fejléc
Gyakori kérdések Belépés Új kérdés Véletlen kérdés
Keresés
Kezdőoldal » Számítástechnika » Biztonság » Linux rootkit lenne?

Linux rootkit lenne?

Figyelt kérdés

Debian alapú disztro.


A process listában állandóan megjelenik - ha név szerint sorba rendezem,- felül egy, kettő és néha három! NÉV NÉLKÜLI process, ami folyamatosan változtatja a PID-t.

Emelkedik 30000 fölé is, aztán újrakezdődik a számozás. Látszólag véletlenszerűen ugrik a PID, a process listben pár másodpercre jelennek meg, néha három is és tűnik el rögtön. Aztán megint megjelenik, és ez így megy tovább.

Nem lehet elcsípni PID alapján, hiszen azonnal kilövi magát gondolom és újabb PID alatt működik.


rkhunter nem talált semmit.


Hogyan lehetne kivizsgálni, hogy ez vajon rootkit-e vagy micsoda, és hogyan lehetne kiirtani.


Ha vírus, akkor valami komolyabb, mert nem sokat találtam erről a neten, csak egy angol nyelvű fórumon, hogy hasonlóval találkozott valaki de az 3-4 éve volt.



#vírus #linux #Kali #Debian
2015. jan. 31. 13:48
1 2 3
 11/24 anonim ***** válasza:

rkhunter + chkrootkit évek óta nincs update-elve. Szóval kb. olyan hatékony, mint egy 5 éves viruskereső.


/etc/init.d/ -ben nézd meg, melyik file-nak van a legújabb dátuma, azaz módosítás ideje. Ezzel néha nem tökölnek a rootkitek, és a legfrissebb lesz a bűnös.

Ugyanez a technika a /etc/cron.d -ben


ha meg megvan a pid-je, és gyors vagy, akkor "ls -la /proc/<pidje>/exe a file helye, ami fut.

2015. febr. 2. 19:32
Hasznos számodra ez a válasz?
 12/24 A kérdező kommentje:

Lehetetlen olyan gyorsnak lenni, mert 1 másodperc alatt kb. 30-at ugrik a PID-je, tehát lehet, 30-szor indítja magát, képtelenség olyan gyorsan gépelni.


megnézem amiket mondtatok, a dátumokat, de init.d-ben szerintem nincs semmi, de csekkolom újra. Cron jobokat is.


Az agent.net nem tudom mi... Lehet az a bűnös.


Létrehoztam egy sima user-t.


Adtam neki bejelentkezéskor jelszót, az ő process listjében nem voltak név nélküli processek. Viszont újraindításkor próbáltam bejelentkezni és nem volt jó a jelszó. Tuti nem írtam el. Rootként beengedett, visszaállítottam a user jelszavát. Ez is érdekes...


Na majd később tovább boncolom, mert nem a linuxot használom. Köszi addig is az ötleteket!

2015. febr. 2. 21:31
 13/24 A kérdező kommentje:

a "dbus" fájl volt hozzáférve, módosítva meg most nem emlékszem, de mintha régen, a tartalmát feltettem paste-re HXDdb0Gq


a másik pedig az openvas-hoz köthető greenbone-security-assistant

annak a tartalma pedig szinten paste-n 3eHZJDrb


a cron.d meg nem néztem még meg...

2015. febr. 3. 22:10
 14/24 anonim ***** válasza:

/lib/udev/net.agent - Google:

[link]

első találat magas CPU használatra való panasz:

[link]

a legjobb javaslat: ellenőrizzük, hogy van-e loopback interfészünk - ha nem lenne, aktiváljuk:

[link]


Tehát nem csak rootkit lehet, hanem valamilyen hálózati interfész beállítási/működési gond is.

2015. febr. 3. 22:26
Hasznos számodra ez a válasz?
 15/24 A kérdező kommentje:

Azt olvastam, az elsőt, a megoldását még nem, köszi ellenőrzöm.

Nem rég óta meghalt a torbrowserem is, azért is furcsállom a dolgot, egyszerűen képtelenség elindítani. Másik user alól sem megy.

2015. febr. 3. 22:43
 16/24 A kérdező kommentje:

/etc/cron.d

dirvish - modified 2012 máj 14 - Accessed - 2015 feb 3

anacron

john

php5


ez a négy fájl

2015. febr. 3. 23:21
 17/24 A kérdező kommentje:

ja és a network interfaceben alapból benne volt a loopback


auto lo

iface lo inet loopback

2015. febr. 3. 23:23
 18/24 anonim ***** válasza:

A dirvish egy hálózati biztonsági mentést végző rendszer.


Az anacron Unix/Linux rendszereken jelen levő időzítő szolgáltatás.


A php5 a munkamenet-állományok kitakarításáért felelős.


A john - na az érdekes. Mit tartalmaz?


"ja és a network interfaceben alapból benne volt a loopback "

Milyen interfészek vannak még benne?

2015. febr. 4. 01:33
Hasznos számodra ez a válasz?
 19/24 kovpet ***** válasza:

Debuggolhatunk itt napestig, de egy a lényeg úgyis: ha kétségeid vannak, reinstall. Linux esetén ez nem nagy cucc azért. dpkg --get-selections meg a konfigok megvannak. 1 óra az egész és akkor tuti tiéd a gép.

Backup legyen azért :)

2015. febr. 4. 08:48
Hasznos számodra ez a válasz?
 20/24 A kérdező kommentje:

t7Npjthq


ez a john paste binen 2 sor van benne


a network interface-ben a wlan2 volt még, ezt használom


#auto wlan2 - ez ki volt kommentelve

address 192.168.0.1

netmask 255.255.255.0

gateway 192.168.0.1

dns-nameservers 8.8.8.8



amúgy a wicd van használva


most megcseréltem, és az auto wlan2 -mellől kiszedtem a #-t


és a többit kommenteltem ki, de ez most mindegy is.


#################### reinstall #################

Sok minden van a root mappában stb. a configok amiket módosítottam, stb. stb.

Újra tudom telepíteni a nélkül, hogy elveszíteném a fájljaimat?


################ #############################



most meg megy a tor, és a sleep processek is eltűntek..


Több mint furcsa...

2015. febr. 4. 16:37
1 2 3

Kapcsolódó kérdések:

Számítástechnika főkategória kérdései »
Számítástechnika - Biztonság kategória kérdései »



Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu

A weboldalon megjelenő anyagok nem minősülnek szerkesztői tartalomnak, előzetes ellenőrzésen nem esnek át, az üzemeltető véleményét nem tükrözik.
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!