---SonOfOdin---
07.07.04, 22:50
Hallo, ich hoffe ich bin im ichtigen Forum gelandet.
ich habe ein Problem habe nach einem Routinelauf von BDC folgenden Virus in einer *.exe Datei entdeckt.
Trojan.Spy.Briss.H
Nun meine Frage, kann so ein Trojaner auch für Linux gefährlich werden?
habe komischerweise bei ps -aux als root folgendes ergebnis bekommen:
Password:
Donar:/home/puschi # ps -aux
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.8 0.0 620 72 ? S 20:11 0:04 init [5]
root 2 0.0 0.0 0 0 ? SW 20:11 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 20:11 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 20:11 0:00 [ksoftirqd_CPU0
root 5 0.1 0.0 0 0 ? SW 20:11 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 20:11 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 20:11 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 20:11 0:00 [kinoded]
root 9 0.0 0.0 0 0 ? SW 20:11 0:00 [mdrecoveryd]
root 12 0.0 0.0 0 0 ? SW 20:12 0:00 [kreiserfsd]
root 399 0.0 0.0 0 0 ? SW 20:12 0:00 [kcopyd]
root 757 0.0 0.6 2940 860 ? S 20:12 0:00 /usr/sbin/isdnl
root 975 0.0 0.0 0 0 ? SW 20:12 0:00 [eth0]
root 1050 0.0 0.4 2376 624 ? S 20:12 0:00 /usr/sbin/ipppd
root 1092 0.0 0.1 1560 180 ? S 20:12 0:00 /sbin/syslogd -
root 1095 0.0 0.2 2348 296 ? S 20:12 0:00 /sbin/klogd -c
root 1130 0.0 0.3 3768 464 ? S 20:12 0:00 /usr/sbin/smppp
root 1156 0.0 0.0 0 0 ? SW 20:12 0:00 [khubd]
root 1285 0.0 0.0 1716 4 ? S 20:12 0:00 /sbin/resmgrd
bin 1326 0.0 0.0 1524 4 ? S 20:12 0:00 /sbin/portmap
root 1479 0.0 0.3 4460 420 ? S 20:12 0:00 /usr/lib/samba/
root 1483 0.0 0.0 4916 4 ? S 20:12 0:00 /usr/sbin/sshd
lp 1638 0.0 0.3 5952 428 ? S 20:12 0:00 /usr/sbin/cupsd
wnn 2145 0.0 0.0 2000 40 ? S 20:12 0:00 /usr/sbin/canna
root 2190 0.0 0.1 4168 168 ? S 20:12 0:00 /usr/lib/postfi
postfix 2194 0.0 0.1 4204 140 ? S 20:12 0:00 pickup -l -t fi
postfix 2195 0.0 0.1 4224 176 ? S 20:12 0:00 qmgr -l -t fifo
root 2355 0.0 0.0 2708 4 ? S 20:13 0:00 /opt/kde3/bin/k
root 2400 0.0 0.1 1708 172 ? S 20:13 0:00 /usr/sbin/cron
root 2428 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2432 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2441 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2442 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2443 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2444 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2450 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2594 0.0 0.0 5720 4 ? S 20:13 0:00 /usr/lib/samba/
root 2720 0.9 3.3 81356 4276 ? SL 20:13 0:04 /usr/X11R6/bin/
root 2836 0.0 0.0 3188 4 ? S 20:13 0:00 -:0
root 3374 0.0 0.0 1504 4 ? S 20:13 0:00 /opt/win4lin/bi
root 3443 0.0 0.0 1500 4 tty1 S 20:13 0:00 /sbin/mingetty
root 3444 0.0 0.0 1500 4 tty2 S 20:13 0:00 /sbin/mingetty
root 3445 0.0 0.0 1500 4 tty3 S 20:13 0:00 /sbin/mingetty
root 3446 0.0 0.0 1500 4 tty4 S 20:13 0:00 /sbin/mingetty
root 3447 0.0 0.0 1500 4 tty5 S 20:13 0:00 /sbin/mingetty
root 3448 0.0 0.0 1500 4 tty6 S 20:13 0:00 /sbin/mingetty
puschi 3458 0.0 0.0 2764 4 ? S 20:13 0:00 /bin/sh /usr/X1
puschi 3510 0.0 0.0 27204 80 ? S 20:13 0:00 kdeinit: Runnin
puschi 3513 0.0 0.7 27112 908 ? S 20:13 0:00 kdeinit: dcopse
puschi 3516 0.0 1.1 29224 1408 ? S 20:13 0:00 kdeinit: klaunc
puschi 3519 0.0 1.1 31604 1468 ? S 20:13 0:00 kdeinit: kded
puschi 3534 0.0 0.4 10612 588 ? S 20:13 0:00 /opt/kde3/bin/a
puschi 3536 0.0 0.9 35744 1136 ? S 20:13 0:00 kdeinit: knotif
puschi 3537 0.0 0.0 1488 56 ? S 20:13 0:00 kwrapper ksmser
puschi 3539 0.0 0.4 29468 556 ? S 20:13 0:00 kdeinit: ksmser
puschi 3540 0.1 2.2 31924 2880 ? S 20:13 0:00 kdeinit: kwin -
puschi 3542 0.0 0.4 30604 524 ? S 20:13 0:00 kdeinit: kwrite
puschi 3544 0.3 7.5 33284 9532 ? S 20:13 0:01 kdeinit: kdeskt
puschi 3547 0.1 3.2 34276 4088 ? S 20:13 0:00 kdeinit: kicker
puschi 3553 0.0 1.2 31544 1592 ? S 20:13 0:00 kdeinit: klippe
puschi 3555 0.1 2.0 32880 2552 ? S 20:13 0:00 kamix
puschi 3558 0.1 4.8 31084 6168 ? S 20:13 0:00 kinternet -capt
puschi 3560 0.0 0.9 30364 1220 ? S 20:13 0:00 susewatcher -ca
puschi 3563 0.2 1.6 32560 2072 ? S 20:14 0:01 suseplugger -ca
puschi 3564 0.3 2.4 32536 3152 ? S 20:14 0:01 kdeinit: ksim -
puschi 3565 0.1 2.1 34172 2656 ? S 20:14 0:00 kdeinit: konsol
puschi 3566 0.1 3.0 34168 3808 ? R 20:14 0:00 kdeinit: konsol
puschi 3567 0.1 0.4 33616 592 ? S 20:14 0:00 kdeinit: konque
puschi 3570 0.0 0.7 29032 956 ? S 20:14 0:00 kalarmd --login
root 3573 0.0 0.6 2692 824 pts/3 S 20:14 0:00 su
puschi 3574 0.0 0.0 2908 0 pts/4 SW 20:14 0:00 /bin/bash
puschi 3585 0.0 1.0 27608 1348 ? S 20:14 0:00 kdeinit: kio_fi
root 3590 0.0 0.0 1708 4 ? S 20:15 0:00 /USR/SBIN/CRON
root 3591 0.0 0.0 2452 0 ? SW 20:15 0:00 /bin/sh -c tes
root 3592 0.0 0.3 2456 436 ? S 20:15 0:00 /bin/bash /usr/
root 3907 0.0 0.8 2452 1052 ? SN 20:19 0:00 /bin/sh /etc/cr
root 3915 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
root 3935 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
nobody 3936 0.0 0.7 2296 884 ? SN 20:19 0:00 su nobody -c /u
root 3937 0.0 4.7 9420 5984 ? SN 20:19 0:00 sort -f
root 3938 0.0 0.2 1484 324 ? SN 20:19 0:00 /usr/lib/find/f
nobody 3939 1.9 0.5 1568 728 ? DN 20:19 0:01 /usr/bin/find /
root 3940 0.0 0.0 0 0 ? Z 20:20 0:00 [cron] <defunct
root 4440 0.4 1.3 2908 1676 pts/3 S 20:20 0:00 bash
root 4447 0.0 0.5 2672 724 pts/3 R 20:20 0:00 ps -aux
Donar:/home/puschi # kill -9 3939
Donar:/home/puschi # kill -9 3936
man beachte den user nobody, der eigendlich nix auf de,m System verloren hat??
Ich habe die Prozesse erstmal beendet, aber könnte das ein aktiver Trojaner unter Linux sein??
Vielen Dank für eure Hilfe
ich habe ein Problem habe nach einem Routinelauf von BDC folgenden Virus in einer *.exe Datei entdeckt.
Trojan.Spy.Briss.H
Nun meine Frage, kann so ein Trojaner auch für Linux gefährlich werden?
habe komischerweise bei ps -aux als root folgendes ergebnis bekommen:
Password:
Donar:/home/puschi # ps -aux
Warning: bad syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.8 0.0 620 72 ? S 20:11 0:04 init [5]
root 2 0.0 0.0 0 0 ? SW 20:11 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 20:11 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 20:11 0:00 [ksoftirqd_CPU0
root 5 0.1 0.0 0 0 ? SW 20:11 0:00 [kswapd]
root 6 0.0 0.0 0 0 ? SW 20:11 0:00 [bdflush]
root 7 0.0 0.0 0 0 ? SW 20:11 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 20:11 0:00 [kinoded]
root 9 0.0 0.0 0 0 ? SW 20:11 0:00 [mdrecoveryd]
root 12 0.0 0.0 0 0 ? SW 20:12 0:00 [kreiserfsd]
root 399 0.0 0.0 0 0 ? SW 20:12 0:00 [kcopyd]
root 757 0.0 0.6 2940 860 ? S 20:12 0:00 /usr/sbin/isdnl
root 975 0.0 0.0 0 0 ? SW 20:12 0:00 [eth0]
root 1050 0.0 0.4 2376 624 ? S 20:12 0:00 /usr/sbin/ipppd
root 1092 0.0 0.1 1560 180 ? S 20:12 0:00 /sbin/syslogd -
root 1095 0.0 0.2 2348 296 ? S 20:12 0:00 /sbin/klogd -c
root 1130 0.0 0.3 3768 464 ? S 20:12 0:00 /usr/sbin/smppp
root 1156 0.0 0.0 0 0 ? SW 20:12 0:00 [khubd]
root 1285 0.0 0.0 1716 4 ? S 20:12 0:00 /sbin/resmgrd
bin 1326 0.0 0.0 1524 4 ? S 20:12 0:00 /sbin/portmap
root 1479 0.0 0.3 4460 420 ? S 20:12 0:00 /usr/lib/samba/
root 1483 0.0 0.0 4916 4 ? S 20:12 0:00 /usr/sbin/sshd
lp 1638 0.0 0.3 5952 428 ? S 20:12 0:00 /usr/sbin/cupsd
wnn 2145 0.0 0.0 2000 40 ? S 20:12 0:00 /usr/sbin/canna
root 2190 0.0 0.1 4168 168 ? S 20:12 0:00 /usr/lib/postfi
postfix 2194 0.0 0.1 4204 140 ? S 20:12 0:00 pickup -l -t fi
postfix 2195 0.0 0.1 4224 176 ? S 20:12 0:00 qmgr -l -t fifo
root 2355 0.0 0.0 2708 4 ? S 20:13 0:00 /opt/kde3/bin/k
root 2400 0.0 0.1 1708 172 ? S 20:13 0:00 /usr/sbin/cron
root 2428 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2432 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2441 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2442 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2443 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2444 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2450 0.0 0.2 12272 364 ? S 20:13 0:00 /usr/sbin/nscd
root 2594 0.0 0.0 5720 4 ? S 20:13 0:00 /usr/lib/samba/
root 2720 0.9 3.3 81356 4276 ? SL 20:13 0:04 /usr/X11R6/bin/
root 2836 0.0 0.0 3188 4 ? S 20:13 0:00 -:0
root 3374 0.0 0.0 1504 4 ? S 20:13 0:00 /opt/win4lin/bi
root 3443 0.0 0.0 1500 4 tty1 S 20:13 0:00 /sbin/mingetty
root 3444 0.0 0.0 1500 4 tty2 S 20:13 0:00 /sbin/mingetty
root 3445 0.0 0.0 1500 4 tty3 S 20:13 0:00 /sbin/mingetty
root 3446 0.0 0.0 1500 4 tty4 S 20:13 0:00 /sbin/mingetty
root 3447 0.0 0.0 1500 4 tty5 S 20:13 0:00 /sbin/mingetty
root 3448 0.0 0.0 1500 4 tty6 S 20:13 0:00 /sbin/mingetty
puschi 3458 0.0 0.0 2764 4 ? S 20:13 0:00 /bin/sh /usr/X1
puschi 3510 0.0 0.0 27204 80 ? S 20:13 0:00 kdeinit: Runnin
puschi 3513 0.0 0.7 27112 908 ? S 20:13 0:00 kdeinit: dcopse
puschi 3516 0.0 1.1 29224 1408 ? S 20:13 0:00 kdeinit: klaunc
puschi 3519 0.0 1.1 31604 1468 ? S 20:13 0:00 kdeinit: kded
puschi 3534 0.0 0.4 10612 588 ? S 20:13 0:00 /opt/kde3/bin/a
puschi 3536 0.0 0.9 35744 1136 ? S 20:13 0:00 kdeinit: knotif
puschi 3537 0.0 0.0 1488 56 ? S 20:13 0:00 kwrapper ksmser
puschi 3539 0.0 0.4 29468 556 ? S 20:13 0:00 kdeinit: ksmser
puschi 3540 0.1 2.2 31924 2880 ? S 20:13 0:00 kdeinit: kwin -
puschi 3542 0.0 0.4 30604 524 ? S 20:13 0:00 kdeinit: kwrite
puschi 3544 0.3 7.5 33284 9532 ? S 20:13 0:01 kdeinit: kdeskt
puschi 3547 0.1 3.2 34276 4088 ? S 20:13 0:00 kdeinit: kicker
puschi 3553 0.0 1.2 31544 1592 ? S 20:13 0:00 kdeinit: klippe
puschi 3555 0.1 2.0 32880 2552 ? S 20:13 0:00 kamix
puschi 3558 0.1 4.8 31084 6168 ? S 20:13 0:00 kinternet -capt
puschi 3560 0.0 0.9 30364 1220 ? S 20:13 0:00 susewatcher -ca
puschi 3563 0.2 1.6 32560 2072 ? S 20:14 0:01 suseplugger -ca
puschi 3564 0.3 2.4 32536 3152 ? S 20:14 0:01 kdeinit: ksim -
puschi 3565 0.1 2.1 34172 2656 ? S 20:14 0:00 kdeinit: konsol
puschi 3566 0.1 3.0 34168 3808 ? R 20:14 0:00 kdeinit: konsol
puschi 3567 0.1 0.4 33616 592 ? S 20:14 0:00 kdeinit: konque
puschi 3570 0.0 0.7 29032 956 ? S 20:14 0:00 kalarmd --login
root 3573 0.0 0.6 2692 824 pts/3 S 20:14 0:00 su
puschi 3574 0.0 0.0 2908 0 pts/4 SW 20:14 0:00 /bin/bash
puschi 3585 0.0 1.0 27608 1348 ? S 20:14 0:00 kdeinit: kio_fi
root 3590 0.0 0.0 1708 4 ? S 20:15 0:00 /USR/SBIN/CRON
root 3591 0.0 0.0 2452 0 ? SW 20:15 0:00 /bin/sh -c tes
root 3592 0.0 0.3 2456 436 ? S 20:15 0:00 /bin/bash /usr/
root 3907 0.0 0.8 2452 1052 ? SN 20:19 0:00 /bin/sh /etc/cr
root 3915 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
root 3935 0.0 0.8 2452 1048 ? SN 20:19 0:00 /bin/sh /usr/bi
nobody 3936 0.0 0.7 2296 884 ? SN 20:19 0:00 su nobody -c /u
root 3937 0.0 4.7 9420 5984 ? SN 20:19 0:00 sort -f
root 3938 0.0 0.2 1484 324 ? SN 20:19 0:00 /usr/lib/find/f
nobody 3939 1.9 0.5 1568 728 ? DN 20:19 0:01 /usr/bin/find /
root 3940 0.0 0.0 0 0 ? Z 20:20 0:00 [cron] <defunct
root 4440 0.4 1.3 2908 1676 pts/3 S 20:20 0:00 bash
root 4447 0.0 0.5 2672 724 pts/3 R 20:20 0:00 ps -aux
Donar:/home/puschi # kill -9 3939
Donar:/home/puschi # kill -9 3936
man beachte den user nobody, der eigendlich nix auf de,m System verloren hat??
Ich habe die Prozesse erstmal beendet, aber könnte das ein aktiver Trojaner unter Linux sein??
Vielen Dank für eure Hilfe