Возникают процессы из ниоткуда.

Автор sx88, 19 мая 2015, 17:49:39

« назад - далее »

0 Пользователи и 7 гостей просматривают эту тему.

sx88

Обновился с Wheezy до Jessie. Обратил внимание, что интернет стал крайне медленным: страницы порой долго загружаются, а бывает что и просто не отображаются.
Посмотел в htop и увидел, что рандомно создаются процессы от рута и подгружают оба ядра под 100%:
Открыть содержимое (спойлер)












[свернуть]

Кто с подобным сталкивался или имеет предположение что это?

ogost

возможно руткит. а может и нет. проверьте исходящий траффик, сетевые подключения, crontab, демонов при старте, автозагрузку юзера и так далее. возможно брутфорснули вас.

sx88

#2
В gnome-system-monitor обнаружил пару процессов. Откуда взялись не знаю, locate с данным именем не обнаружила библиотек
Открыть содержимое (спойлер)




[свернуть]

Сообщение объединено: 19 Май 2015, 21:36:11

ogost, спасибо. Оказалось, что схватил вирус. С почином так сказать:))
вирус прописался в /etc/cron.hourly/gcc.sh

вот полная стать о победе над ним http://blog.amet13.name/2015/05/linux.html

p.s. теперь осталось понять как его подхватил, чтобы повторно не наступить на грабли

Leo

М-мм-ммм сгенерированные негуглящиеся имена просессов? Интересно-интересно, продолжайте... ;D

endru

еще одна причина не сидеть под рутом
а если брать случай подбора пароля - настроить fail2ban.

ogost

кроме fail2ban нужно обязательно запретить логин рута через ssh, выкинуть всех юзверей из судо. ну это всё если у вас белый айпи.

alsoijw

Вопрос ламера: отключил логин под рутом, добавил свою запись в sudoers. Ничего дополнитель не ставил. Что то ещё?
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

yura_n

Цитата: alsoijw от 20 мая 2015, 16:21:48Что то ещё?
Да там много чего еще. Настройка файервола, так как любое приложение, которое смотрит в сеть, может быть потенциально уязвимо. Установка, настройка PaX, для защиты памяти. Установка, настройка какой-нибудь мандатной системы доступа, чтобы взломщик не сумел уйти дальше взломанного приложения. И.т.д.

alsoijw

Забыл сказать: это для домашнего компа.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

yura_n

Цитата: alsoijw от 20 мая 2015, 20:21:33
Забыл сказать: это для домашнего компа.
У меня на домашнем компе все это установлено. ;D

Babay

#10
А у меня, на Джесси, сам собой рутовский пароль поменялся... во! ("Из нашего окна площадь Красная видна,  а из вашего окошка..."   ;))
Как говориться - "такие повороты не для моей лошади"! Как увидел/узнал, так чуть ли не все волосенки на тельце моем поседели с испугу... !
Так что, ну нах: решил перейти (и установить его тоже!) на tails... от греха подальше! (А то не дай Бог, кто-то ещё мою коллекцию порнушки зазырит... ;D)

ЗЫ. Вот и ходи после этого на всякие там Грани и каспаров.ру через всякие прокси-мокси... облысеешь, в один прекрасный момент, со страху!
Ин дер гроссе фамилиен нихт клювен клац-клац...

sx88

#11
Может, кто спец в области "предотвращения взлома" поделится опытом и наработками : что ставил, как настраивал (хотя бы принципы) и т.п.
Я не паникер, но потому на линухе и сижу, что нет нужды ставить антивирусы, которые из CoreI5 делают Pentium3

yura_n

Цитата: Babay от 21 мая 2015, 17:27:09А у меня, на Джесси, сам собой рутовский пароль поменялся... во! ("Из нашего окна площадь Красная видна,  а из вашего окошка..."   ;))
Ожидал чего-то похожего. ;D Но вообще я имел в виду, что нет разницы - домашний комп или нет. Мысль о том, что домашний компьютер никому не нужен, реальной защиты не дает. Наоборот, на мой взгляд, подобное пренебрежение может открыть дорогу вполне реальным проблемам.

alsoijw

Babay, я бы поинтересовался длиной твоего пароля в начале, до того как его поменяли.
Мало видеть нам начало - надо видеть и конец. Если видишь ты создание - значит где-то есть ТВОРЕЦ
Многие жалуются: геометрия в жизни не пригодилась. Ямб от хорея им приходится отличать ежедневно?

Babay

#14
Цитата: alsoijw от 21 мая 2015, 19:29:25Babay, я бы поинтересовался длиной твоего пароля в начале, до того как его поменяли.
Да что там длина!? Он у меня заковыристый был 7V_4zK:1;3-@5 - на пределе целесообразности и здравомыслия... Имхую - не иначе как проксивладелец, гаденыш, через мегафоновский модем прокрался :)
Ин дер гроссе фамилиен нихт клювен клац-клац...