Como visualizar o processo oculto do Linux e remover o rootkit

1

Eu instalei o OSSEC e está dizendo isso

Process '2517' hidden from /proc. Possible kernel level rootkit.
Excessive number of hidden processes. It maybe a false-positive or something really bad is going on.

É o meu servidor live e eu hospedo cerca de 20 sites.

Como posso remover isso? e qual dano máximo ele pode fazer

    
por radius 07.10.2010 / 08:26

3 respostas

1

Você vê esse processo oculto toda vez que executa o OSSEC? Se você vê-lo apenas uma vez, pode ser que tenha havido um atraso entre quando o OSSEC obteve a informação de ps (digamos) e depois checou contra / proc. Enquanto isso, o processo pode ter terminado, levantando o alerta que você acabou de ver.

    
por 07.10.2010 / 23:41
1

Provavelmente seria bom instalar e executar o rkhunter . Se isso confirmar que você foi comprometido, sua única ação realista é fazer uma cópia do servidor comprometido para análise posterior, reinstalar do zero e recuperar usando backups válidos conhecidos.

    
por 07.10.2010 / 23:54
0

Pode ser que o OSSEC esteja usando o utilitário unhide para verificar processos ocultos. Essa ferramenta às vezes gera falsos positivos.

Você pode verificar a si mesmo executando unhide proc ou unhide-linux26 proc para um sistema de 64 bits.

    
por 07.10.2010 / 08:32

Tags