Bitcoin Miner dovecat WebStation Malware

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
Permanente CPU und RAM Auslastung über 80%. Synologysupport schreibt
keine Weisheiten.

Prozess dovecat mit 1,2 GB Auslastung des Webstation. Nach Killall dovecap
wieder normale Auslastung, nach einiger Zeit wieder volle Auslastung durch
automatischen Prozessstart dovecap.
Löschen und Berechtigung ändern mit CHRON und CHMOD trotzdem
autom. Start.
Habe WebStation backup gemacht, warte ob autom. Start dovecap wieder
erfolgt.
Hat jemand eine gute Idee außer Neuinstallation?

dovecap liegt im Verzeichnis /tmp/dovecap .

ClamAV findet dovecap und schiebt es in Quarantäne, löschen kann ich dovecap auch.
 
Zuletzt bearbeitet:

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.558
Punkte für Reaktionen
458
Punkte
129
Findet der Virenscanner die Malware ? Dann könnte ein Löschversuch darüber eventuell helfen.

Platt machen und neu aufsetzen ist vermutlich die bessere Lösung, wenn ein nicht betroffenes Backup vorhanden ist.
 

peterhoffmann

Benutzer
Mitglied seit
17. Dez 2014
Beiträge
4.517
Punkte für Reaktionen
742
Punkte
194
Was passiert, wenn man die Datei dovecap löscht? Kommt sie wieder?

Crontabs kontrolliert?
Innerhalb aller Dateien in allen Pfaden außer "/volume?" nach "dovecap" gesucht?
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
ClamAV findet dovecap im Ordener /tmp/dovecap und schiebt es in Quarantäne,
löschen kann ich dovecap auch, es kommt wieder.

ClamAV findet jetzt im /web Ordner die Datei .daemon und unter web/.ssh findet
ClamAV .keys und hat die Dateien in Quarantäne geschickt
.
Warte jetzt ob dovecap erneut aufgerufen wird. Werde die Dateien analysieren und auch
crontab anschauen.
.demon ist vielleicht der daemon von crontabs für dovecat.

Nach der ClamAV Aktion kam folgende Meldung:
An auto failover was performed to Diskstation7132 (High Available Server)
The cluster (Cluster1) is recovered from the abnormal

Warte jetzt ob dovecap wieder aufgerufen wird?


Die kritischen Dateien "scheinen" im /web Ordner (.domain und .keys gewesen zu sein?),
sowie unter /tmp/dovecat

Zur Zeit nach diesen Aktionen CPU 39% und RAM 17%
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.558
Punkte für Reaktionen
458
Punkte
129
Danke für die Rückmeldung. Es wäre für die Community schön, wenn du weiter berichtest.
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
ClamAV findet dovecap im Ordener /tmp/dovecap und schiebt es in Quarantäne,
löschen kann ich dovecap auch, es kommt wieder.

Die Dateien .daemon und unter web/.ssh haben nichts mit dem Coinminer dovecat zu tun!
.
Warte jetzt ob dovecap erneut aufgerufen wird. Werde die Dateien analysieren und auch
crontab anschauen.

Crontab erscheint mir unauffällig.

Nach der ClamAV Aktion kam folgende Meldung:
An auto failover was performed to Diskstation7132 (High Available Server)
The cluster (Cluster1) is recovered from the abnormal

Warte jetzt ob dovecap wieder aufgerufen wird?


Die kritische Datei ist /tmp/dovecat

Zur Zeit nach diesen Aktionen CPU 39% und RAM 17%

Sollte es sich zeigen, dass der Wechsel des aktiven und passiven Servers dazu führt,
dass dovecap nicht mehr ausgeführt wird, werde ich den HAS trennen
und mit dem passiven Server den HAS neu aufsetzen.(HAS= High Available Server)
 
Zuletzt bearbeitet:
  • Like
Reaktionen: peterhoffmann

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
Trotz Backup mit Systemeinstellungen und Webstation weiterhin Malware
Bitcoinminer und dovecat vorhanden.
Blockiere jetzt pool.minexmr.com und 5.253.84.148 in der Firewall, neues
admin Passwort, nur etwas Performance Gewinn. Dovecat und jetzt neue
Datei dovecat.b64 wird angezeigt.

Bis zu einer Lösung benutze ich vorerst folgendes Script zur Löschung von
Dovecat über den Aufgabenplaner alle 5 Minuten.

#!/bin/bash
#-av --chmod=ugo=rwX --archive --delete -z

file=/tmp/dovecat
sudo -S <<< "Passwort" find /tmp/dovecat;
if [ -f $file ] ; then
rm $file
sudo -S <<< "Passwort" killall dovecat
echo -n " Dovecat File gefunden"`date +%c`
echo " Dovecat File gefunden"`date +%c` >> /volume1/..../dovecatgefunden.txt
else
echo -n " Kein dovecat File gefunden !"`date +%c`
sudo -S <<< "Passwort" echo " Kein Dovecat File gefunden"`date +"%d-%m-%Y"` >> /volume1/..../dovecatgefunden.txt
fi

Damit läuft das System erst mal ohne CPU oder Ram Auslastung.
Support von Synology schreibt nur dummes Zeug, fragen Sie den AV- Programmprovider.
Dovecat an ClamAV gesendet mit der Bitte um Lösung.
 

Fusion

Benutzer
Mitglied seit
06. Apr 2013
Beiträge
12.931
Punkte für Reaktionen
557
Punkte
384
Weiß man etwas zum Infektionsweg?
Vielleicht möglich, dass die Neuinfektion immer wieder von deinem PC oder anderen Gerät im LAN/WLAN erfolgt?
 

peterhoffmann

Benutzer
Mitglied seit
17. Dez 2014
Beiträge
4.517
Punkte für Reaktionen
742
Punkte
194
Die Idee mit dem Lösch/Kill-Script alle 5min finde ich gut. Das bringt dir erst mal etwas Zeit und Ruhe das Problem zu lösen.

Wenn die dovecap wieder erscheint, hat sie ja ein genaues Datum. Nimm das Datum und schau mal durch die Logs. Entweder du hast innerhalb des Linuxsystems etwas übersehen, was dir andauernd das Programm neu erstellt und startet oder du hast von extern einen Zugriff, der das andauernd wieder einrichtet.
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
Danke (peterhoffmann u. Fusion), könnte durchaus so sein. Habe meine Computer auf Viren geprüft und vom WLAN
abgeschottet.
Überprüfe diese "Quarantäne" durch die Logfiles , die erstellt werden wenn dovecat
wieder erscheint. Kann dann die einzelnen PC's als Verursacher ausschließen.
Schotte zuletzt den Zugriff übers Internet ab, muß dann ein zweites NAS für das
Internet konfigurieren oder Laden mal zumachen für 24 Std..(Oder 4 bis 6 Std.,
wenn ich Glück habe, nach dieser Zeit erschien dovecat wieder bisher).
Z. Zt. sind es seit 11Uhr 30- 8 Std. , etwas Hoffnung keimt auf.
Übrigens: Mein Internet ist wieder richtig schnell, von 160 Mbit jetzt
auf 400mbit/s, war vielleicht auch der Bitcoiner ?

Man hat ja nichts anderes zu tun. Nochmal Danke für die Tipps.
 
Zuletzt bearbeitet:

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
638
Punkte für Reaktionen
128
Punkte
63
schau mal auf das offensichtliche: Welche Ports sind derzeit offen an Deiner NAS. Und nutze dazu das Tool nmap (How-To im Web), da man davon ausgehen kann, dass irgendwelche reverse Shells geöffnet werden. Welche IPs werden verbunden.... das findest Du raus mit:

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

...hier als Beispiel port 80 ......
 

peterhoffmann

Benutzer
Mitglied seit
17. Dez 2014
Beiträge
4.517
Punkte für Reaktionen
742
Punkte
194
Nach meinem Verständnis hast du jetzt die Symptome ausgebremst, aber die Ursache ist noch vorhanden.
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
So ist es.
Nehme an, das Programm wurde aus dem WEB über PORT 80 oder Port 443 intervallartig aufgerufen.
Dieser Aufruf ist jetzt blockiert. Das ursächliche Script ist noch im System vorhanden,
sollte aber keinen Schaden mehr anrichten.(Hoffe ich). Weitere Suche bisher erfolglos.
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
638
Punkte für Reaktionen
128
Punkte
63
monero crypto miner. Gemäss dem Writeup von Matthew Ruffel 194 Dateien und diverse Basteleien inklusive Crontab. Da Matthew eine weitere Malware erwähnt, welche root shells spawnt, würde ich sagen. Nutzt Deine Zeit sinnvoll und mach eine Neuinstallation.
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
@geimist : Warum war http in der Gruppe der Administratoren?

Hatte ich irgendwann gebraucht und dann vergessen zurück zu nehmen. ( Erinnere mich jedoch nur vage).

@ mamema : Sieht so aus. Bin an meine Grenzen gestoßen, warte noch etwas und muß dann wohl in den sauren Apfel beißen.
Warte noch ob ClamAV evtl. eine V-Scannerlösung bringt. Dateisuche bringt mich nicht weiter,
bin kein Filespezialist für Linux.
 

Willibald

Benutzer
Mitglied seit
03. Nov 2013
Beiträge
15
Punkte für Reaktionen
3
Punkte
3
Bitcoinminer Malware

Multios.Coinminer.Miner-6781728-2


Nachdem ich den Start von dovecat beenden konnte, trat der Bitcoinminer und dovecat in zeitlichem Zusammenhang mit der Installation von Docker und dem Kontainer Synology/DCM4CHEE erneut wieder auf.

Ich habe dann Docker komplett gelöscht, dovecat gelöscht (killall -9 dovecat; delete tmp/dovecat) und den Besitzer der Datei
dovecat.b64 im tmp/ Verzeichnis von http auf Administrator gewechselt( Oder Dummydatei dovecat.b64
anlegen mit Besitzer Administrator?).
Zusätzlich killall -9 crypto . Nach Reset des NAS wurde dovecat nicht mehr aufgerufen und Bitcoinminer nicht mehr aktiviert.(Aktivierungsintervall mehr als 9 Std. , jetzt seit 72 Std. nicht mehr aktiviert)
Einzelne Schritte können evtl. nutzlos sein, das war aber mein Vorgehen.
Ob wirklich alle Reste der Malware beseitigt sind bezweifle ich. Wahrscheinlich hat crypto damit nichts zu tun, da es unter den Diensten noch vorhanden ist und ich es wahrscheinlich nicht killen brauchte?.

Werde den Support Synology informieren:
Wenn Sie mir schon keine effektive Hilfe anbieten, dann sind Sie
zumindest verpflichtet dafür zu sorgen, dass in Ihrem Paketzentrum
Malware gelöscht wird. Bitte überprüfen Sie Docker und den Kontainer Synology/DCM4CHEE auf Malware und geben Sie mir einen Hinweis, wie ich die Malware entfernen kann.
 

Synchrotron

Benutzer
Mitglied seit
13. Jul 2019
Beiträge
2.558
Punkte für Reaktionen
458
Punkte
129
Was hat denn das Synology Paketzentrum damit zu tun ?

Den Miner hast du dir vermutlich irgendwo eingefangen, kaum über einen Download aus dem Paketzentrum. Sonst wäre das Forum voll von ähnlichen Threads.
 

mamema

Benutzer
Mitglied seit
23. Okt 2009
Beiträge
638
Punkte für Reaktionen
128
Punkte
63
hier wäre das dockerfile https://github.com/dcm4che-dockerfiles/dcm4chee-arc-psql/blob/5.23.0/Dockerfile
kannst Du den Container nachbauen.....
Das Dockerpaket aus dem Synology Paketzentrum ist eigentlich i.O. Da müsste ein Exploit direkt bei Synology eingeschleust worden sein, sehr unwahrscheinlich und sehr weitgreifend, was zu mehr Wellen führen müsste..... derzeit ist an dieser Front Ruhe.....

Das mit der Installation des Docker Containers dein Cryptominimg Problem wieder anfing, kann schon sein, dass liegt aber eher an einer Schewachstellre in eine der genutzten Apps.
Das verlinkte Dockerfile installiert jboss und pqsl....

gib hier https://www.exploit-db.com/ mal jboss und pqsl ein und kümmere Dich um die Exploits und mach den Container sicher, dann kannst Du den wieder nutzen.
...oder einfach die Finger von Dingen lassen die über next, next, next finish Installationen hinausgehen, sorry....
 
NAS-Central - Ihr Partner für NAS Lösungen