Возникают процессы из ниоткуда.

sx88 · 19 мая 2015, 17:49:39

Обновился с Wheezy до Jessie. Обратил внимание, что интернет стал крайне медленным: страницы порой долго загружаются, а бывает что и просто не отображаются.
Посмотел в htop и увидел, что рандомно создаются процессы от рута и подгружают оба ядра под 100%:

Спойлер

Кто с подобным сталкивался или имеет предположение что это?

ogost · 19 мая 2015, 19:52:13

возможно руткит. а может и нет. проверьте исходящий траффик, сетевые подключения, crontab, демонов при старте, автозагрузку юзера и так далее. возможно брутфорснули вас.

sx88 · 19 мая 2015, 20:36:39

В gnome-system-monitor обнаружил пару процессов. Откуда взялись не знаю, locate с данным именем не обнаружила библиотек

Спойлер

Сообщение объединено: 19 Май 2015, 21:36:11

ogost, спасибо. Оказалось, что схватил вирус. С почином так сказать:))
вирус прописался в /etc/cron.hourly/gcc.sh

вот полная стать о победе над ним http://blog.amet13.name/2015/05/linux.html

p.s. теперь осталось понять как его подхватил, чтобы повторно не наступить на грабли

Leo · 19 мая 2015, 21:45:31

М-мм-ммм сгенерированные негуглящиеся имена просессов? Интересно-интересно, продолжайте...

endru · 20 мая 2015, 05:57:20

еще одна причина не сидеть под рутом
а если брать случай подбора пароля - настроить fail2ban.

ogost · 20 мая 2015, 10:41:09

кроме fail2ban нужно обязательно запретить логин рута через ssh, выкинуть всех юзверей из судо. ну это всё если у вас белый айпи.

alsoijw · 20 мая 2015, 16:21:48

Вопрос ламера: отключил логин под рутом, добавил свою запись в sudoers. Ничего дополнитель не ставил. Что то ещё?

yura_n · 20 мая 2015, 16:40:30

Цитата: alsoijw от 20 мая 2015, 16:21:48Что то ещё?

Да там много чего еще. Настройка файервола, так как любое приложение, которое смотрит в сеть, может быть потенциально уязвимо. Установка, настройка PaX, для защиты памяти. Установка, настройка какой-нибудь мандатной системы доступа, чтобы взломщик не сумел уйти дальше взломанного приложения. И.т.д.

alsoijw · 20 мая 2015, 20:21:33

Забыл сказать: это для домашнего компа.

yura_n · 20 мая 2015, 21:52:01

Цитата: alsoijw от 20 мая 2015, 20:21:33
Забыл сказать: это для домашнего компа.

У меня на домашнем компе все это установлено.

Babay · 21 мая 2015, 17:27:09

А у меня, на Джесси, сам собой рутовский пароль поменялся... во! ("Из нашего окна площадь Красная видна, а из вашего окошка..."

)
Как говориться - "такие повороты не для моей лошади"! Как увидел/узнал, так чуть ли не все волосенки на тельце моем поседели с испугу... !
Так что, ну нах: решил перейти (и установить его тоже!) на tails... от греха подальше! (А то не дай Бог, кто-то ещё мою коллекцию порнушки зазырит...

)

ЗЫ. Вот и ходи после этого на всякие там Грани и каспаров.ру через всякие прокси-мокси... облысеешь, в один прекрасный момент, со страху!

sx88 · 21 мая 2015, 18:13:00

Может, кто спец в области "предотвращения взлома" поделится опытом и наработками : что ставил, как настраивал (хотя бы принципы) и т.п.
Я не паникер, но потому на линухе и сижу, что нет нужды ставить антивирусы, которые из CoreI5 делают Pentium3

yura_n · 21 мая 2015, 18:39:03

Цитата: Babay от 21 мая 2015, 17:27:09А у меня, на Джесси, сам собой рутовский пароль поменялся... во! ("Из нашего окна площадь Красная видна, а из вашего окошка..." )

Ожидал чего-то похожего.

Но вообще я имел в виду, что нет разницы - домашний комп или нет. Мысль о том, что домашний компьютер никому не нужен, реальной защиты не дает. Наоборот, на мой взгляд, подобное пренебрежение может открыть дорогу вполне реальным проблемам.

alsoijw · 21 мая 2015, 19:29:25

Babay, я бы поинтересовался длиной твоего пароля в начале, до того как его поменяли.

Babay · 21 мая 2015, 22:46:50

Цитата: alsoijw от 21 мая 2015, 19:29:25Babay, я бы поинтересовался длиной твоего пароля в начале, до того как его поменяли.

Да что там длина!? Он у меня заковыристый был 7V_4zK:1;3-@5 - на пределе целесообразности и здравомыслия... Имхую - не иначе как проксивладелец, гаденыш, через мегафоновский модем прокрался

Возникают процессы из ниоткуда.

yura_n

yura_n

yura_n