Vinnaren i pepparkakshustävlingen!
  1. Dator och IT
  2. IT-säkerhet

Rootkit?

Svara
2015-04-24, 23:41
  #1
GHz
Medlem
Hej,

Min dator har betett sig lite konstigt på senaste tiden. Har kollat med några program vad felet kan vara och fått fram följande resultat.

Kod: 
# unhide brute 

visar bl.a.

Found HIDDEN PID: 24148	"  ... maybe a transitory process"
Found HIDDEN PID: 24150	"  ... maybe a transitory process"
Found HIDDEN PID: 24151	"  ... maybe a transitory process"
Found HIDDEN PID: 24169	"  ... maybe a transitory process"
Found HIDDEN PID: 24199	"  ... maybe a transitory process"
Found HIDDEN PID: 24208	"  ... maybe a transitory process"
Found HIDDEN PID: 24210	"  ... maybe a transitory process"
Found HIDDEN PID: 24211	"  ... maybe a transitory process"
Found HIDDEN PID: 24250	"  ... maybe a transitory process"
Found HIDDEN PID: 24284	"  ... maybe a transitory process"
Found HIDDEN PID: 24290	"  ... maybe a transitory process"
Found HIDDEN PID: 24292	"  ... maybe a transitory process"
Found HIDDEN PID: 24326	"  ... maybe a transitory process"
Found HIDDEN PID: 24331	"  ... maybe a transitory process"
Found HIDDEN PID: 24333	"  ... maybe a transitory process"
Found HIDDEN PID: 24358	"  ... maybe a transitory process"
Found HIDDEN PID: 24364	"  ... maybe a transitory process"
Found HIDDEN PID: 24368	"  ... maybe a transitory process"
Found HIDDEN PID: 24370	"  ... maybe a transitory process"
Found HIDDEN PID: 24371	"  ... maybe a transitory process"
Found HIDDEN PID: 24372	"  ... maybe a transitory process"
Found HIDDEN PID: 24385	"  ... maybe a transitory process"
Found HIDDEN PID: 24387	"  ... maybe a transitory process"
Found HIDDEN PID: 24388	"  ... maybe a transitory process"
Found HIDDEN PID: 24413	"  ... maybe a transitory process"
Found HIDDEN PID: 24422	"  ... maybe a transitory process"
Found HIDDEN PID: 24424	"  ... maybe a transitory process"
Found HIDDEN PID: 24461	"  ... maybe a transitory process"
Found HIDDEN PID: 24497	"  ... maybe a transitory process"
Found HIDDEN PID: 24504	"  ... maybe a transitory process"
Found HIDDEN PID: 24506	"  ... maybe a transitory process"
Found HIDDEN PID: 24546	"  ... maybe a transitory process"
Found HIDDEN PID: 24555	"  ... maybe a transitory process"
Found HIDDEN PID: 24557	"  ... maybe a transitory process"
Found HIDDEN PID: 24596	"  ... maybe a transitory process"
Found HIDDEN PID: 24606	"  ... maybe a transitory process"
Found HIDDEN PID: 24625	"  ... maybe a transitory process"
Found HIDDEN PID: 24631	"  ... maybe a transitory process"
Found HIDDEN PID: 24633	"  ... maybe a transitory process"
Found HIDDEN PID: 24675	"  ... maybe a transitory process"
Found HIDDEN PID: 24678	"  ... maybe a transitory process"
Found HIDDEN PID: 24679	"  ... maybe a transitory process"
Found HIDDEN PID: 24680	"  ... maybe a transitory process"
Found HIDDEN PID: 24702	"  ... maybe a transitory process"
Found HIDDEN PID: 24708	"  ... maybe a transitory process"
Found HIDDEN PID: 24710	"  ... maybe a transitory process"
Found HIDDEN PID: 24744	"  ... maybe a transitory process"
Found HIDDEN PID: 24752	"  ... maybe a transitory process"
Found HIDDEN PID: 24755	"  ... maybe a transitory process"
Found HIDDEN PID: 24761	"  ... maybe a transitory process"
Found HIDDEN PID: 24778	"  ... maybe a transitory process"
Found HIDDEN PID: 24822	"  ... maybe a transitory process"
Found HIDDEN PID: 24824	"  ... maybe a transitory process"
Found HIDDEN PID: 24826	"  ... maybe a transitory process"
Found HIDDEN PID: 24835	"  ... maybe a transitory process"
Found HIDDEN PID: 24840	"  ... maybe a transitory process"
Found HIDDEN PID: 24842	"  ... maybe a transitory process"
Found HIDDEN PID: 24843	"  ... maybe a transitory process"
Found HIDDEN PID: 24850	"  ... maybe a transitory process"
Found HIDDEN PID: 24872	"  ... maybe a transitory process"
Found HIDDEN PID: 24875	"  ... maybe a transitory process"
Found HIDDEN PID: 24877	"  ... maybe a transitory process"
Found HIDDEN PID: 24899	"  ... maybe a transitory process"
Found HIDDEN PID: 24902	"  ... maybe a transitory process"
...

Första körningen gav en gömd process. Nu har jag uppemot 1000 gömda processer.

Kod: 
# unhide sys
ger mig
Kod: 
Found HIDDEN PID: 13808	"  ... maybe a transitory process"

Har även hittat en process med PID 20. Namnet på den är sync_supers.
Tittar man på arbetskatalogen till PID 20 genom att köra följande kommando i /proc/17
Kod: 
# ls -l cwd
så får man resultatet
Kod: 
lrwxrwxrwx 1 root root 0 Apr 24 23:22 cwd -> /

Fick för några dagar sen ett konstigt meddelande om att md5summor (eller någonting) inte stämmer när jag skulle uppdatera några paket. Idag så verkade även micro emacs ta 60% av den totala CPU:n. Micro emacs hade en textfil öppen. Kan inte tänka mig att den ska behöva så mycket processkraft för det.

Har ni någon aning om vad felet kan vara eller några tips på vad jag kan göra för att få reda på mer?

Tack på förhand!
__________________
Senast redigerad av GHz 2015-04-24 kl. 23:50.
Citera
2015-04-24, 23:47
  #2
GHz
Medlem
rkhunter verkar inte hitta något. chkrootkit hittar inte mycket mer än

Kod: 
Searching for suspicious files and dirs, it may take a while... The following suspicious files and directories were found:  
/usr/lib/pymodules/python2.7/.path /usr/lib/pymodules/python2.6/.path /usr/lib/python2.7/dist-packages/PyQt4/uic/widget-plugins/.noinit /usr/lib/jvm/.java-1.6.0-openjdk-amd64.jinfo /usr/lib/python2.6/dist-packages/PyQt4/uic/widget-plugins/.noinit
Citera
2015-04-25, 01:12
  #3
bithax
Medlem
bithaxs avatar
Om du nu tror att det är något är det väll enklast att bara blåsa om burken.
Antar att du har backup på ditt skit.
Citera
2015-04-25, 01:17
  #4
GHz
Medlem
Citat:
Ursprungligen postat av bithax
Om du nu tror att det är något är det väll enklast att bara blåsa om burken.
Antar att du har backup på ditt skit.

Mjo, gör en backup dagligen på $HOME till den externa hårddisken. Frågan är om inte en massa skitfiler förts över till den också (om det nu är så att systemet är infekterat).
Citera
2015-04-25, 01:26
  #5
bithax
Medlem
bithaxs avatar
Citat:
Ursprungligen postat av GHz
Mjo, gör en backup dagligen på $HOME till den externa hårddisken. Frågan är om inte en massa skitfiler förts över till den också (om det nu är så att systemet är infekterat).

Nu *tror* jag iof att du bara har false positives och sitter och nojjar över detta.

Men nå ja, om du ser till att inte föra över några exekverbara filer så är det ju rätt liten chans att något skulle kunna smita med. Du bör väll i så fall också göra detta mha en live-cd eller liknande.
Citera
2015-04-25, 01:41
  #6
GHz
Medlem
Kan nog vara så. Det är alltså de exekverbara filerna man ska undvika vid överföringen. Tror jag avvaktar och ser hur systemet beter sig de närmsta dagarna. Upptäcker jag något misstänksamt så blir det en ominstallation. Tack för tipsen!
Citera
2015-04-25, 02:05
  #7
bithax
Medlem
bithaxs avatar
Citat:
Ursprungligen postat av GHz
Kan nog vara så. Det är alltså de exekverbara filerna man ska undvika vid överföringen.
Nja.. jag tar nog tillbaka det.

Det finns källkodsvirus som skriver in sig själva i t.ex. c kod, och hoppas att du kommer kompilera in dem i framtiden. Det är dock ovanligt.

Någon skulle kunna göra en exploit för något program via något binärt format, eller infektera PDFer eller liknande, men det känns som att det är liten chans.

Håll dock koll på vad som står i .bashrc och liknande, eller så skiter du helt i att kopiera punktfiler. Är ju lätt att någon lagt till något som tankar ned något, och lägger till det i din $PATH eller så.

Men, vanliga textfiler lär det knappast hända något med.
__________________
Senast redigerad av bithax 2015-04-25 kl. 02:10.
Citera
Svara

Stöd Flashback

Flashback finansieras genom donationer från våra medlemmar och besökare. Det är med hjälp av dig vi kan fortsätta erbjuda en fri samhällsdebatt. Tack för ditt stöd!

Stöd Flashback