Nascondere processi

[korda]

Non ho idea se sia possibile ma... si può nascondere un processo di modo che non possa essere listabile dai task manager più comuni? (top, htop, ps, ecc.)

[tokijin]

Ciao,
non ho testato ma vedi se questo ti aiuta:
https://www.cyberciti.biz/faq/linux-hid ... her-users/

Ciao

[korda]

Ciao,
non ho testato ma vedi se questo ti aiuta:
https://www.cyberciti.biz/faq/linux-hid ... her-users/

Ciao

Ummmh... sembra che tale metodo richieda privilegi di root...

In realtà la richiesta sottesa, che non ho accennato e mi scuso per questo, era quello di capire se ci fossero vulnerabilità e/o malware che potessero mascherare in tal modo i propri processi...

Leggerò per bene quanto hai linkato nel frattempo. Grazie

[Clover]

In realtà la richiesta sottesa, che non ho accennato e mi scuso per questo, era quello di capire se ci fossero vulnerabilità e/o malware che potessero mascherare in tal modo i propri processi...

Nascondere il processo stesso no, ma ci sono tecniche per mascherare codice malevolo in processi validi.
Ti faccio un esempio banale, supponi uno script python valido che si chiama "wallpaper.py" che legge ogni minuto (o al successivo riavvio) un pezzo di codice... se un attaccante riesce a modificare quel pezzo di codice che viene letto ogni minuto con codice malevolo, lato taskmanager il processo si chiamerà sempre "wallpaper.py" senza che l'utente se ne accorga.

[korda]

In realtà la richiesta sottesa, che non ho accennato e mi scuso per questo, era quello di capire se ci fossero vulnerabilità e/o malware che potessero mascherare in tal modo i propri processi...

Nascondere il processo stesso no, ma ci sono tecniche per mascherare codice malevolo in processi validi.
Ti faccio un esempio banale, supponi uno script python valido che si chiama "wallpaper.py" che legge ogni minuto (o al successivo riavvio) un pezzo di codice... se un attaccante riesce a modificare quel pezzo di codice che viene letto ogni minuto con codice malevolo, lato taskmanager il processo si chiamerà sempre "wallpaper.py" senza che l'utente se ne accorga.

Ok... ti porto un esempio banale che ho osservato.

Ieri sera notavo che il led del mio RaspberryPI continuava a blinkare in modo sostenuto, come ad indicare che stesse facendo qualcosa: mi collego, butto un occhio su htop e mi é sembrato che il device fosse completamente in idle (nessun carico di rilievo su storage, CPU, RAM; nessuno mio script schedulato su crontab; temperature dei componenti in linea come sempre). In cima alla lista dei processi, ordinati per carico su CPU, c'era pulseaudio con qualche punto percentuale (ma ero connesso su terminale via ssh).

Non sono riuscito a trovare nulla che potesse giustificare quel blink continuo del led. Per questo motivo mi sono posto tale domanda.

Edit: ovviamente il led a cui mi riferisco è quello di sistema, no alimentazione né scheda di rete

[Clover]

Tieni conto che su alcune schede di rete la velocità con cui lampeggiano i led non indica per forza la quantità di traffico in corso... considera anche che potrebbe non essere il dispositivo stesso a generare il traffico ma potrebbe essere roba proveniente dal broadcast, multicast o traffico residuo destinato al dispositivo.
L'unico modo per verificarlo e fare un tcpdump e vedere cosa salta fuori.

edit

ok, letto ora che ti riferivi al led generico (forse il disco dati), in questo caso bisognerebbe vedere che dati sono in transito sui canali sata/nvme/ide ma al momento non mi viene in mente nessun modo per farlo, se mi viene in mente mi faccio vivo.