Bitcoin Miner dovecat WebStation Malware

[Willibald]

Permanente CPU und RAM Auslastung über 80%. Synologysupport schreibt
keine Weisheiten.

Prozess dovecat mit 1,2 GB Auslastung des Webstation. Nach Killall dovecap
wieder normale Auslastung, nach einiger Zeit wieder volle Auslastung durch
automatischen Prozessstart dovecap.
Löschen und Berechtigung ändern mit CHRON und CHMOD trotzdem
autom. Start.
Habe WebStation backup gemacht, warte ob autom. Start dovecap wieder
erfolgt.
Hat jemand eine gute Idee außer Neuinstallation?

dovecap liegt im Verzeichnis /tmp/dovecap .

ClamAV findet dovecap und schiebt es in Quarantäne, löschen kann ich dovecap auch.

 

[Synchrotron]

Findet der Virenscanner die Malware ? Dann könnte ein Löschversuch darüber eventuell helfen.

Platt machen und neu aufsetzen ist vermutlich die bessere Lösung, wenn ein nicht betroffenes Backup vorhanden ist.

 

[peterhoffmann]

Was passiert, wenn man die Datei dovecap löscht? Kommt sie wieder?

Crontabs kontrolliert?
Innerhalb aller Dateien in allen Pfaden außer "/volume?" nach "dovecap" gesucht?

 

[Willibald]

ClamAV findet dovecap im Ordener /tmp/dovecap und schiebt es in Quarantäne,
löschen kann ich dovecap auch, es kommt wieder.

ClamAV findet jetzt im /web Ordner die Datei .daemon und unter web/.ssh findet
ClamAV .keys und hat die Dateien in Quarantäne geschickt
.
Warte jetzt ob dovecap erneut aufgerufen wird. Werde die Dateien analysieren und auch
crontab anschauen.
.demon ist vielleicht der daemon von crontabs für dovecat.

Nach der ClamAV Aktion kam folgende Meldung:
An auto failover was performed to Diskstation7132 (High Available Server)
The cluster (Cluster1) is recovered from the abnormal

Warte jetzt ob dovecap wieder aufgerufen wird?


Die kritischen Dateien "scheinen" im /web Ordner (.domain und .keys gewesen zu sein?),
sowie unter /tmp/dovecat

Zur Zeit nach diesen Aktionen CPU 39% und RAM 17%

 

[Synchrotron]

Danke für die Rückmeldung. Es wäre für die Community schön, wenn du weiter berichtest.

 

[Willibald]

ClamAV findet dovecap im Ordener /tmp/dovecap und schiebt es in Quarantäne,
löschen kann ich dovecap auch, es kommt wieder.

Die Dateien .daemon und unter web/.ssh haben nichts mit dem Coinminer dovecat zu tun!
.
Warte jetzt ob dovecap erneut aufgerufen wird. Werde die Dateien analysieren und auch
crontab anschauen.

Crontab erscheint mir unauffällig.

Nach der ClamAV Aktion kam folgende Meldung:
An auto failover was performed to Diskstation7132 (High Available Server)
The cluster (Cluster1) is recovered from the abnormal

Warte jetzt ob dovecap wieder aufgerufen wird?


Die kritische Datei ist /tmp/dovecat

Zur Zeit nach diesen Aktionen CPU 39% und RAM 17%

Sollte es sich zeigen, dass der Wechsel des aktiven und passiven Servers dazu führt,
dass dovecap nicht mehr ausgeführt wird, werde ich den HAS trennen
und mit dem passiven Server den HAS neu aufsetzen.(HAS= High Available Server)

 

[Willibald]

Trotz Backup mit Systemeinstellungen und Webstation weiterhin Malware
Bitcoinminer und dovecat vorhanden.
Blockiere jetzt pool.minexmr.com und 5.253.84.148 in der Firewall, neues
admin Passwort, nur etwas Performance Gewinn. Dovecat und jetzt neue
Datei dovecat.b64 wird angezeigt.

Bis zu einer Lösung benutze ich vorerst folgendes Script zur Löschung von
Dovecat über den Aufgabenplaner alle 5 Minuten.

#!/bin/bash
#-av --chmod=ugo=rwX --archive --delete -z

file=/tmp/dovecat
sudo -S <<< "Passwort" find /tmp/dovecat;
if [ -f $file ] ; then
rm $file
sudo -S <<< "Passwort" killall dovecat
echo -n " Dovecat File gefunden"`date +%c`
echo " Dovecat File gefunden"`date +%c` >> /volume1/..../dovecatgefunden.txt
else
echo -n " Kein dovecat File gefunden !"`date +%c`
sudo -S <<< "Passwort" echo " Kein Dovecat File gefunden"`date +"%d-%m-%Y"` >> /volume1/..../dovecatgefunden.txt
fi

Damit läuft das System erst mal ohne CPU oder Ram Auslastung.
Support von Synology schreibt nur dummes Zeug, fragen Sie den AV- Programmprovider.
Dovecat an ClamAV gesendet mit der Bitte um Lösung.

 

[Fusion]

Weiß man etwas zum Infektionsweg?
Vielleicht möglich, dass die Neuinfektion immer wieder von deinem PC oder anderen Gerät im LAN/WLAN erfolgt?

 

[peterhoffmann]

Die Idee mit dem Lösch/Kill-Script alle 5min finde ich gut. Das bringt dir erst mal etwas Zeit und Ruhe das Problem zu lösen.

Wenn die dovecap wieder erscheint, hat sie ja ein genaues Datum. Nimm das Datum und schau mal durch die Logs. Entweder du hast innerhalb des Linuxsystems etwas übersehen, was dir andauernd das Programm neu erstellt und startet oder du hast von extern einen Zugriff, der das andauernd wieder einrichtet.

 

[Willibald]

Danke (peterhoffmann u. Fusion), könnte durchaus so sein. Habe meine Computer auf Viren geprüft und vom WLAN
abgeschottet.
Überprüfe diese "Quarantäne" durch die Logfiles , die erstellt werden wenn dovecat
wieder erscheint. Kann dann die einzelnen PC's als Verursacher ausschließen.
Schotte zuletzt den Zugriff übers Internet ab, muß dann ein zweites NAS für das
Internet konfigurieren oder Laden mal zumachen für 24 Std..(Oder 4 bis 6 Std.,
wenn ich Glück habe, nach dieser Zeit erschien dovecat wieder bisher).
Z. Zt. sind es seit 11Uhr 30- 8 Std. , etwas Hoffnung keimt auf.
Übrigens: Mein Internet ist wieder richtig schnell, von 160 Mbit jetzt
auf 400mbit/s, war vielleicht auch der Bitcoiner ?

Man hat ja nichts anderes zu tun. Nochmal Danke für die Tipps.

 

[mamema]

schau mal auf das offensichtliche: Welche Ports sind derzeit offen an Deiner NAS. Und nutze dazu das Tool nmap (How-To im Web), da man davon ausgehen kann, dass irgendwelche reverse Shells geöffnet werden. Welche IPs werden verbunden.... das findest Du raus mit:

netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head

...hier als Beispiel port 80 ......

 

[Willibald]

Dank an mamema, netstat Tipp hat's jetzt gebracht.

https://ruffell.nz/reverse-engineer...sis-of-the-dovecat-and-hy4-linux-malware.html

 

[peterhoffmann]

Nach meinem Verständnis hast du jetzt die Symptome ausgebremst, aber die Ursache ist noch vorhanden.

 

[Willibald]

So ist es.
Nehme an, das Programm wurde aus dem WEB über PORT 80 oder Port 443 intervallartig aufgerufen.
Dieser Aufruf ist jetzt blockiert. Das ursächliche Script ist noch im System vorhanden,
sollte aber keinen Schaden mehr anrichten.(Hoffe ich). Weitere Suche bisher erfolglos.

 

[geimist]

Warum war http in der Gruppe der Administratoren?

 

[mamema]

monero crypto miner. Gemäss dem Writeup von Matthew Ruffel 194 Dateien und diverse Basteleien inklusive Crontab. Da Matthew eine weitere Malware erwähnt, welche root shells spawnt, würde ich sagen. Nutzt Deine Zeit sinnvoll und mach eine Neuinstallation.

 

[Willibald]

@geimist : Warum war http in der Gruppe der Administratoren?

Hatte ich irgendwann gebraucht und dann vergessen zurück zu nehmen. ( Erinnere mich jedoch nur vage).

@ mamema : Sieht so aus. Bin an meine Grenzen gestoßen, warte noch etwas und muß dann wohl in den sauren Apfel beißen.
Warte noch ob ClamAV evtl. eine V-Scannerlösung bringt. Dateisuche bringt mich nicht weiter,
bin kein Filespezialist für Linux.

 

[Willibald]

Bitcoinminer Malware

Multios.Coinminer.Miner-6781728-2


Nachdem ich den Start von dovecat beenden konnte, trat der Bitcoinminer und dovecat in zeitlichem Zusammenhang mit der Installation von Docker und dem Kontainer Synology/DCM4CHEE erneut wieder auf.

Ich habe dann Docker komplett gelöscht, dovecat gelöscht (killall -9 dovecat; delete tmp/dovecat) und den Besitzer der Datei
dovecat.b64 im tmp/ Verzeichnis von http auf Administrator gewechselt( Oder Dummydatei dovecat.b64
anlegen mit Besitzer Administrator?).
Zusätzlich killall -9 crypto . Nach Reset des NAS wurde dovecat nicht mehr aufgerufen und Bitcoinminer nicht mehr aktiviert.(Aktivierungsintervall mehr als 9 Std. , jetzt seit 72 Std. nicht mehr aktiviert)
Einzelne Schritte können evtl. nutzlos sein, das war aber mein Vorgehen.
Ob wirklich alle Reste der Malware beseitigt sind bezweifle ich. Wahrscheinlich hat crypto damit nichts zu tun, da es unter den Diensten noch vorhanden ist und ich es wahrscheinlich nicht killen brauchte?.

Werde den Support Synology informieren:
Wenn Sie mir schon keine effektive Hilfe anbieten, dann sind Sie
zumindest verpflichtet dafür zu sorgen, dass in Ihrem Paketzentrum
Malware gelöscht wird. Bitte überprüfen Sie Docker und den Kontainer Synology/DCM4CHEE auf Malware und geben Sie mir einen Hinweis, wie ich die Malware entfernen kann.

 

[Synchrotron]

Was hat denn das Synology Paketzentrum damit zu tun ?

Den Miner hast du dir vermutlich irgendwo eingefangen, kaum über einen Download aus dem Paketzentrum. Sonst wäre das Forum voll von ähnlichen Threads.

 

[mamema]

hier wäre das dockerfile https://github.com/dcm4che-dockerfiles/dcm4chee-arc-psql/blob/5.23.0/Dockerfile
kannst Du den Container nachbauen.....
Das Dockerpaket aus dem Synology Paketzentrum ist eigentlich i.O. Da müsste ein Exploit direkt bei Synology eingeschleust worden sein, sehr unwahrscheinlich und sehr weitgreifend, was zu mehr Wellen führen müsste..... derzeit ist an dieser Front Ruhe.....

Das mit der Installation des Docker Containers dein Cryptominimg Problem wieder anfing, kann schon sein, dass liegt aber eher an einer Schewachstellre in eine der genutzten Apps.
Das verlinkte Dockerfile installiert jboss und pqsl....

gib hier https://www.exploit-db.com/ mal jboss und pqsl ein und kümmere Dich um die Exploits und mach den Container sicher, dann kannst Du den wieder nutzen.
...oder einfach die Finger von Dingen lassen die über next, next, next finish Installationen hinausgehen, sorry....