Existe alguma chance de que alguns desses processos sejam maliciosos?

Navegue suas respostas
3

Meu parceiro e eu, às vezes, somos paranóicos porque um governo estrangeiro geralmente associado à violação de segurança do Gmail do ano passado pode estar tentando obter acesso a nossos computadores.

Houve muitos processos estranhos sendo executados como root hoje à noite, embora eu não tenha aberto nenhum terminal raiz. Alguém pode, por favor, olhar para eles e dizer-me, sim ou não, eles são suspeitos e por que ou por que não? 

PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:01 ksoftirqd/0
    6 ?        00:00:00 migration/0
    7 ?        00:00:00 watchdog/0
   13 ?        00:00:00 cpuset
   14 ?        00:00:00 khelper
   15 ?        00:00:00 netns
   16 ?        00:00:00 sync_supers
   17 ?        00:00:00 bdi-default
   18 ?        00:00:00 kintegrityd
   19 ?        00:00:00 kblockd
   20 ?        00:00:00 kacpid
   21 ?        00:00:00 kacpi_notify
   22 ?        00:00:00 kacpi_hotplug
   23 ?        00:00:00 kseriod
   25 ?        00:00:00 kondemand
   26 ?        00:00:00 khungtaskd
   27 ?        00:00:03 kswapd0
   28 ?        00:00:00 ksmd
   29 ?        00:00:00 fsnotify_mark
   30 ?        00:00:00 aio
   31 ?        00:00:00 crypto
  163 ?        00:00:00 khubd
  164 ?        00:00:00 ata_sff
  165 ?        00:00:00 scsi_eh_0
  166 ?        00:00:00 scsi_eh_1
  199 ?        00:00:00 usbhid_resumer
  222 ?        00:00:00 kjournald
  271 ?        00:00:00 udevd
  442 ?        00:00:00 kpsmoused
  446 ?        00:00:36 net.agent
  450 ?        00:00:00 cfg80211
  471 ?        00:00:00 hd-audio0
  532 ?        00:00:36 net.agent
  751 ?        00:00:02 kjournald
  755 ?        00:00:00 kjournald
  756 ?        00:00:00 kjournald
  757 ?        00:00:01 kjournald
  801 ?        00:00:00 flush-8:0
 1035 ?        00:00:00 rsyslogd
 1089 ?        00:00:00 modem-manager
 1094 ?        00:00:01 polkitd
 1114 ?        00:00:02 wpa_supplicant
 1126 ?        00:00:00 gdm3
 1137 ?        00:00:00 gdm-simple-slav
 1141 tty7     00:20:11 Xorg
 1146 ?        00:00:07 acpid
 1169 ?        00:00:00 atd
 1195 ?        00:00:00 bluetoothd
 1209 ?        00:00:00 l2cap
 1212 ?        00:00:00 krfcommd
 1273 ?        00:00:00 cron
 1303 ?        00:00:00 cupsd
 1597 ?        00:00:07 kerneloops
 1627 ?        00:00:00 kconservative
 1631 ?        00:00:00 console-kit-dae
 1771 ?        00:00:00 sshd
 1800 tty1     00:00:00 getty
 1801 tty2     00:00:00 getty
 1802 tty3     00:00:00 getty
 1803 tty4     00:00:00 getty
 1804 tty5     00:00:00 getty
 1805 tty6     00:00:00 getty
 1852 ?        00:00:00 gdm-session-wor
 1857 ?        00:00:15 upowerd
 2017 ?        00:00:00 kauditd
 2172 ?        00:00:02 udisks-daemon
 2176 ?        00:00:00 udisks-daemon
 3038 ?        00:00:00 udevd
 3039 ?        00:00:00 udevd
 3251 ?        00:00:00 NetworkManager
 3440 ?        00:00:00 dhclient
 5322 ?        00:00:00 kworker/u:2
 6717 ?        00:00:00 sleep
 6720 ?        00:00:00 sleep
13386 ?        00:00:00 kworker/1:2
21237 ?        00:00:02 kworker/0:2
24297 ?        00:00:11 kworker/1:1
27326 ?        00:00:02 kworker/0:1
29045 ?        00:00:01 kworker/u:0
30132 ?        00:00:00 migration/1
30134 ?        00:00:00 ksoftirqd/1
30135 ?        00:00:00 watchdog/1
30238 ?        00:00:48 irq/19-0000:01:
31245 ?        00:00:00 kworker/u:1
    
por ixtmixilix 08.03.2011 / 23:49

3 respostas

7

Essa é uma lista longa, com certeza você não espera que nós a revisemos linha por linha? É normal ter muitos processos em execução como root: os sistemas unix geralmente têm um processo para executar cada trabalho, portanto muitos serviços do sistema obtêm seu próprio processo. Na verdade, alguns deles (por exemplo, todos os /0 ou / (o número identifica uma CPU) e a maioria dos que começam com k ) são threads do kernel.

Se você está preocupado com alguém que está controlando sua máquina, ps não é uma ferramenta útil. Qualquer rootkit decente contém código para ocultar qualquer processo malicioso das listagens de processos. Mesmo que o código malicioso não estivesse rodando como root e não pudesse alterar os relatórios do kernel, ele se disfarçaria como algo inócuo como sh .

¹ Sim, “decente” pode não ser a palavra certa aqui.

    
por 09.03.2011 / 00:07
4

A idéia de avaliar se um processo é malicioso com base em seu nome é uma ideia que está desatualizada há pelo menos ... bem, muito tempo;)

Operações com bandeiras falsas, alguém?

  1. um infectador poderia anexar / inserir código malicioso em qualquer binário
  2. um binário malicioso pode muito bem posar sob o mesmo nome de algo que você normalmente considera inofensivo e sua lista não dá nenhuma idéia sobre a localização dos binários no sistema de arquivos ou seus bits de arquivo. Por exemplo, um binário setuid possuído pela raiz correspondente a um desses processos deve pelo menos ser verificado ...
  3. um rootkit geralmente tenta se esconder, por isso nem apareceria na lista

E essa lista não é exaustiva. Além disso, um sistema que está executando código malicioso com direitos de superusuário não tem nenhum problema (técnico) para mentir para você.

No mínimo, uma análise offline seria necessária. Se você usar um gerenciador de pacotes, poderá comparar os binários nos locais esperados com os hashes dos pacotes (assinados). No geral, isso deve deixar apenas um pequeno subconjunto de binários reais para você inspecionar, além dos inúmeros scripts. Mas, mesmo para scripts, aqueles que chegam em pacotes terão um hash de acompanhamento, no qual você poderá verificar o binário.

    
por 09.03.2011 / 00:58
4

O único rootkit que já encontrei na natureza (no Solaris 8 há muito tempo atrás) executava um sniffer de senha, como um processo "lpsched". O problema é que ele executou dois deles (bug no rootkit) e os executou fora de um diretório que "man lpsched" disse que não era onde vivia o lpsched. Além disso, "ps" foi submetido a um trojan para não mostrar os processos estranhos extravagantes, mas o top mostrou-os.

Se você estiver realmente preocupado, veja todos os PIDs em / proc. Olhe para o que / proc / $ PID / exe links, para ver onde o executável realmente vive. Verifique novamente onde o executável deve viver. Tente "ls" em todos os diretórios que você encontrar para ver se "ls" mostra todos eles. "ls" não mostrando um diretório é uma indicação inegável de que algo está errado.

Se algum processo específico parecer suspeito, obtenha chkrootkit (http://www.chkrootkit.org/) e rootkit hunter (http://www.chkrootkit.org/) e tente-os para ver se encontram alguma coisa. Você tem que estar ciente de que alguns rootkits flutuam na natureza, mas nunca foram incorporados a esses caçadores de rootkit.

    
por 09.03.2011 / 01:15

Tags

O que é uma boa alternativa ao iTunes no Linux? Substring apenas a primeira coluna no awk