Linux rootkit lenne?
Debian alapú disztro.
A process listában állandóan megjelenik - ha név szerint sorba rendezem,- felül egy, kettő és néha három! NÉV NÉLKÜLI process, ami folyamatosan változtatja a PID-t.
Emelkedik 30000 fölé is, aztán újrakezdődik a számozás. Látszólag véletlenszerűen ugrik a PID, a process listben pár másodpercre jelennek meg, néha három is és tűnik el rögtön. Aztán megint megjelenik, és ez így megy tovább.
Nem lehet elcsípni PID alapján, hiszen azonnal kilövi magát gondolom és újabb PID alatt működik.
rkhunter nem talált semmit.
Hogyan lehetne kivizsgálni, hogy ez vajon rootkit-e vagy micsoda, és hogyan lehetne kiirtani.
Ha vírus, akkor valami komolyabb, mert nem sokat találtam erről a neten, csak egy angol nyelvű fórumon, hogy hasonlóval találkozott valaki de az 3-4 éve volt.
válasza:Backupot készítesz. Reinstall, majd a csomagokat visszateszed (dpkg --get-selectios és dpkg --set-selections), a configokat visszateszed és kész.
Azért ha nem csináltál még ilyet, akkor a backupot nagyon ellenőrizd le, mert nem lenne jó, ha elveszne minden. A fontos anyagokat két helyre is, más-más módon mentsd le (pl rsync meg tarball).
Nem tudom, hogy mennyire fontos szerver ez (vagy desktop?), de ha nem nagyon, akkor szerintem nem feltétlenül kell újrainstallálni. Ezek nem nagyon gyanús dolgok, kivéve mondjuk a john, ha nem te tetted fel.
De igaz, én nem használok ilyen automatikus marhaságokat, nem tudom, hogy mennyire rendellenes ez a viselkedés.
válasza:"és a sleep processek is eltűntek.. "
Akkor ezek szerint a wlan2 interfész beállítása volt a ludas?
"na jó nem megy a tor... csak most hibaüzenet nélkül elindult"
A tor konfigurációs állományában (/etc/tor/torrc) állítsd be a részletes naplózást
Log debug file /var/log/tor/debug.log
vagy
Log debug syslog
Így kiderítheted, hogy történik-e valami hiba.
A
netstat -tulpane
parancs rendszergazdaként való futtatásával ellenőrizheted, hogy figyel-e a tor a megadott porton.
Ezt a "valami nem működik megfelelően (bár nem okoz látványos gondot), akkor telepítsük újra az egész rendszert"-mentalitást hanyagold. Windowshoz szokott felhasználói magatartás.
megy a tor is....
furcsa hogy az /etc/network/interfaces miatt lett volna ez.
érdekes, mert újraindítás után lett csak jó.
néztem a top parancs sem írja ki azt a 4 processt ami állandóan emelkedett a PID-jük.
Lehet akkor csak én kiabáltam farkast... és valami kis bug volt.
Azt hittem a wicd megoldja az IP beállításokat, akkor ezek szereint az interfaces kavart.
Amúgy sokszor nem volt net dns feloldás, és nekem kellett manuálisan resolv.conf-ba betenni a google public dns-t, de mindig valami felülírta, hol nem volt net, hol visszajött ha újraírtam a resolv-ot.
Mindenesetre köszönöm az időtöket, hogy ráfordítottátok, és sima desktop, nem szerver szerencsére.
Most meglátom mennyire rendetlenkedik.
Köszi még egyszer!
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!