hi,


mir ist heute aufgefallen das ich im taskmanager (gnome-system-monitor) prozesse ohne namen habe, die alle anscheinend dem benutz root gehören. ist das normal? gibt es eine möglichkeit rauszubekommen was das für prozesse sind? chkrootkit meldet mir nix besonderes.:confused:
ich hab mal einen screenshot von gnome-system-monitor angehängt, da ist auch zu sehen das die prozesse eigentlich keinen speicher belegen. mir kommt das alles doch sehr suspekt vor.

hier auch mal die ausgabe von chkrootkit v0.44:


e=mc² chkrootkit
ROOTDIR is `/'
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
Checking `hdparm'... not infected
Checking `su'... not infected
Checking `ifconfig'... not infected
Checking `inetd'... not tested
Checking `inetdconf'... not found
Checking `identd'... not found
Checking `init'... not infected
Checking `killall'... not infected
Checking `ldsopreload'... not infected
Checking `login'... not infected
Checking `ls'... not infected
Checking `lsof'... not infected
Checking `mail'... not found
Checking `mingetty'... not infected
Checking `netstat'... not infected
Checking `named'... not found
Checking `passwd'... not infected
Checking `pidof'... not infected
Checking `pop2'... not found
Checking `pop3'... not found
Checking `ps'... not infected
Checking `pstree'... not infected
Checking `rpcinfo'... not infected
Checking `rlogind'... not found
Checking `rshd'... not found
Checking `slogin'... not infected
Checking `sendmail'... not infected
Checking `sshd'... not infected
Checking `syslogd'... not tested
Checking `tar'... not infected
Checking `tcpd'... not infected
Checking `tcpdump'... not infected
Checking `top'... not infected
Checking `telnetd'... not infected
Checking `timed'... not found
Checking `traceroute'... not found
Checking `vdir'... not infected
Checking `w'... not infected
Checking `write'... not infected
Checking `aliens'... no suspect files
Searching for sniffer's logs, it may take a while... nothing found
Searching for HiDrootkit's default dir... nothing found
Searching for t0rn's default files and dirs... nothing found
Searching for t0rn's v8 defaults... nothing found
Searching for Lion Worm default files and dirs... nothing found
Searching for RSHA's default files and dir... nothing found
Searching for RH-Sharpe's default files... nothing found
Searching for Ambient's rootkit (ark) default files and dirs... nothing found
Searching for suspicious files and dirs, it may take a while...
/usr/lib/.keep /usr/lib/locale/ru_RU/LC_MESSAGES/.keep /usr/lib/perl5/site_perl/
5.8.2/i686-linux/auto/Gimp/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux
/auto/XML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/ExtU
tils/PkgConfig/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/ExtUti
ls/Depends/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/Gtk2/.pack
list /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Term/ReadKey/.packlist /us
r/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/XML/Writer/.packlist /usr/lib/perl
5/vendor_perl/5.8.4/i686-linux/auto/Glib/.packlist /usr/lib/perl5/vendor_perl/5.
8.4/i686-linux/auto/Pod/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-l
inux/auto/MIME/Base64/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto
/Digest/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/MD5/.p
acklist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/SHA1/.packlist /
usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/HMAC/.packlist /usr/lib/p
erl5/vendor_perl/5.8.4/i686-linux/auto/Net/DNS/.packlist /usr/lib/perl5/vendor_p
erl/5.8.4/i686-linux/auto/Net/SSLeay/.packlist /usr/lib/perl5/vendor_perl/5.8.4/
i686-linux/auto/IO/Socket/SSL/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-li
nux/auto/HTML/Tagset/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/
HTML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Mail/Spam
Assassin/.packlist /usr/lib/perl5/5.8.4/i686-linux/auto/DB_File/.packlist /usr/l
ib/perl5/5.8.5/i686-linux/.packlist /usr/lib/mozilla/include/enigmime/.headerlis
t /usr/lib/mozilla/include/ipc/.headerlist /usr/lib/nsbrowser/plugins/.keep /usr
/lib/gkrellm2/plugins/.keep /lib/.keep /lib/dev-state/.keep /lib/udev-state/.kee
p

Searching for LPD Worm files and dirs... nothing found
Searching for Ramen Worm files and dirs... nothing found
Searching for Maniac files and dirs... nothing found
Searching for RK17 files and dirs... nothing found
Searching for Ducoci rootkit... nothing found
Searching for Adore Worm... nothing found
Searching for ShitC Worm... nothing found
Searching for Omega Worm... nothing found
Searching for Sadmind/IIS Worm... nothing found
Searching for MonKit... nothing found
Searching for Showtee... nothing found
Searching for OpticKit... nothing found
Searching for T.R.K... nothing found
Searching for Mithra... nothing found
Searching for OBSD rk v1... nothing found
Searching for LOC rootkit... nothing found
Searching for Romanian rootkit... nothing found
Searching for Suckit rootkit... nothing found
Searching for Volc rootkit... nothing found
Searching for Gold2 rootkit... nothing found
Searching for TC2 Worm default files and dirs... nothing found
Searching for Anonoying rootkit default files and dirs... nothing found
Searching for ZK rootkit default files and dirs... nothing found
Searching for ShKit rootkit default files and dirs... nothing found
Searching for AjaKit rootkit default files and dirs... nothing found
Searching for zaRwT rootkit default files and dirs... nothing found
Searching for Madalin rootkit default files... nothing found
Searching for anomalies in shell history files... Warning: `//root/.bbrun_histor
y' file size is zero
nothing found
Checking `asp'... not infected
Checking `bindshell'... not infected
Checking `lkm'... nothing detected
Checking `rexedcs'... not found
Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
Checking `w55808'... not infected
Checking `wted'... nothing deleted
Checking `scalper'... not infected
Checking `slapper'... not infected
Checking `z2'... nothing deleted


oder fällt da einem was auf? :confused:

gruss tonmeister440

Tja, sieht wohl aus, als waerst Du kompromittiert worden.
Sprichst Du russisch?

'cuda

Wenn Du eine Platte übrig hast spiegel die kompromittierte Platte per dd rüber und installiere dann das system neu.

Dann kannst Du falls irgendwas hinterherkommt nachforschen (lassen) was der Angreifer genau getrieben hat...

mfg
cane

hi,
ne russisch sprech ich nicht, meinst du das das kyrillisch ist und deshalb kein name zu sehen ist??

kann das auch ein fehler von gnome-system-monitor sein, weil gtop zeigt diese prozesse mit namen an, zumindest der pid nach zuurteilen handelt es sich um keventd, kapmd usw. siehe screenshots.

gruss tonmeister440

wer weiß, was dir das gnome tool anzeigt oder auch nicht anzeigt - was sagt top?

hi,

top lässt auch nix verdächtiges erkennen, da tauchen die prozesse auch ganz normal auf.


gruss tonmeister440

Also nach deinen Screenshots zu urteilen und wie du selbst schon vermutet hast zeigt gnome-system-monitor einfach keine Kernelprozesse an. Schau einfach mal auf die PIDs und den Parentprozess. ;)

IMHO ist dein Rechner nicht kompromitiert, also Glück gehabt.

Wirklich ne komische Sache...

Aber Glück gehabt :)

hi,

ich hab meinen rechner ein wenig durchgestöbert. also port scans und ethereal haben nichts ungewöhnliches zutage gebracht. die prozesse hab ich auch mal verfolgt und ich denk mal, das das ein bug ist. werd das aber weiter verfolgen.
wenigstens ist meine erste unruhe verflogen

gruss tonmeister440