CVE/Multiple Vulnerabilities: Situation danach

[alptz]

Hallo

Meine DS1010+ wurde durch PWNED infiziert. Ich musste den DSM neu aufsetzen und konfigurieren. Nun scheint das System sauber, die Prozesse sind ok. Gewissen Schadcode finde ich aber noch immer auf der Platte. Ich nehme an, hier handle es sich um inaktive "Skript-Leichen - siehe Liste unten.

Darf ich den Ordner rc.d bzw. seinen Inhalt komplett löschen?
Und wäre das der korrekte Befehl dazu: rm /usr/syno/etc/rc.d/*.*


Danke.



DS3> cd /usr/syno/etc/rc.d
DS3> ls
S01iptables.sh S55cupsd.sh S99EAUpgrade.sh
S01tc.sh S56gcpd.sh S99WDidle3Dis.sh
S02bootup.sh S66S2S.sh S99synocache.sh
S02synovpnclient.sh S66fileindexd.sh S99synodatacollect.sh
S03hotplugd.sh S78iscsitrg.sh S99synogpoclient.sh
S03inetd.sh S79RCPower.sh S99synomount.sh
S03libsynowireless.sh S90usbip.sh S99synoreport.sh
S08snmpd.sh S96synosnmpcd.sh S99synoscheduler.sh
S09DDNS.sh S97apache-sys.sh S99synostoraged.sh
S10NatpmpPortmap.sh S98findhostd.sh S99synosupportchannelchecker.sh
S10UPnPportmap.sh S98pppoerelay.sh S99tftpd.sh
S11nslcd.sh S98ssdpd.sh S99zbootok.sh
S12upsmon.sh S98upnpd.sh S99zupdateindexdb.sh
S13synorelayd.sh S99DiskHealthCk.sh S99zupdatesynohdpack.sh

 

[dil88]

Woran machst Du fest, dass das Leichen sein sollen. Ich habe die Skripte stichprobenartig mit meiner Installation verglichen. Die Stichprobe stimmt überwiegend überein. Also bitte nicht löschen (der korrekte Befehl wäre btw: rm /usr/syno/etc/rc.d/*). Bitte in Zukunft das Verzeichnis mit "ls -l" (ohne Anführungsstriche) auflisten lassen, dann ist ein Vergleich einfacher und man sieht auch die Dateigrößen, die in diesem Falle wichtig sind.

 

[alptz]

Vielen Dank für die rasche Antwort und deine Hinweise.

Ich beziehe mich auf die Angaben hier:
http://www.synology.com/en-us/company/news/article/437

Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

Diese Aussage habe ich demnach falsch interpretiert in der Meinung, alle diese Files mit S## seien Schadcode.
Gelöscht habe ich nichts.

Ich hänge hier nochmals den Auszug an, nehme nun aber an, dass diese ok seinen und also gebraucht werden.




DS3> cd /usr/syno/etc/rc.d
DS3> ls -l
-rwxr-xr-x 1 root root 10624 Apr 23 12:05 S01iptables.sh
-rwxr-xr-x 1 root root 8111 Apr 23 12:05 S01tc.sh
-rwxr-xr-x 1 root root 1772 Apr 23 12:06 S02bootup.sh
-rwxr-xr-x 1 root root 2078 Apr 23 12:09 S02synovpnclient.sh
-rwxr-xr-x 1 root root 813 Apr 23 12:06 S03hotplugd.sh
-rwxr-xr-x 1 root root 2480 Apr 23 12:06 S03inetd.sh
-rwxr-xr-x 1 root root 1132 Apr 23 12:06 S03libsynowireless.sh
-rwxr-xr-x 1 root root 1015 Apr 23 12:08 S08snmpd.sh
-rwxr-xr-x 1 root root 868 Apr 23 12:07 S09DDNS.sh
-rwxr-xr-x 1 root root 579 Apr 23 12:06 S10NatpmpPortmap.sh
-rwxr-xr-x 1 root root 539 Apr 23 12:06 S10UPnPportmap.sh
-rwxr-xr-x 1 root root 1348 Apr 23 12:06 S11nslcd.sh
-rwxr-xr-x 1 root root 2105 Apr 23 12:08 S12upsmon.sh
-rwxr-xr-x 1 root root 3589 Apr 23 12:09 S13synorelayd.sh
-rwxr-xr-x 1 root root 6331 Apr 23 12:06 S55cupsd.sh
-rwxr-xr-x 1 root root 1367 Apr 23 12:07 S56gcpd.sh
-rwxr-xr-x 1 root root 1801 Apr 23 12:07 S66S2S.sh
-rwxr-xr-x 1 root root 2642 Apr 23 12:07 S66fileindexd.sh
-rwxr-xr-x 1 root root 10473 Apr 23 12:06 S78iscsitrg.sh
-rwxr-xr-x 1 root root 512 Apr 23 12:06 S79RCPower.sh
-rwxr-xr-x 1 root root 3084 Apr 23 12:09 S90usbip.sh
-rwxr-xr-x 1 root root 1002 Apr 23 12:09 S96synosnmpcd.sh
-rwx------ 1 root root 13321 Apr 23 12:07 S97apache-sys.sh
-rwxr-xr-x 1 root root 465 Apr 23 12:10 S98findhostd.sh
-rwxr-xr-x 1 root root 3543 Mar 2 20:27 S98pppoerelay.sh
-rwxr-xr-x 1 root root 1643 Apr 23 12:06 S98ssdpd.sh
-rwxr-xr-x 1 root root 852 Apr 23 12:09 S98upnpd.sh
-rwxr-xr-x 1 root root 513 Apr 23 12:06 S99DiskHealthCk.sh
-rwxr-xr-x 1 root root 632 Apr 23 12:06 S99EAUpgrade.sh
-rwxr-xr-x 1 root root 412 Apr 23 12:06 S99WDidle3Dis.sh
-rwxr-xr-x 1 root root 2210 Apr 23 12:07 S99synocache.sh
-rwxr-xr-x 1 root root 1961 Apr 23 12:07 S99synodatacollect.sh
-rwxr-xr-x 1 root root 2180 Apr 23 12:07 S99synogpoclient.sh
-rwxr-xr-x 1 root root 1110 Apr 23 12:08 S99synomount.sh
-rwxr-xr-x 1 root root 532 Apr 23 12:08 S99synoreport.sh
-rwxr-xr-x 1 root root 633 Apr 23 12:09 S99synoscheduler.sh
-rwxr-xr-x 1 root root 1732 Apr 23 12:09 S99synostoraged.sh
-rwxr-xr-x 1 root root 53 Apr 23 12:07 S99synosupportchannelchecker.sh
-rwxr-xr-x 1 root root 2060 Apr 23 12:07 S99tftpd.sh
-rwxr-xr-x 1 root root 8021 Apr 23 12:06 S99zbootok.sh
-rwxr-xr-x 1 root root 5102 Apr 23 12:09 S99zupdateindexdb.sh
-rwxr-xr-x 1 root root 3741 Apr 23 12:09 S99zupdatesynohdpack.sh