synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУправление Системой › Процесс dscp.pid

Процесс dscp.pid

RustamGiz · 13.02.2014

У меня DS 413. Появился процесс который потребляет 49% ресурсов системы. В мониторе выводится под именем dscp.pid. Кто знает что это за процесс, и если можно его убить, то сделать это или умерить его аппетиты.

 

Ошибка в написании. Процесс называется dhcp.pid но теперь их стало 2 и они сожрали все процессорное время

Alex_Support · 13.02.2014
У меня DS 413. Появился процесс который потребляет 49% ресурсов системы. В мониторе выводится под именем dscp.pid. Кто знает что это за процесс, и если можно его убить, то сделать это или умерить его аппетиты.

 

Доброго времени суток! Хотелось бы уточнить некоторые моменты:

1) Какой продукт используется?

2) Какая версия DSM установлена?

3) Какие приложения запущенны на устройстве?

RustamGiz · 13.02.2014
Доброго времени суток! Хотелось бы уточнить некоторые моменты:

1) Какой продукт используется?

2) Какая версия DSM установлена?

3) Какие приложения запущенны на устройстве?

 

Здравствуйте!

Отвечаю по пунктам:

1) DS413

2) DSM 4.2-3202

3) Download Station, Cloud Station, Сервер мультимедиа, Video Station, Photo Station. Audio Station

RustamGiz · 13.02.2014

Решение нашел http://forum.synology.com/enu/viewtopic.php?f=19&t=81026 сделал как http://forum.synology.com/enu/viewtopic.ph...t=81026#p304134 Но до сих пор не понял откуда этот файл завелся.

Arsie · 17.02.2014

Кстати, тоже на DS213 заметил, что dhcp.pid сожрал всё, что можно. Победил перезагрузкой коробки. В коробке только Windows-сервисы и даунлоад стейшн без активных закачек.

 

Проблема появилась после того, как я подключил удалённую папку к DS213j (сама папка на DS213, к ней подключился DS213j) для копирования нескольких файлов, общим объёмом 50Гб. Копирование было DS213->DS213j.

 

На DS213 DSM 4.3, предпоследний апдейт (который перед 4.3-3827 был), не помню цифры.

 

На DS213j DSM 4.3 достаточно старенькая, летнего варианта. Её прошивку не трогаю по причине "Не мешай технике работать" :)

Blair · 18.02.2014
Кстати, тоже на DS213 заметил, что dhcp.pid сожрал всё, что можно. Победил перезагрузкой коробки. В коробке только Windows-сервисы и даунлоад стейшн без активных закачек.

 

Проблема появилась после того, как я подключил удалённую папку к DS213j (сама папка на DS213, к ней подключился DS213j) для копирования нескольких файлов, общим объёмом 50Гб. Копирование было DS213->DS213j.

 

На DS213 DSM 4.3, предпоследний апдейт (который перед 4.3-3827 был), не помню цифры.

 

На DS213j DSM 4.3 достаточно старенькая, летнего варианта. Её прошивку не трогаю по причине "Не мешай технике работать" :)

Вирусня это. Вопрос - как пролазит?!

Dear Synology users,

 

Synology® confirmed known security issues (reported as CVE-2013-6955 and CVE-2013-6987) which would cause compromise to file access authority in DSM. An updated DSM version resolving these issues has been released accordingly.

The followings are possible symptoms to appear on affected DiskStation and RackStation:

 

Exceptionally high CPU usage detected in Resource Monitor:

CPU resource occupied by processes such as dhcp.pid, minerd, synodns, PWNED, PWNEDb, PWNEDg, PWNEDm, or any processes with PWNED in their names

Appearance of non-Synology folder:

An automatically created shared folder with the name “startup”, or a non-Synology folder appearing under the path of “/root/PWNED”

Redirection of the Web Station:

“Index.php” is redirected to an unexpected page

Appearance of non-Synology CGI program:

Files with meaningless names exist under the path of “/usr/syno/synoman”

Appearance of non-Synology script file:

Non-Synology script files, such as “S99p.sh”, appear under the path of “/usr/syno/etc/rc.d”

If users identify any of above situation, they are strongly encouraged to do the following:

 

For DiskStation or RackStation running on DSM 4.3, please follow the instruction here to REINSTALL DSM 4.3-3827.

For DiskStation or RackStation running on DSM 4.0, it’s recommended to REINSTALL DSM 4.0-2259 or onward from Synology Download Center.

For DiskStation or RackStation running on DSM 4.1 or DSM 4.2, it’s recommended to REINSTALL DSM 4.2-3243 or onward from Synology Download Center.

For other users who haven’t encountered above symptoms, it is recommended to go to

DSM > Control Panel > DSM Update page, update to versions above to protect DiskStation from malicious attacks.

 

Synology has taken immediate actions to fix vulnerability at the point of identifying malicious attacks. As proliferation of cybercrime and increasingly sophisticated malware evolves, Synology continues to casting resources mitigating threats and dedicates to providing the most reliable solutions for users. If users still notice their DiskStation behaving suspiciously after being upgraded to the latest DSM version, please contact [email protected].

 

Sincerely,

Synology Development Team

RustamGiz · 18.02.2014
Кстати, тоже на DS213 заметил, что dhcp.pid сожрал всё, что можно. Победил перезагрузкой коробки. В коробке только Windows-сервисы и даунлоад стейшн без активных закачек.

 

В сообщении пишут, что через некоторое время эта программа рано или поздно активируется и поедает все вычислительные ресурсы. Рекомендую понаблюдать за работой коробки. Для прекращения процесса через telnet и удаления файла необходимо подключаться с рутовыми правами. В том же обсуждении сообщают, что эта программа используется для генерации биткойнов.

RustamGiz · 18.02.2014
Вирусня это. Вопрос - как пролазит?!

 

Спасибо, большое! Буду обновляться.

 

ssd74 · 18.02.2014
У меня DS 413. Появился процесс который потребляет 49% ресурсов системы. В мониторе выводится под именем dscp.pid. Кто знает что это за процесс, и если можно его убить, то сделать это или умерить его аппетиты.

 

Ошибка в написании. Процесс называется dhcp.pid но теперь их стало 2 и они сожрали все процессорное время

Судя по всему ты не одинок

http://forum.synology.com/enu/viewtopic.php?f=19&t=81026

Надо тоже глянуть будет

Arsie · 18.02.2014

Самое интересное, что доступ к коробке открыт только по 5000 порту и по портам даунлоад стейшен. Все остальные порты закрыты.

 

Интересно, где дырка. Или дырка вообще системная?

ssd74 · 18.02.2014
Самое интересное, что доступ к коробке открыт только по 5000 порту и по портам даунлоад стейшен. Все остальные порты закрыты.

 

Интересно, где дырка. Или дырка вообще системная?

Ищи какой пакет(приложение, скрипт) его запускает.

Arsie · 19.02.2014
Ищи какой пакет(приложение, скрипт) его запускает.

 

Вчера вечером накатил обновление, от этого процесса и след простыл.

 

Но чётко помню этот процесс постоянно висящий в памяти в спящем режиме. Даже полгода назад, когда первоначально настраивал коробочку. Ещё подумал тогда: dhcp же вроде выключен, что это он в памяти болтается. Но не стал копать. Типа, хз, что там в Сино придумали, мож это клиент такой.

 

А вот на днях этих процессов стало несколько и один из них отожрал проц.

 

Что-то мне сейчас думается, что эта дырка уже давным-давно есть, но активировался руткит у всех именно сейчас. Типа, ботнет кто-то задействовал.