私と私の恋人は、昨年のGmailセキュリティ違反に関連する外国政府が私たちのコンピュータにアクセスしようとするかもしれないという妄想に陥りました。
ルートターミナルを開かなかったにもかかわらず、今夜はルートとして実行される奇妙なプロセスがたくさんありました。誰かがこれを見て疑わしいのか、そしてその理由と理由が何であるか、はいまたはいいえと言うことができますか?
PID TTY TIME CMD
1 ? 00:00:01 init
2 ? 00:00:00 kthreadd
3 ? 00:00:01 ksoftirqd/0
6 ? 00:00:00 migration/0
7 ? 00:00:00 watchdog/0
13 ? 00:00:00 cpuset
14 ? 00:00:00 khelper
15 ? 00:00:00 netns
16 ? 00:00:00 sync_supers
17 ? 00:00:00 bdi-default
18 ? 00:00:00 kintegrityd
19 ? 00:00:00 kblockd
20 ? 00:00:00 kacpid
21 ? 00:00:00 kacpi_notify
22 ? 00:00:00 kacpi_hotplug
23 ? 00:00:00 kseriod
25 ? 00:00:00 kondemand
26 ? 00:00:00 khungtaskd
27 ? 00:00:03 kswapd0
28 ? 00:00:00 ksmd
29 ? 00:00:00 fsnotify_mark
30 ? 00:00:00 aio
31 ? 00:00:00 crypto
163 ? 00:00:00 khubd
164 ? 00:00:00 ata_sff
165 ? 00:00:00 scsi_eh_0
166 ? 00:00:00 scsi_eh_1
199 ? 00:00:00 usbhid_resumer
222 ? 00:00:00 kjournald
271 ? 00:00:00 udevd
442 ? 00:00:00 kpsmoused
446 ? 00:00:36 net.agent
450 ? 00:00:00 cfg80211
471 ? 00:00:00 hd-audio0
532 ? 00:00:36 net.agent
751 ? 00:00:02 kjournald
755 ? 00:00:00 kjournald
756 ? 00:00:00 kjournald
757 ? 00:00:01 kjournald
801 ? 00:00:00 flush-8:0
1035 ? 00:00:00 rsyslogd
1089 ? 00:00:00 modem-manager
1094 ? 00:00:01 polkitd
1114 ? 00:00:02 wpa_supplicant
1126 ? 00:00:00 gdm3
1137 ? 00:00:00 gdm-simple-slav
1141 tty7 00:20:11 Xorg
1146 ? 00:00:07 acpid
1169 ? 00:00:00 atd
1195 ? 00:00:00 bluetoothd
1209 ? 00:00:00 l2cap
1212 ? 00:00:00 krfcommd
1273 ? 00:00:00 cron
1303 ? 00:00:00 cupsd
1597 ? 00:00:07 kerneloops
1627 ? 00:00:00 kconservative
1631 ? 00:00:00 console-kit-dae
1771 ? 00:00:00 sshd
1800 tty1 00:00:00 getty
1801 tty2 00:00:00 getty
1802 tty3 00:00:00 getty
1803 tty4 00:00:00 getty
1804 tty5 00:00:00 getty
1805 tty6 00:00:00 getty
1852 ? 00:00:00 gdm-session-wor
1857 ? 00:00:15 upowerd
2017 ? 00:00:00 kauditd
2172 ? 00:00:02 udisks-daemon
2176 ? 00:00:00 udisks-daemon
3038 ? 00:00:00 udevd
3039 ? 00:00:00 udevd
3251 ? 00:00:00 NetworkManager
3440 ? 00:00:00 dhclient
5322 ? 00:00:00 kworker/u:2
6717 ? 00:00:00 sleep
6720 ? 00:00:00 sleep
13386 ? 00:00:00 kworker/1:2
21237 ? 00:00:02 kworker/0:2
24297 ? 00:00:11 kworker/1:1
27326 ? 00:00:02 kworker/0:1
29045 ? 00:00:01 kworker/u:0
30132 ? 00:00:00 migration/1
30134 ? 00:00:00 ksoftirqd/1
30135 ? 00:00:00 watchdog/1
30238 ? 00:00:48 irq/19-0000:01:
31245 ? 00:00:00 kworker/u:1
答え1
リストが長すぎるので、1行ずつ見直したくありませんか?多くのプロセスがrootとして実行されるのは一般的です。 Unixシステムは通常、すべてのタスクに対して1つのプロセスを持つため、多くのシステムサービスには独自のプロセスがあります。実際、それらの一部(たとえば、all/0
または/
(CPUを識別する数字)とほとんどはで始まるk
)はカーネルスレッドです。
誰かがあなたのコンピュータを制御することを心配している場合、ps
これは便利なツールではありません。未熟なルートキットには、プロセスリストから悪意のあるプロセスを隠すコードが含まれています。マルウェアがrootとして実行されていないため、カーネルレポートを変更できなくても無害なものになりますsh
。
はい、ここでは「大丈夫」という言葉が適切ではないかもしれません。
答え2
名前に基づいてプロセスが悪性であるかどうかを評価するアイデアは少なくとも古いです...まあ、長い間;)
偽の旗作戦、誰?
- 感染者はバイナリにマルウェアを追加/挿入する可能性が高いです。
- 悪意のあるバイナリは通常、無害だと思うのと同じ名前を持つ可能性が高く、リストには次のものがあります。全く知らないファイルシステムまたはそのファイルビットのバイナリ位置に関する情報。たとえば、少なくとも次のいずれかのプロセスに対応するルート所有のsetuidバイナリがあることを確認する必要があります。
- ルートキットは通常、リストに表示されないように非表示にします。
このリストは完全なものではありません。さらに、スーパーユーザー権限でマルウェアを実行するシステムには(技術的)問題はありません。嘘をつくあなたのため。
少なくともオフライン分析が必要です。パッケージマネージャを使用している場合は、予想される場所のバイナリを(署名付き)パッケージのハッシュと比較できます。全体的に、多数のスクリプトに加えて、チェックできる実際のバイナリの小さなセットだけを残す必要があります。ただし、スクリプトの場合でも、パッケージ内のスクリプトにはバイナリを確認できるハッシュが付属しています。
答え3
私が野生で出会った唯一のルートキット(旧Solaris 8では)は、「lpsched」プロセスでパスワードスニファーを実行しました。問題は、そのうちの2つ(ルートキットのバグ)を実行し、「man lpsched」がlpschedのないディレクトリで実行されることです。また、「ps」はトロイの木馬によって制御され、追加の奇妙なlpschedプロセスを表示しませんが、topはそれを表示します。
本当に心配な場合は、/procのすべてのPIDを見てください。実行可能ファイルが実際にどこにあるかを確認するには、/proc/$PID/exe リンクを見てください。実行可能ファイルの場所を確認してください。しなければならない生きる。この方法で見つかったすべてのディレクトリに対して「ls」を試し、「ls」がそのディレクトリをすべて表示していることを確認してください。 "ls"がディレクトリを表示しないことは、何かが間違っているという明白なヒントです。
特定のプロセスが疑わしい場合は、chkrootkit(http://www.chkrootkit.org/)とrootkit Hunter(http://www.chkrootkit.org/)をダウンロードして何かが見つかったかどうかを確認してください。ルートキットハンターの中には、決して含まれていないルートキットが世界に流れていることに気づくべきです。