fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Biztonság » Linux rootkit lenne?

Linux rootkit lenne?

Figyelt kérdés

Debian alapú disztro.


A process listában állandóan megjelenik - ha név szerint sorba rendezem,- felül egy, kettő és néha három! NÉV NÉLKÜLI process, ami folyamatosan változtatja a PID-t.

Emelkedik 30000 fölé is, aztán újrakezdődik a számozás. Látszólag véletlenszerűen ugrik a PID, a process listben pár másodpercre jelennek meg, néha három is és tűnik el rögtön. Aztán megint megjelenik, és ez így megy tovább.

Nem lehet elcsípni PID alapján, hiszen azonnal kilövi magát gondolom és újabb PID alatt működik.


rkhunter nem talált semmit.


Hogyan lehetne kivizsgálni, hogy ez vajon rootkit-e vagy micsoda, és hogyan lehetne kiirtani.


Ha vírus, akkor valami komolyabb, mert nem sokat találtam erről a neten, csak egy angol nyelvű fórumon, hogy hasonlóval találkozott valaki de az 3-4 éve volt.



#vírus #linux #Kali #Debian
2015. jan. 31. 13:48
1 2 3
 1/24 anonim ***** válasza:

rootkit lesz az, láttam már hasonlót.

Valószínű a /etc/init.d/ -ben van egy (vagy több) hülye nevű file-od, és az indítgatja el bootnál. Ezt gyomláld ki, hogy a köv. rebootnál ne induljon el. Belenézve a shellscriptbe pedig megláthatod, hogy hol rejtőzik valójában ez a proggi.

2015. jan. 31. 18:37
Hasznos számodra ez a válasz?
 2/24 A kérdező kommentje:
csekkolom,köszi
2015. jan. 31. 18:42
 3/24 A kérdező kommentje:

nem látok benne semmi furcsát.


depend.boot

start

stop de gondolom ezek normálisak.


valami más ötlet?

2015. jan. 31. 19:46
 4/24 A kérdező kommentje:

[link]


Pontosan erről van szó, de nem derül ki hogy bug vagy rootkit


ugyanezt írják le róla mint amit én tapasztaltam, csak nálam nincs fent a playonlinux

2015. febr. 1. 04:18
 5/24 kovpet ***** válasza:

Ha eltűnik és újra megjelenik, akkor valami elindítja. Vagy a szülő processzt kellene megkeresni vagy megnézni a cronjobokat, hogy mi indítja el folyton.

Mellé strace meg lsof.

2015. febr. 1. 10:29
Hasznos számodra ez a válasz?
 6/24 A kérdező kommentje:

[link]


így néz ki a gnome system monitorban


ez pedig a top parancs a bash-ben


[link]


rkhunter - semmi

chkrootkit - semmi

unhide.rb - no hidden process found - semmi


Ötlet?


Hogy tudom a szülő processt kiszűrni?

2015. febr. 2. 16:41
 7/24 kovpet ***** válasza:
A "ps afuwx" kimenete kellene. A vonatkozó rész.
2015. febr. 2. 18:15
Hasznos számodra ez a válasz?
 8/24 A kérdező kommentje:

t47YXL3y



nem engedi a pésztbin kom-ot


a felső kód a fájlom a ps kimenet

2015. febr. 2. 18:34
 9/24 A kérdező kommentje:

[link]



link vége a hash az előző hsz-ben

2015. febr. 2. 19:28
 10/24 kovpet ***** válasza:

root 632 0.0 0.0 2196 672 ? S 16:24 0:03 /bin/sh -e /lib/udev/net.agent

root 8993 0.0 0.0 1868 252 ? S 18:22 0:00 \_ sleep 1



Ez a kérdéses processz? A 8993?

2015. febr. 2. 19:31
Hasznos számodra ez a válasz?
1 2 3

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Biztonság kategória kérdései »



Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!