• 0

Question

Bonjour à tous, 

Je fais tourner actuellement le DSM 5.2-5644 en XPEnoboot, 

Il a fonctionné pendant un bon moment sans problème, mais depuis hier, le download est constant entre 795ko/s et 1,6 MB/s, j'ai changé d'adresse IP, changé les ports, vérifié les utilisateurs connectés, rien de suspect donc j'ai laissé tombé l'attaque extérieur. En revanche, si je coupe internet et que je reste en réseau local, le download tombe... Donc c'est bien le Nas qui télécharge de lui même. Une chose encore plus étrange, j'ai pas repéré d'utilisation de disque ni de modification de fichier ! 
Bref je suis perplexe, et avant de me lancé dans une machine virtuelle zabbix pour monitorer tout ça je préfère vous demander...
J'ai trouvé ceci aussi !
merci de votre aide pour résoudre ce mystère ! 

 

Share this post


Link to post
Share on other sites

15 answers to this question

Recommended Posts

  • 0

je pense à un cas très con mais plausible : ta carte réseau ou ton cable réseau à peut-être un pb. En effet il est possible que le NAS bombarde de requête pour corriger des erreurs TCP. vérifies ton cablage, sait-on jamais.

Share this post


Link to post
Share on other sites
  • 0

Tu n'aurais pas un torrent qui seed ?

Je me rappelle quelqu'un avait déjà eu ce pb sur le forum français et avait trouvé une solution... malheureusement je n'arrive pas à trouver le topic. En cherchant bien tu trouveras je suis sûr!

Share this post


Link to post
Share on other sites
  • 0

Non aucun torrent qui download, car c'est bien en download le problème :)
Je viens de faire un netstat, et un ps, et la je vois ces process, 

26902 postgres 39668 S    postgres: postgres download [local] idle
28883 postgres 39728 S    postgres: postgres download [local] idle

Etrange ? 

voici le restant des process 

Spoiler

PID USER       VSZ STAT COMMAND
    1 root      3568 S    /sbin/init
    2 root         0 SW   [kthreadd]
    3 root         0 SW   [ksoftirqd/0]
    5 root         0 SW<  [kworker/0:0H]
    7 root         0 SW   [migration/0]
    8 root         0 SW   [rcu_bh]
    9 root         0 SW   [rcu_sched]
   10 root         0 SW   [watchdog/0]
   11 root         0 SW   [watchdog/1]
   12 root         0 SW   [migration/1]
   13 root         0 SW   [ksoftirqd/1]
   15 root         0 SW<  [kworker/1:0H]
   16 root         0 SW<  [khelper]
   17 root         0 SW   [kdevtmpfs]
   18 root         0 SW<  [netns]
   19 root         0 SW   [kworker/u12:1]
  204 root         0 SW<  [writeback]
  206 root         0 SW<  [kintegrityd]
  207 root         0 SW<  [bioset]
  209 root         0 SW<  [kblockd]
  315 root         0 SW<  [ata_sff]
  328 root         0 SW<  [md]
  426 root         0 SW<  [rpciod]
  467 root         0 SW   [khungtaskd]
  492 root         0 SW<  [kswapd0]
  496 root         0 SW   [fsnotify_mark]
  499 root         0 SW<  [nfsiod]
  501 root         0 SW<  [crypto]
2858 root      4416 S    avahi-daemon: running [MyNas.local]
2886 root      1940 S    /usr/syno/sbin/minissdpd -i eth0
2990 root         0 SW<  [iscsi_eh]
3027 root         0 SW<  [kmpath_rdacd]
3114 root         0 SW<  [kpsmoused]
3173 root         0 SW<  [deferwq]
3315 root     14140 S <  /usr/bin/httpd -DSSL -DSPDY -f /etc/httpd/conf/httpd
3319 root     13184 S    /usr/bin/httpd -DSSL -DSPDY -f /etc/httpd/conf/httpd
3323 root     99584 S <  /usr/bin/httpd -DSSL -DSPDY -f /etc/httpd/conf/httpd
3497 root         0 SW   [ecryptfs-kthrea]
3804 root         0 SW<  [ixgbe]
3823 root         0 SW<  [i40e]
4388 root         0 SW<  [bnx2x]
4389 root         0 SW<  [bnx2x_iov]
4422 root         0 SW<  [cnic_wq]
4457 root         0 SW<  [cxgb4]
4478 root         0 SW<  [mlx4]
4781 root         0 SW   [scsi_eh_0]
4792 root         0 SW   [scsi_eh_1]
4799 root         0 SW   [kworker/u12:2]
4825 root         0 SW   [scsi_eh_2]
4835 root         0 SW   [scsi_eh_3]
5337 root         0 SW   [nvme]
5393 root         0 SW<  [megasas_ocr]
5612 root         0 SW<  [kworker/1:1H]
5621 root         0 SW<  [bioset]
5622 root         0 SW   [md0_raid1]
5633 root         0 SW<  [bioset]
5636 root         0 SW   [md1_raid1]
5767 root         0 SW   [khubd]
5776 root         0 SW   [kethubd]
8853 root      3824 S    /sbin/getty 115200 console
9938 root         0 SW   [kworker/1:2]
11525 root         0 SW   [jbd2/md0-8]
11526 root         0 SW<  [ext4-dio-unwrit]
11549 root         0 SW<  [kworker/0:1H]
11590 root     10348 S    /usr/bin/syslog-ng -F --worker-threads=2
12051 root      3820 S    /usr/sbin/crond
12061 root     16648 S    /usr/syno/sbin/synologarchd -f
12124 root     15316 S N  /usr/syno/bin/synologrotated
12125 root      2692 S    /usr/syno/sbin/dbus-daemon --system --nopidfile
12126 root      2692 S    /usr/syno/sbin/dbus-daemon --session --fork --print-
12160 root     36176 S    /usr/syno/sbin/synoconfd -D
12193 root     38020 S    /usr/syno/sbin/synonetd
12539 root         0 SW<  [bioset]
13097 ntp      13892 S    /usr/sbin/ntpd -p /var/run/ntpd.pid -g -u ntp:ntp
13103 root     17112 S    /usr/syno/sbin/ddnsd
13157 root      3004 S    udevd --daemon
13240 root     15848 S <  /usr/syno/bin/findhostd
13262 root      3820 S    /usr/sbin/inetd
13289 root     58004 S    /usr/syno/bin/upnpd
14616 root         0 SW<  [bioset]
14620 root         0 SW   [md2_raid1]
15034 root         0 SW<  [kdmflush]
15038 root         0 SW<  [bioset]
15445 root         0 SW   [jbd2/dm-0-8]
15447 root         0 SW<  [ext4-dio-unwrit]
15481 root     17616 S    /usr/bin/sshd
15508 root     26620 S    /usr/syno/sbin/snmpd -fLn -c /usr/syno/etc/snmpd.con
15601 root     24156 S    /usr/syno/sbin/synosnmpcd
15641 root     15260 S    synostoraged
15642 root     15260 S    synostoraged-disk
15643 root     15260 S    synostoraged-space
15735 root     97880 S    scemd
15906 root     26352 S    /usr/syno/sbin/hotplugd
15930 root         0 SW   [scsi_eh_4]
15941 root         0 SW   [usb-storage]
17127 root     16412 S N  /usr/syno/sbin/synomkthumbd
17128 root     16404 S N  /usr/syno/sbin/synomkflvd
17299 root     29416 S    /usr/syno/bin/s2s_daemon -d
17312 root      3520 S    /usr/sbin/irqbalance
17401 root     19296 S    /usr/bin/httpd -f /etc/httpd/conf/httpd.conf-webdav
17402 root     43884 S    /usr/bin/httpd -f /etc/httpd/conf/httpd.conf-webdav
17403 root     43884 S    /usr/bin/httpd -f /etc/httpd/conf/httpd.conf-webdav
17428 root         0 SW   [kworker/0:2]
17460 postgres 38592 S    /usr/bin/postgres -D /var/services/pgsql
17540 root     39316 S    /usr/bin/netatalk
17546 root         0 SW<  [cifsiod]
17554 root     24064 S N  /usr/syno/sbin/fileindexd
17600 root     28052 S    /usr/syno/bin/synobackupd
17608 root     45368 S    /usr/bin/afpd -d -F /etc/afp.conf
17609 root     39276 S    /usr/bin/cnid_metad -d -F /etc/afp.conf
17632 root     52708 S    /usr/bin/nmbd -D
17635 root     30668 S    /usr/syno/bin/img_backupd
17643 root     25080 S N  /usr/syno/sbin/synovfsd
17753 postgres 38592 S    postgres: checkpointer process   
17754 postgres 38592 S    postgres: writer process   
17755 postgres 38592 S    postgres: wal writer process   
17774 root     10540 S    /usr/bin/httpd
17844 http     10072 S    /usr/bin/httpd
17845 http      282m S    /usr/bin/httpd
17962 root     19296 S    /usr/bin/httpd -f /etc/httpd/conf/httpd.conf-webdav
18097 root         0 SW   [kworker/1:0]
18125 root     16344 S N  /usr/syno/sbin/synoindexd
19002 root     21908 S    sshd: root@pts/1
19018 root      3824 S    -ash
19030 root      3824 R    ps
19595 root     16364 S N  /usr/syno/sbin/synoindexscand
19596 root     16348 S N  /usr/syno/sbin/synoindexworkerd
19597 root     16808 S N  /usr/syno/sbin/synoindexplugind
19598 root     34616 S N  /usr/syno/sbin/synomediaparserd
22405 root         0 SW   [kworker/0:1]
26254 root     22028 S    /var/packages/DownloadStation/target/sbin/scheduler
26376 root     17656 S    /var/packages/DownloadStation/target/sbin/synodldbd
26388 plex      216m S    /var/packages/Plex Media Server/target/Plex Media Se
26402 plex     99.3m S N  Plex Plug-in [com.plexapp.system] /volume1/@appstore
26534 plex      131m S    /volume1/@appstore/Plex Media Server/Plex DLNA Serve
26539 plex     60000 S    /volume1/@appstore/Plex Media Server/Plex Tuner Serv
26902 postgres 39668 S    postgres: postgres download [local] idle
28883 postgres 39728 S    postgres: postgres download [local] idle

 


Si besoin je peux mettre le retour de la commande netstat

Merci :)

Share this post


Link to post
Share on other sites
  • 0

Après une capture tcp dump, j'ai bien quelque chose d'anormal...
Sur des lignes et des lignes et des lignes...

11:49:26.942179 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.944186 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.946193 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.947197 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.949349 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.951212 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.953219 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328
11:49:26.954222 IP 195.238.8.181.48264 > 239.192.5.83.7166: UDP, length 1328

Non pas du tout

Share this post


Link to post
Share on other sites
  • 0

Bon des news, 
J'ai formaté tout, j'ai réinstallé, ça continue...
J'ai effacé la clé, et réinstallé, ça continue... 
Je sèche là...

Share this post


Link to post
Share on other sites
  • 0

L'IP 195.238.8.181 semble être associé à Skynet-B. Un truc belge. 

 

Le n° port 7166 semble être lié à un service d'Aruba / un truc de cloud... Tu utilises CloudSync ?

Share this post


Link to post
Share on other sites
  • 0

Non rien de tout ça, et en réinstallant, j'ai même retiré port forwarding et j'ai redémarré la box pour avoir une autre ip 😕

Share this post


Link to post
Share on other sites
  • 0

si un service télécharge depuis le NAS, le port forwarding n'y est pour rien.

Quand tu dis que tu as tout réinstallé, tu veux dire que ton NAS est vierge et qu'il n'y a aucun paquet d'installé dans le gestionnaire de paquet ?

Share this post


Link to post
Share on other sites
  • 0

Exactement, plus rien du tout, je suis passé par clonezilla en live pour tout formater. 
C'est un véritable mystère ce qu'il m'arrive.. Et pourtant je fais mes études en sécurité informatique, du coup je me sens très con tout d'un coup ! Jamais vu ça de ma vie, je ne vois pas du tout quel paquet installé de base pourrai faire ça surtout que j'avais pas ça au début, il a tourné pendant un bon mois sans problème ! Le pire c'est que j'ai remarqué ça hier et que je n'ai rien changé...

Share this post


Link to post
Share on other sites
  • 0

Il est vrai que ce n'est pas logique, tout à l'heure je te demandais si tu avais une caméra de surveillance car chez moi j'ai toujours un flux descendant aux alentours des 700ko/s dû à Surveillance Station qui récupère le flux HD de mes caméras. J'avais mis du temps à comprendre. Mais dans ton cas il y a forcement une explication!

 

En ssh, que donne :

watch lsof -i

 

Suite à la réinstall, tu as vu le pb dès le départ ?

Share this post


Link to post
Share on other sites
  • 0

J'ai pas réussi à installer le paquet lsof 😕 

Oui directement, dès la premiere seconde d'activité, je vois dans le widget le flux aux alentours de 900, ça me retourne complètement la tête ! 

Si c'était une attaque il faudrait plus de temps que ça pour la mettre en place, là dès la fin de l'installation ça le fait, alors que j'ai repris le pat et le img de la première fois ! 

J'aimais bien ce NAS, il allait vraiment bien ! 

Share this post


Link to post
Share on other sites
  • 0

Et bien félicitation, problème résolu, problème de cable !!!!!!

Jamais j'y aurai pensé ! 

merci beaucoup ! 

Share this post


Link to post
Share on other sites
  • 0
La ou les question(s) dans ce fil de discussion ont reçues une réponse et/ou l'auteur à résolu son problème. Ce fil de discussion est maintenant fermé. Si vous avez d'autres questions, merci d'ouvrir un nouveau fil de discussion.

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.