Anzeige:
Ergebnis 1 bis 9 von 9

Thema: ist das normal?

  1. #1
    BreitesGrossMaul Avatar von tonmeister440
    Registriert seit
    Jul 2002
    Ort
    Aachen
    Beiträge
    971

    ist das normal?

    hi,


    mir ist heute aufgefallen das ich im taskmanager (gnome-system-monitor) prozesse ohne namen habe, die alle anscheinend dem benutz root gehören. ist das normal? gibt es eine möglichkeit rauszubekommen was das für prozesse sind? chkrootkit meldet mir nix besonderes.
    ich hab mal einen screenshot von gnome-system-monitor angehängt, da ist auch zu sehen das die prozesse eigentlich keinen speicher belegen. mir kommt das alles doch sehr suspekt vor.

    hier auch mal die ausgabe von chkrootkit v0.44:

    e=mc² chkrootkit
    ROOTDIR is `/'
    Checking `amd'... not found
    Checking `basename'... not infected
    Checking `biff'... not found
    Checking `chfn'... not infected
    Checking `chsh'... not infected
    Checking `cron'... not infected
    Checking `date'... not infected
    Checking `du'... not infected
    Checking `dirname'... not infected
    Checking `echo'... not infected
    Checking `egrep'... not infected
    Checking `env'... not infected
    Checking `find'... not infected
    Checking `fingerd'... not found
    Checking `gpm'... not infected
    Checking `grep'... not infected
    Checking `hdparm'... not infected
    Checking `su'... not infected
    Checking `ifconfig'... not infected
    Checking `inetd'... not tested
    Checking `inetdconf'... not found
    Checking `identd'... not found
    Checking `init'... not infected
    Checking `killall'... not infected
    Checking `ldsopreload'... not infected
    Checking `login'... not infected
    Checking `ls'... not infected
    Checking `lsof'... not infected
    Checking `mail'... not found
    Checking `mingetty'... not infected
    Checking `netstat'... not infected
    Checking `named'... not found
    Checking `passwd'... not infected
    Checking `pidof'... not infected
    Checking `pop2'... not found
    Checking `pop3'... not found
    Checking `ps'... not infected
    Checking `pstree'... not infected
    Checking `rpcinfo'... not infected
    Checking `rlogind'... not found
    Checking `rshd'... not found
    Checking `slogin'... not infected
    Checking `sendmail'... not infected
    Checking `sshd'... not infected
    Checking `syslogd'... not tested
    Checking `tar'... not infected
    Checking `tcpd'... not infected
    Checking `tcpdump'... not infected
    Checking `top'... not infected
    Checking `telnetd'... not infected
    Checking `timed'... not found
    Checking `traceroute'... not found
    Checking `vdir'... not infected
    Checking `w'... not infected
    Checking `write'... not infected
    Checking `aliens'... no suspect files
    Searching for sniffer's logs, it may take a while... nothing found
    Searching for HiDrootkit's default dir... nothing found
    Searching for t0rn's default files and dirs... nothing found
    Searching for t0rn's v8 defaults... nothing found
    Searching for Lion Worm default files and dirs... nothing found
    Searching for RSHA's default files and dir... nothing found
    Searching for RH-Sharpe's default files... nothing found
    Searching for Ambient's rootkit (ark) default files and dirs... nothing found
    Searching for suspicious files and dirs, it may take a while...
    /usr/lib/.keep /usr/lib/locale/ru_RU/LC_MESSAGES/.keep /usr/lib/perl5/site_perl/
    5.8.2/i686-linux/auto/Gimp/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux
    /auto/XML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/ExtU
    tils/PkgConfig/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/ExtUti
    ls/Depends/.packlist /usr/lib/perl5/vendor_perl/5.8.2/i686-linux/auto/Gtk2/.pack
    list /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Term/ReadKey/.packlist /us
    r/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/XML/Writer/.packlist /usr/lib/perl
    5/vendor_perl/5.8.4/i686-linux/auto/Glib/.packlist /usr/lib/perl5/vendor_perl/5.
    8.4/i686-linux/auto/Pod/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-l
    inux/auto/MIME/Base64/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto
    /Digest/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/MD5/.p
    acklist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/SHA1/.packlist /
    usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Digest/HMAC/.packlist /usr/lib/p
    erl5/vendor_perl/5.8.4/i686-linux/auto/Net/DNS/.packlist /usr/lib/perl5/vendor_p
    erl/5.8.4/i686-linux/auto/Net/SSLeay/.packlist /usr/lib/perl5/vendor_perl/5.8.4/
    i686-linux/auto/IO/Socket/SSL/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-li
    nux/auto/HTML/Tagset/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/
    HTML/Parser/.packlist /usr/lib/perl5/vendor_perl/5.8.4/i686-linux/auto/Mail/Spam
    Assassin/.packlist /usr/lib/perl5/5.8.4/i686-linux/auto/DB_File/.packlist /usr/l
    ib/perl5/5.8.5/i686-linux/.packlist /usr/lib/mozilla/include/enigmime/.headerlis
    t /usr/lib/mozilla/include/ipc/.headerlist /usr/lib/nsbrowser/plugins/.keep /usr
    /lib/gkrellm2/plugins/.keep /lib/.keep /lib/dev-state/.keep /lib/udev-state/.kee
    p

    Searching for LPD Worm files and dirs... nothing found
    Searching for Ramen Worm files and dirs... nothing found
    Searching for Maniac files and dirs... nothing found
    Searching for RK17 files and dirs... nothing found
    Searching for Ducoci rootkit... nothing found
    Searching for Adore Worm... nothing found
    Searching for ShitC Worm... nothing found
    Searching for Omega Worm... nothing found
    Searching for Sadmind/IIS Worm... nothing found
    Searching for MonKit... nothing found
    Searching for Showtee... nothing found
    Searching for OpticKit... nothing found
    Searching for T.R.K... nothing found
    Searching for Mithra... nothing found
    Searching for OBSD rk v1... nothing found
    Searching for LOC rootkit... nothing found
    Searching for Romanian rootkit... nothing found
    Searching for Suckit rootkit... nothing found
    Searching for Volc rootkit... nothing found
    Searching for Gold2 rootkit... nothing found
    Searching for TC2 Worm default files and dirs... nothing found
    Searching for Anonoying rootkit default files and dirs... nothing found
    Searching for ZK rootkit default files and dirs... nothing found
    Searching for ShKit rootkit default files and dirs... nothing found
    Searching for AjaKit rootkit default files and dirs... nothing found
    Searching for zaRwT rootkit default files and dirs... nothing found
    Searching for Madalin rootkit default files... nothing found
    Searching for anomalies in shell history files... Warning: `//root/.bbrun_histor
    y' file size is zero
    nothing found
    Checking `asp'... not infected
    Checking `bindshell'... not infected
    Checking `lkm'... nothing detected
    Checking `rexedcs'... not found
    Checking `sniffer'... eth0: not promisc and no PF_PACKET sockets
    Checking `w55808'... not infected
    Checking `wted'... nothing deleted
    Checking `scalper'... not infected
    Checking `slapper'... not infected
    Checking `z2'... nothing deleted
    oder fällt da einem was auf?

    gruss tonmeister440
    Athlon XP 2400+, Asus A7V8X Via KT400, Geforce FX 6600,1024 MB RAM, Gentoo Linux Stage 1, Kernel 2.6.19 wine 0.9.54
    Jack H. Audio Solutions
    Please vote us

  2. #2
    Shot a man in Reno Avatar von HEMIcuda
    Registriert seit
    Jun 2003
    Ort
    Am Rande des Wahnsinns
    Beiträge
    5.481
    Tja, sieht wohl aus, als waerst Du kompromittiert worden.
    Sprichst Du russisch?

    'cuda

  3. #3
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    Wenn Du eine Platte übrig hast spiegel die kompromittierte Platte per dd rüber und installiere dann das system neu.

    Dann kannst Du falls irgendwas hinterherkommt nachforschen (lassen) was der Angreifer genau getrieben hat...

    mfg
    cane
    Es existiert kein Patch für die menschliche Dummheit.

  4. #4
    BreitesGrossMaul Avatar von tonmeister440
    Registriert seit
    Jul 2002
    Ort
    Aachen
    Beiträge
    971
    hi,
    ne russisch sprech ich nicht, meinst du das das kyrillisch ist und deshalb kein name zu sehen ist??

    kann das auch ein fehler von gnome-system-monitor sein, weil gtop zeigt diese prozesse mit namen an, zumindest der pid nach zuurteilen handelt es sich um keventd, kapmd usw. siehe screenshots.

    gruss tonmeister440
    Geändert von tonmeister440 (08.12.04 um 18:45 Uhr)
    Athlon XP 2400+, Asus A7V8X Via KT400, Geforce FX 6600,1024 MB RAM, Gentoo Linux Stage 1, Kernel 2.6.19 wine 0.9.54
    Jack H. Audio Solutions
    Please vote us

  5. #5
    Challanzen Avatar von atomical
    Registriert seit
    Dec 2003
    Beiträge
    1.342
    wer weiß, was dir das gnome tool anzeigt oder auch nicht anzeigt - was sagt top?
    mfg, atomical

    Wer andern seinen Grub vergräbt, hat meist ein Windows-Spielgerät.

  6. #6
    BreitesGrossMaul Avatar von tonmeister440
    Registriert seit
    Jul 2002
    Ort
    Aachen
    Beiträge
    971
    hi,

    top lässt auch nix verdächtiges erkennen, da tauchen die prozesse auch ganz normal auf.


    gruss tonmeister440
    Athlon XP 2400+, Asus A7V8X Via KT400, Geforce FX 6600,1024 MB RAM, Gentoo Linux Stage 1, Kernel 2.6.19 wine 0.9.54
    Jack H. Audio Solutions
    Please vote us

  7. #7
    Roger Wilco
    Gast
    Also nach deinen Screenshots zu urteilen und wie du selbst schon vermutet hast zeigt gnome-system-monitor einfach keine Kernelprozesse an. Schau einfach mal auf die PIDs und den Parentprozess.

    IMHO ist dein Rechner nicht kompromitiert, also Glück gehabt.

  8. #8
    Open-Xchange Avatar von cane
    Registriert seit
    Nov 2002
    Ort
    NRW
    Beiträge
    6.682
    Wirklich ne komische Sache...

    Aber Glück gehabt
    Es existiert kein Patch für die menschliche Dummheit.

  9. #9
    BreitesGrossMaul Avatar von tonmeister440
    Registriert seit
    Jul 2002
    Ort
    Aachen
    Beiträge
    971
    hi,

    ich hab meinen rechner ein wenig durchgestöbert. also port scans und ethereal haben nichts ungewöhnliches zutage gebracht. die prozesse hab ich auch mal verfolgt und ich denk mal, das das ein bug ist. werd das aber weiter verfolgen.
    wenigstens ist meine erste unruhe verflogen

    gruss tonmeister440
    Athlon XP 2400+, Asus A7V8X Via KT400, Geforce FX 6600,1024 MB RAM, Gentoo Linux Stage 1, Kernel 2.6.19 wine 0.9.54
    Jack H. Audio Solutions
    Please vote us

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •