Toggle sidebar

DS224+ hohe CPU Last

  • Aktuell gibt es ein Problem mit dem Mail-Versand. Der Mailversand ist deswegen gestoppt. Wir arbeiten dran.
Oder ist die DS aus dem Internet erreichbar und wird von dort mit anfragen bombardiert? Was gibt das Systemprotokoll her?
 
Synchrotron schrieb:
Also erst mal Moin, so von Mac User zu Mac User.
Zum Vergrößern anklicken....
Na, das hört sich doch schon mal gut an ;)
Synchrotron schrieb:
Niemand braucht Putty auf einem Mac. Auf jedem Mac ist ein SSH-Client vorinstallierte, heißt TERMINAL. Persönlich nutze ich lieber iTERM, aber das bleibt jedem selbst überlassen.
Zum Vergrößern anklicken....
Hab es auch (siehe Link und Screenshot weiter oben) über das Bordeigene "Terminal" auslesen können ;)
Synchrotron schrieb:
Die Prozesse, die Last erzeugen, sind synoscgi_....Auth_3_login Prozesse. Wenn man damit die Suchmaschine seines Vertrauens bedient, stößt man als erstes auf diesen Thread aus einem uns bekannten Synology-Forum:

https://www.synology-forum.de/threads/ds218j-dsm6-ausufernde-synoscgi-prozesse.117789/

In dem dort beschriebenen Fall war der Verursacher der bereits aktivierte Home Assistant irgendwo im Netzwerk, der die DS mit Anmelde-Anfragen bombardiert hat. Da die nicht abgeschlossen werden konnten, aber laufend neue dazu kamen, war die CPU irgendwann am Anschlag.

Also, lieber TO, statt deine DSen zu verdächtigen: Irgendwo in deinem Netzwerk versucht sich jemand sehr hartnäckig an deine DS anzumelden, vermutlich ein Home Assistant. Finde den aufdringlichen Netzwerkteilnehmer, und der Spuk sollte vorbei sein.
Zum Vergrößern anklicken....
Naja, Home Assistan hatte ich noch gar nicht installiert und die CPU-Last war schon fast auf Anschlag ... Mit hartnäckischen Anmelden spähe ich morgen mal aus ... hab da eine Vermutung weile die 718+ auch noch Außen offen ist ... evtl. liegt dort der Hase begraben ... :unsure:
 
@patrickn

Sorry, zu spät gesehen, checke ich morgen mal ...
 
Rocko schrieb:
hab da eine Vermutung weile die 718+ auch noch Außen offen ist
Zum Vergrößern anklicken....
Du hast wohl keine Schutzmaßnahmen angeschalten? IP Sperren nix x-Fehlanmeldungen? Kontoschutz nach x-Fehlanmeldung. Also wenn du jetzt noch den Admin Account aktiv hast und Port 5001 nutzt, dann aber hopp hopp mit dem Absichern!!!
 
  • Like
Reaktionen: wegomyway
Also da ist denke ich richtig was faul bei der 718+ ... :mad:
 

Anhänge

  • pro.jpg
    pro.jpg
    40,2 KB · Aufrufe: 28
Was gibt das Protokoll noch her an Anmelde(versuchen)?

Der admin User ist tatsächlich aktiv, und ein Login auf DSM von "localhost"?
Irgendwie massiv verdächtig, die Kiste gehört sofort abgeschalten, und die Portfreigaben zu der Kiste unverzüglich geschlossen
 
  • Like
Reaktionen: Benie und Ronny1978
Viel kann ich nicht sehen (zu klein). Aber wieso taucht dort die 127.0.0.1 auf? Und was steht alles im Aufgabenplaner? Welche Aufgaben werden ausgeführt?
 
Stimmt, ein Blick in den Aufgabenplaner werfen!

Und den Neustart, hast du den initiiert?
 
Rocko schrieb:
richtig was faul
Zum Vergrößern anklicken....
Bitte den Admin Account unbedingt deaktivieren und einen neuen erstellen. Wird schon eine ganze Weile von Synology empfohlen und auch hier im Forum. 2FA aktivieren!!! und immer nur im Einrichtungsfall mit dem Admin Account (NICHT "admin" als Name/Nutzer -> der gehört deaktiviert) arbeiten. Immer noch einen 2. Nutzeraccount für alltägliche Arbeiten anlegen.
 
  • Like
Reaktionen: Benie und wegomyway
Als reine Info meinereiner, der Systemadmin und dieser Systemnutzer sind eh deaktiviert (bei Ersteinrichtung automatisch). Die 2FA realisiere ich mit Google Authenticator. Die App generiert automatisch alle Sekunden (Zeit nicht gemessen, Sekundenbereich -> 30 oder etwas mehr) einen neuen 6stelligen Code und den tipp ich ein und fertig ist die Kiste. Einmal eingerichtet, läuft, auch für meine weiteren 2 Nutzer, und für mich weil ich ebenfalls Nutzer bin, und eben für den angelegten Admin. Damit ist man schon ganz gut dabei. Port ist nur 443 vorhanden, WG-VPN auch noch nehmen. IP-Blocker im Aufgabenplaner, Fehlversuche/in Zeit, Ländersperre usw. usw. ! Da kann man sich richtig austoben. Aber ist mehr als sinnvoll das zu machen, es lebt sich ruhiger. Meine CPU langweilt sich regelmäßig wenn ich nicht irgendwie Dokus/Fotos reinschiebe.
Hier im Forum gibt es dazu reichlich zu lesen. Geholfen wird hier ebenso in sehr gewaltiger Form. Auch wenn ab und an der Ton "rauer" wird/ist, man will nur mit deutlichen Worten hinweisen um die Sicherheit für denjenigen zu geben. Heir sitzen genügend Kompetenzen. Aber ohne Fleiß keinen Preis, da muss derjenige auch das umsetzen/wollen.
Wird schon.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Benie und Ronny1978
@wegomyway da hast du recht. Aber wenn ich im Log "Admin" sehe, scheint der bei @Rocko nicht deaktiviert zu sein.

ICH nutze einen separaten Admin Account und einen separaten Nutzer. Alle internen und externen Nutzer MÜSSEN 2FA nutzen. Meine Familie und ich nutzen Yubikey Sticks und alle anderen den Google Authenticator. Weiterleitung gibt es keine. In meiner vorgeschalteten OpnSense sitzt der Reverse Proxy mit LE Zertifikaten, Crowdsec und der Geoblocker. Somit hole ich das alles von der DS weg.

Und ja: Genug Kompetenz in Forum ist vorhanden. Eine höfliche Frage bekommt in Regelfall auch eine entsprechende Antwort. Grundinfos sind aber vorher, bei Fragestellung, schon wichtig, da es immer eine Mühe macht und zeitlichen Aufwand bedeutete immer wieder Grundinfos abfragen zu müssen. ;)
 
  • Like
Reaktionen: wegomyway
@Rocko
Du solltest jetzt mal zeitnah (sofort, am besten gestern!) nach der Kiste schauen, wenn dir deine Daten -/ Sicherheit lieb ist!
 
  • Like
Reaktionen: wegomyway
Alles klar, Danke erstmal für die zahlreichen Tipps ;)

Was ich bis jetzt gemacht habe: (Bin kein Profi !)
- DDNS deaktiviert
- admin User deaktiviert (neuen User mit gleichen Rechten neu erstellt)

Die 718+ eben nochmal neu gestartet ... siehe Bild
 

Anhänge

  • Bildschirmfoto 2024-10-13 um 15.55.29.png
    Bildschirmfoto 2024-10-13 um 15.55.29.png
    225,7 KB · Aufrufe: 17
Zuletzt bearbeitet von einem Moderator:
Dann find mal raus, welcher Job sich da fast im Sekundentakt lokal als "admin" anzumelden versucht, was er nun nicht mehr darf.
In #25 war auch der Aufgabenplaner mit ganz oben dabei und du wurdest gefragt, welche Jobs da definiert sind.
Du hast da einen lokalen Amok-Läufer auf der Kiste.
 
Zuletzt bearbeitet:
Der derzeitige Aufgabenplaner ...
 

Anhänge

  • Bildschirmfoto 2024-10-13 um 17.09.01.png
    Bildschirmfoto 2024-10-13 um 17.09.01.png
    119,8 KB · Aufrufe: 18
SMART-Test ... abschalten. Unnötige Belastung für die HDD. Geht über ein Script was man hier im Forum findet (bin zu faul zum suchen). Diese Werte kann man ohne Test auslesen.
 
Ich sehe jetzt im Aufgabenplaner nichts auffälliges, hab jetzt nicht alles detailliert durchgeschaut, ab das meiste ist ja erst für morgen oder später geplant.
Hab keine Idee, was das sein könnte. Andere vielleicht?
 
@Benares Danke dir schon mal bis hier her ;)
 
Wir hatten jetzt abgeprüft, was alles auf der neuen DS224+ läuft. Da die 723+ hier "durchdreht", wäre es für mich interessant, was auf der alles läuft. Weil 127.0.0.1 ist ja eigentlich "localhost", wie schon @patrickn bemerkt hatte.
 
Warum steht da nächste Ausführungszeit obwohl der Task deaktiviert ist? Ist das normal?
Warum um 2 ausschalten und um 6 wieder an? Lohnt sich das?

Vorallem, mal die Einstellungen der Tasks anschauen, ob da auch wirklich das ausgeführt wird, was dran steht.

Ich find das irgendwie massiv verdächtig, insbesondere diese Versuche DSM Anmeldung von der Kiste selbst?
 
  • Like
Reaktionen: Ronny1978
NAS-Central - Ihr Partner für NAS Lösungen
NAS-Central - The Home of NAS
 

Kaffeautomat

Wenn du das Forum hilfreich findest oder uns unterstützen möchtest, dann gib uns doch einfach einen Kaffee aus.

Als Dankeschön schalten wir deinen Account werbefrei.

:coffee:

Hier gehts zum Kaffeeautomat 

Hosted by netcup
IT Lösungen mit NAS Servern
IT Firma Trier
Fotograf Trier
   
Oben Unten