Auth.cgi Prozesse - 99% CPU Auslastung

[Echsenmann]

Hallo,

ich habe eine dringende Frage und würde mich über Antworten sehr freuen.

ich besitze eine DS213J, welche seit Jahren toll läuft. Ich benutze sie eigentlich nur zur Datensicherung Inkl. CloudStation (jetzt Drive).

seit ein paar Tagen habe ich nun bemerkt, dass die Station extrem langsam läuft und ich mich nicht mal mehr einloggen konnte bzw. es immer sehr lange dauert.
in den Prozessen sind mir unzählige „Auth.cgi“ Prozesse aufgefallen, die jeweils 0,5 CPU nutzen. Ich kann sie nicht zuordnen und weiß nicht, was ich nun tun soll. Habe vor allem Bedenken, dass ein Sicherheitsrisiko besteht.

ich hoffe ihr könnt mir helfen!

 

[Gunnar Ecks]

Hallo zusammen,

auch wenn das Thema schon ein paar Tage alt ist - ich habe exakt das identische Probleme. Meine DS213j ist durch die Last der mehrfach laufenden Auth.cgi nahezu unbrauchbar.

 

[blurrrr]

Mal in die Logs geschaut, ob dort vllt unzählige fehlgeschlagene Logins drin stehen? ??

 

[peterhoffmann]

Ich habe die besagte Datei hier gefunden:
/usr/syno/synoman/webapi/auth.cgi

Hier hat z.B. jemand einen Shutdown vom NAS über die API gebastelt:
https://www.domoticz.com/forum/viewtopic.php?f=59&t=33578Dort ist auch ein PDF verlinkt, wo Infos zur Steuerung drinstehen.

Ist das DSM vom NAS von außen erreichbar?
Ich könnte mir vorstellen, dass jemand von außen mehrmals auf die auth.cgi zugreift und damit Last verursacht. Da geht die DS213j mit ihrem SingleCore recht schnell in die Knie.

 

[Gunnar Ecks]

Hallo zusammen,

vielen Dank für all die Hinweise. Grundsätzlch habe ich die Logs auch geprüft und es lief auch die erweiterte Protokollierung auf der NAS. Leider wurden dort keinerlei zielführende Einträge aufgeführt. Daher habe ich mich ja auch hier an das Forum gewendet. Zudem war für mich auch naheliegend, dass es sich um eine Art Authendifizierung handeln muss.

Die Lösung war am Ende eine Mischung aus Auschlussverfahren und Wireshark. Mein ioBroker hatte über eine Instanz die Synology abgefragt und die neue Version jener Instanz hat wohl stärkere Abfrageintervalle wie die Vorgängerversion. Ich habe die Instanz deaktiviert und somit lag die Ausleistung sofort wieder bei 18% - YES


Danke nochmals und beste Grüße

Gunnar

PS: Komisch ist nur das die Abfragen nicht im Protokoll aufgeführt werden!

 

[peterhoffmann]

@Gunnar Ecks
Ist dein iobroker von außen erreichbar?

Ich frage nur ganz bescheiden, weil hier im Forum schon ein paar Leute aufgeschlagen sind, wo alle Daten verschlüsselt wurden. Der Bösewicht kam über iobroker, der von außen erreichbar war und die Synology-Instanz mit den Admin-Zugangsdaten bestückt war. So schaffte es der Bösewicht ins NAS und verschlüsselte fröhlich alle Daten.

 

[Gunnar Ecks]

Hallo peterhoffmann,

vielen herzlichen Dank für den Hinweis. Jedoch nutze ich meinen ioBroker nur intern und habe mitlerweile zudem die Synology Instanz dort entfernt. Sie hat mir keinen Mehrwert generiert für meinen Anforderungsfall.