xmrig - sur F2-220

hpbaxter

Nouveau membre
3 Septembre 2018
10
0
0
Hello

c'est la deuxième fois que je remarqué que mon Nas est à 100% CPU.

premier fois un petit restart à résolu le problème.

en suite j'ai un peut regardé l'utilisation du CPU. j'ai un peu zappé de faire un screenshot des services.

en allant via ssh sur la machine et en exécutant ps -aux j'ai vu ça.
D4OCeClWsAEBkbg.png:large

mais je ne trouve pas l’exécutable

un petit kill -9 pid (l'id du process qui nous embête) mais bon. je ne sais pas où se cache l'executable d'origine... j'ai desinstallé toutes application. et je fais un grep pour trouver la source.

mais à parement je ne suis pas le seul ici on en parle.. -> http://osmar.gonzal.us/terramaster-f5-420-tos-xmrig-cryptoware-switch-to-xpenology/

je pense que ce truc existe sur d'autres NAS aussi.

j'ai vu aussi un poste sur l'amazon. mais je ne sais plus trop le quel...

Capture.jpg


voila je crois que je l'ai trouvé. ce fichier était bêtement dans /tmp.
nous allons voir s'il va revenir.

bonne chance à tous.
 
Bonjour,

j'ai rencontré le même soucis (j'avais mis en place un cron, et un fichier en lecture seule pour bloquer).
Je ne sais pas du tout par où a pu venir le virus.
Mais bonne nouvelle, la dernière version de l'OS du NAS corrige normalement la vulnérabilité :

http://download.terra-master.com/download.php?lng=en&tid=752

Release Note
[TOS 4.0.13]

1.Fixed the automatically shut-down abnormity.
2. Optimized the excessive CPU usage of light-controlled drive.
3. Resolved the absence of progress bar when bad block scanning started.
4. Added the hot spare function
5. Optimized the permission problem of webdav.
6. Resolved the upper limit problem for users storage disk.
7. Optimized the description in Japanese.
8. Blocked the attack from virus Xmrig.
 
depuis mon dernier message ( plus précisément depuis la mise à jour de l'os) tout va bien.
pas de virus.
 
hmmm..

pas sur que c'est résolu.

j'ai un truc un peu tordu dans le tmp qui bouffe du CPU.
Untitled.png


j'ai uploadé le fichier sur un scanneronline et j'ai eu ça.
D_Ji75qXoAA4y4v
 
hello, j'ai l'os d'origine,
c'est je me suis connecté en SSH sur mon Nas, c'est plus simple de se balader et executer des trucs en ligne de commande.