Überlastung PI oder NodeRed

Dashboard
18

I understand you seem happy now, but having something connected directly to the internet would make me nervous.
When you put all that to chatGPT you get:

does anything of this look like the system is compromised, hacked, or running other malishious code? hier mal ein ps -aux ausgabe:...

Short answer: yes — there are a few very suspicious processes here.
Most entries are normal kernel/system threads, but these three jump out:

  • pi 124592 … /usr/sbin/hwm
  • pi 124593 373 … /usr/lib/syst (truncated — likely trying to look like “systemd”)
  • pi 124594 … /usr/sbin/sys

Why they look bad:

  • They’re not standard Raspberry Pi OS/Debian binaries (/usr/sbin/sys and /usr/sbin/hwm don’t exist on a clean install).
  • They’re owned by user pi but live in system directories (/usr/sbin, /usr/lib) — unusual and a common malware trick.
  • One is burning huge CPU (%CPU 373 and TIME in the tens of thousands of minutes), which fits crypto-miner/bot behavior.
  • The names (sys, syst) look like masquerades for real services.

Your other entries like node-red, mosquitto, NetworkManager, wpa_supplicant, ModemManager, sshd, and kernel kworker threads all look normal for a Pi with IoT software.

:puzzle_piece: Schlussfolgerung (auf Deutsch)

Ja — es sieht sehr stark danach aus, dass dein System kompromittiert wurde.
Fast alle Prozesse in deiner ps -aux-Liste sind absolut normal für ein Raspberry-Pi-Linux-System – außer drei Prozessen, die sehr verdächtig sind:

  • /usr/sbin/hwm
  • /usr/lib/syst… (vermutlich absichtlich abgeschnitten, um wie „systemd“ auszusehen)
  • /usr/sbin/sys

Diese drei Programme:

  • liegen in Systemverzeichnissen, gehören aber dem Benutzer „pi“ → das ist ungewöhnlich und deutet auf manipulierte Dateien hin,
  • verwenden täuschende Namen, die wie echte Systemdienste aussehen sollen,
  • einer davon (/usr/lib/syst...) verbraucht extrem viel CPU – ein typisches Verhalten für Krypto-Miner oder Botnet-Software.

Alles andere (Node-RED, mosquitto, NetworkManager, sshd, systemd usw.) ist völlig normal.

:broom: Empfohlener nächster Schritt

Wenn sich die Verdachtsmomente bestätigen:

  1. Trenne den Pi vom Internet.
  2. Sichere deine wichtigen Daten (Node-RED-Flows, mosquitto-Konfiguration).
  3. Setze das System neu auf (SD-Karte neu flashen mit aktueller Raspberry Pi OS-Version).
  4. Passwörter ändern und SSH absichern.

Read: Protecting Node-RED from itself "No Internet access to the Editor"