これらのプロセスのいくつかが悪意のある可能性がありますか?

これらのプロセスのいくつかが悪意のある可能性がありますか?

私と私の恋人は、昨年のGmailセキュリティ違反に関連する外国政府が私たちのコンピュータにアクセスしようとするかもしれないという妄想に陥りました。

ルートターミナルを開かなかったにもかかわらず、今夜はルートとして実行される奇妙なプロセスがたくさんありました。誰かがこれを見て疑わしいのか、そしてその理由と理由が何であるか、はいまたはいいえと言うことができますか?

PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:01 ksoftirqd/0
    6 ?        00:00:00 migration/0
    7 ?        00:00:00 watchdog/0
   13 ?        00:00:00 cpuset
   14 ?        00:00:00 khelper
   15 ?        00:00:00 netns
   16 ?        00:00:00 sync_supers
   17 ?        00:00:00 bdi-default
   18 ?        00:00:00 kintegrityd
   19 ?        00:00:00 kblockd
   20 ?        00:00:00 kacpid
   21 ?        00:00:00 kacpi_notify
   22 ?        00:00:00 kacpi_hotplug
   23 ?        00:00:00 kseriod
   25 ?        00:00:00 kondemand
   26 ?        00:00:00 khungtaskd
   27 ?        00:00:03 kswapd0
   28 ?        00:00:00 ksmd
   29 ?        00:00:00 fsnotify_mark
   30 ?        00:00:00 aio
   31 ?        00:00:00 crypto
  163 ?        00:00:00 khubd
  164 ?        00:00:00 ata_sff
  165 ?        00:00:00 scsi_eh_0
  166 ?        00:00:00 scsi_eh_1
  199 ?        00:00:00 usbhid_resumer
  222 ?        00:00:00 kjournald
  271 ?        00:00:00 udevd
  442 ?        00:00:00 kpsmoused
  446 ?        00:00:36 net.agent
  450 ?        00:00:00 cfg80211
  471 ?        00:00:00 hd-audio0
  532 ?        00:00:36 net.agent
  751 ?        00:00:02 kjournald
  755 ?        00:00:00 kjournald
  756 ?        00:00:00 kjournald
  757 ?        00:00:01 kjournald
  801 ?        00:00:00 flush-8:0
 1035 ?        00:00:00 rsyslogd
 1089 ?        00:00:00 modem-manager
 1094 ?        00:00:01 polkitd
 1114 ?        00:00:02 wpa_supplicant
 1126 ?        00:00:00 gdm3
 1137 ?        00:00:00 gdm-simple-slav
 1141 tty7     00:20:11 Xorg
 1146 ?        00:00:07 acpid
 1169 ?        00:00:00 atd
 1195 ?        00:00:00 bluetoothd
 1209 ?        00:00:00 l2cap
 1212 ?        00:00:00 krfcommd
 1273 ?        00:00:00 cron
 1303 ?        00:00:00 cupsd
 1597 ?        00:00:07 kerneloops
 1627 ?        00:00:00 kconservative
 1631 ?        00:00:00 console-kit-dae
 1771 ?        00:00:00 sshd
 1800 tty1     00:00:00 getty
 1801 tty2     00:00:00 getty
 1802 tty3     00:00:00 getty
 1803 tty4     00:00:00 getty
 1804 tty5     00:00:00 getty
 1805 tty6     00:00:00 getty
 1852 ?        00:00:00 gdm-session-wor
 1857 ?        00:00:15 upowerd
 2017 ?        00:00:00 kauditd
 2172 ?        00:00:02 udisks-daemon
 2176 ?        00:00:00 udisks-daemon
 3038 ?        00:00:00 udevd
 3039 ?        00:00:00 udevd
 3251 ?        00:00:00 NetworkManager
 3440 ?        00:00:00 dhclient
 5322 ?        00:00:00 kworker/u:2
 6717 ?        00:00:00 sleep
 6720 ?        00:00:00 sleep
13386 ?        00:00:00 kworker/1:2
21237 ?        00:00:02 kworker/0:2
24297 ?        00:00:11 kworker/1:1
27326 ?        00:00:02 kworker/0:1
29045 ?        00:00:01 kworker/u:0
30132 ?        00:00:00 migration/1
30134 ?        00:00:00 ksoftirqd/1
30135 ?        00:00:00 watchdog/1
30238 ?        00:00:48 irq/19-0000:01:
31245 ?        00:00:00 kworker/u:1

答え1

リストが長すぎるので、1行ずつ見直したくありませんか?多くのプロセスがrootとして実行されるのは一般的です。 Unixシステムは通常、すべてのタスクに対して1つのプロセスを持つため、多くのシステムサービスには独自のプロセスがあります。実際、それらの一部(たとえば、all/0または/(CPUを識別する数字)とほとんどはで始まるk)はカーネルスレッドです。

誰かがあなたのコンピュータを制御することを心配している場合、psこれは便利なツールではありません。未熟なルートキットには、プロセスリストから悪意のあるプロセスを隠すコードが含まれています。マルウェアがrootとして実行されていないため、カーネルレポートを変更できなくても無害なものになりますsh

はい、ここでは「大丈夫」という言葉が適切ではないかもしれません。

答え2

名前に基づいてプロセスが悪性であるかどうかを評価するアイデアは少なくとも古いです...まあ、長い間;)

偽の旗作戦、誰?

  1. 感染者はバイナリにマルウェアを追加/挿入する可能性が高いです。
  2. 悪意のあるバイナリは通常、無害だと思うのと同じ名前を持つ可能性が高く、リストには次のものがあります。全く知らないファイルシステムまたはそのファイルビットのバイナリ位置に関する情報。たとえば、少なくとも次のいずれかのプロセスに対応するルート所有のsetuidバイナリがあることを確認する必要があります。
  3. ルートキットは通常、リストに表示されないように非表示にします。

このリストは完全なものではありません。さらに、スーパーユーザー権限でマルウェアを実行するシステムには(技術的)問題はありません。嘘をつくあなたのため。

少なくともオフライン分析が必要です。パッケージマネージャを使用している場合は、予想される場所のバイナリを(署名付き)パッケージのハッシュと比較できます。全体的に、多数のスクリプトに加えて、チェックできる実際のバイナリの小さなセットだけを残す必要があります。ただし、スクリプトの場合でも、パッケージ内のスクリプトにはバイナリを確認できるハッシュが付属しています。

答え3

私が野生で出会った唯一のルートキット(旧Solaris 8では)は、「lpsched」プロセスでパスワードスニファーを実行しました。問題は、そのうちの2つ(ルートキットのバグ)を実行し、「man lpsched」がlpschedのないディレクトリで実行されることです。また、「ps」はトロイの木馬によって制御され、追加の奇妙なlpschedプロセスを表示しませんが、topはそれを表示します。

本当に心配な場合は、/procのすべてのPIDを見てください。実行可能ファイルが実際にどこにあるかを確認するには、/proc/$PID/exe リンクを見てください。実行可能ファイルの場所を確認してください。しなければならない生きる。この方法で見つかったすべてのディレクトリに対して「ls」を試し、「ls」がそのディレクトリをすべて表示していることを確認してください。 "ls"がディレクトリを表示しないことは、何かが間違っているという明白なヒントです。

特定のプロセスが疑わしい場合は、chkrootkit(http://www.chkrootkit.org/)とrootkit Hunter(http://www.chkrootkit.org/)をダウンロードして何かが見つかったかどうかを確認してください。ルートキットハンターの中には、決して含まれていないルートキットが世界に流れていることに気づくべきです。

関連情報