakt en kan de virusscanner het daarom niet verwijderen. Zie `lsattr /root/.cache/.ntp` en vervolgens `chattr -i /root/.cache/.ntp` als er een i-bitje is gezet volgens lsattr.

zaterdag 30 januari 2021 10:24

Acties:

+1 Henk 'm!

slaay

Natuurbeleven.com

Synology heeft bij iemand destijds de complete /root/.cache map verwijderd als oplossing:
https://www.synology-foru...edreiging-root-cache-ntp/

Dich bis echt unne foëzen haas

zaterdag 30 januari 2021 22:03

Acties:

+1 Henk 'm!

MaD_co

Topicstarter

Thralas schreef op zaterdag 30 januari 2021 @ 00:53:
[...]

Dat is wel zorgelijk. Geroot.

Googlen op de filename geeft een hit uit 2019 (!). Was de Synology niet up-to-date? Ik zie zo 123 geen recente issues met Synology die dit veroorzaken als je enkel de webinterface exposet.

Je kunt het beste even inloggen met ssh. Als je /root/.cache/.ntp ergens uploadt dan werp ik er wel een blik op, misschien geeft het aanwijzingen over wat er nog meer bij hoort (kijk ook eens aandachtig naar de proceslijst: ps -axfu). Je kunt ervan uitgaan dat men nog wat doet om ervoor te zorgen dat het altijd wordt gestart (cronjob oid).

Mogelijk heeft het ding zichzelf immutable gemaakt en kan de virusscanner het daarom niet verwijderen. Zie `lsattr /root/.cache/.ntp` en vervolgens `chattr -i /root/.cache/.ntp` als er een i-bitje is gezet volgens lsattr.

De Synology is altijd up-to-date geweest, automatische updates heeft altijd aangestaan, dus geen idee hoe het binnen komt.

Ik had er na vanmorgen geen zin meer in om verder te klooien en heb dus maar een schone installatie uitgevoerd. Beginnen we maar van voor af aan met de nas.

Het lijkt er gelukkig niet op dat het zo diep zat dat het na de re-install nog steeds aanwezig is.
En voordeel is dat ik nu meteen met een schone installatie DSM 7.0 erop heb staan.

Bedankt voor het meedenken allemaal.

ATI X300 std @ 324/195 stable @ 432/283 @ 13202 3dmarks http://service.futuremark.com/compare?2k1=8575346

Pagina: 1

Reageer