[Internet] software UNHIDE (con RKHUNTER) e HIDDEN PIDS -> LINUX COLABRODO?(2)

[fortran77]

Seriamente, se non ti fidi del tuo pc spengilo. Se non ti fidi di Linux installa windows o macos. Se non ti fidi della gente che ti risponde su questo forum vai a cercare risposte altrove.
Tu hai fatto una domanda, diverse persone ti hanno risposto e le risposte non ti soddisfano. Dopo diverse insistenze ancora non riesci ad avere risposte che ti soddisfano. Evidentemente i casi sono due: o le persone su questo forum sono incapaci di darti risposte migliori o le tue domande non meritano risposte migliori... Scegli l'interpretazione che preferisci ma in ogni caso non c'è niente da fare, meglio finirla qui.

P.S. Ho risposto solo perché questo thread continua a rispuntare nei miei thrad non letti. Avevo precedentemente detto che non avrei più partecipato alla discussione...

[pierba]

quali processi con ps devo considerare come strani?

Se non ci passi l'output dei comandi citati precedentemente

Codice: Seleziona tutto

ps -Af
ps -e

come potremmo saperlo?
La sfera di cristallo non e` sufficientemente precisa per aiutarci su queste questioni.

Hai gia` ottenuto risposte esaurienti per le altre domande, ma se non ti soddisfano ... meglio se cerchi da altre parti, evidentemente qui non riusciamo a capirci.

Il supporto sul forum e` gratuito e fornito da volontari, ma presupponme anche rispetto reciproco e fiducia: dal momento che stai discutendo su un argomento che non conosci, accetta anche cio` che ti viene proposto.
Sono dieci anni che sto su sistemi unix e mai ho visto virus o rootkit o trojan, anche con livelli di protezione, all'inizio, piuttosto bassi.

Un dubbio pero` mi viene, ci stai prendendo in giro?
Altrimenti in rete ci sono migliaia di discussioni e manuali che possono aiutarti meglio di quanto non si possa fare noi, vista la reciproca insoddisfazione.

ciao

[michele300]

quali processi con ps devo considerare come strani?

Se non ci passi l'output dei comandi citati precedentemente

Codice: Seleziona tutto

ps -Af
ps -e

come potremmo saperlo?
La sfera di cristallo non e` sufficientemente precisa per aiutarci su queste questioni.

Hai gia` ottenuto risposte esaurienti per le altre domande, ma se non ti soddisfano ... meglio se cerchi da altre parti, evidentemente qui non riusciamo a capirci.

Il supporto sul forum e` gratuito e fornito da volontari, ma presupponme anche rispetto reciproco e fiducia: dal momento che stai discutendo su un argomento che non conosci, accetta anche cio` che ti viene proposto.
Sono dieci anni che sto su sistemi unix e mai ho visto virus o rootkit o trojan, anche con livelli di protezione, all'inizio, piuttosto bassi.

Un dubbio pero` mi viene, ci stai prendendo in giro?
Altrimenti in rete ci sono migliaia di discussioni e manuali che possono aiutarti meglio di quanto non si possa fare noi, vista la reciproca insoddisfazione.

ciao

eccoti accontentato.

Codice: Seleziona tutto

ps -e
  PID TTY          TIME CMD
    1 ?        00:00:01 init
    2 ?        00:00:00 kthreadd
    3 ?        00:00:00 migration/0
    4 ?        00:00:00 ksoftirqd/0
    5 ?        00:00:00 watchdog/0
    6 ?        00:00:00 events/0
    7 ?        00:00:00 khelper
   41 ?        00:00:00 kblockd/0
   44 ?        00:00:00 kacpid
   45 ?        00:00:00 kacpi_notify
  123 ?        00:00:00 kseriod
  157 ?        00:00:00 pdflush
  158 ?        00:00:00 pdflush
  159 ?        00:00:01 kswapd0
  200 ?        00:00:00 aio/0
 1469 ?        00:00:00 ksuspend_usbd
 1472 ?        00:00:00 khubd
 1500 ?        00:00:01 ata/0
 1505 ?        00:00:00 ata_aux
 1689 ?        00:00:00 scsi_eh_0
 1692 ?        00:00:03 scsi_eh_1
 2536 ?        00:00:00 kjournald
 2809 ?        00:00:00 udevd
 3104 ?        00:00:00 cqueue/0
 3108 ?        00:00:02 evince
 3109 ?        00:00:00 kgameportd
 3114 ?        00:00:00 w1_control
 3120 ?        00:00:00 w1_bus_master1
 3153 pts/2    00:00:00 bash
 3170 pts/2    00:00:00 ps
 4568 tty4     00:00:00 getty
 4569 tty5     00:00:00 getty
 4573 tty2     00:00:00 getty
 4574 tty3     00:00:00 getty
 4576 tty6     00:00:00 getty
 4744 ?        00:00:00 acpid
 4784 ?        00:00:00 kondemand/0
 4857 ?        00:00:00 syslogd
 4915 ?        00:00:00 dd
 4917 ?        00:00:00 klogd
 4939 ?        00:00:00 dbus-daemon
 4955 ?        00:00:00 NetworkManager
 4969 ?        00:00:00 NetworkManagerD
 4982 ?        00:00:00 system-tools-ba
 5002 ?        00:00:00 avahi-daemon
 5003 ?        00:00:00 avahi-daemon
 5041 ?        00:00:00 cupsd
 5297 ?        00:00:00 exim4
 5401 ?        00:00:00 dhcdbd
 5420 ?        00:00:00 hald
 5423 ?        00:00:00 console-kit-dae
 5485 ?        00:00:00 hald-runner
 5510 ?        00:00:00 hald-addon-inpu
 5513 ?        00:00:00 hald-addon-acpi
 5522 ?        00:00:00 hald-addon-stor
 5536 ?        00:00:00 hald-addon-stor
 5539 ?        00:00:00 hald-addon-stor
 5578 ?        00:00:00 hcid
 5584 ?        00:00:00 btaddconn
 5585 ?        00:00:00 btdelconn
 5591 ?        00:00:00 bluetoothd-serv
 5595 ?        00:00:00 bluetoothd-serv
 5603 ?        00:00:00 krfcommd
 5638 ?        00:00:00 gdm
 5641 ?        00:00:00 gdm
 5645 tty7     00:04:04 Xorg
 5706 ?        00:00:00 dhclient
 5711 ?        00:00:00 atd
 5728 ?        00:00:00 cron
 5815 tty1     00:00:00 getty
 6172 ?        00:00:03 gconfd-2
 6174 ?        00:00:00 gnome-keyring-d
 6175 ?        00:00:00 x-session-manag
 6224 ?        00:00:00 scim <defunct>
 6229 ?        00:00:00 scim-launcher
 6234 ?        00:00:00 seahorse-agent
 6239 ?        00:00:00 dbus-daemon
 6240 ?        00:00:02 gnome-settings-
 6243 ?        00:00:00 scim-helper-man
 6244 ?        00:00:02 scim-panel-gtk
 6246 ?        00:00:00 scim-launcher
 6249 ?        00:00:01 pulseaudio
 6256 ?        00:00:00 gconf-helper
 6269 ?        00:00:52 metacity
 6271 ?        00:00:19 gnome-panel
 6272 ?        00:00:10 gnome-screensav
 6273 ?        00:00:16 nautilus
 6280 ?        00:00:00 bonobo-activati
 6299 ?        00:00:00 gvfsd
 6304 ?        00:00:00 bluetooth-apple
 6306 ?        00:00:00 gvfs-fuse-daemo
 6311 ?        00:00:00 update-notifier
 6317 ?        00:00:00 evolution-alarm
 6319 ?        00:00:00 tracker-applet
 6321 ?        00:00:00 trackerd
 6325 ?        00:00:00 python
 6326 ?        00:00:02 nm-applet
 6327 ?        00:00:00 gnome-volume-ma
 6329 ?        00:00:00 gnome-power-man
 6336 ?        00:00:00 evolution-data-
 6339 ?        00:00:00 trashapplet
 6343 ?        00:00:00 gvfsd-trash
 6346 ?        00:00:00 evolution-excha
 6354 ?        00:00:00 gvfsd-burn
 6379 ?        00:00:00 mixer_applet2
 6382 ?        00:00:00 fast-user-switc
 6393 ?        00:00:00 scim-bridge
 6415 ?        00:00:03 notification-da
 6440 ?        00:00:00 scsi_eh_2
 6442 ?        00:00:00 usb-storage
 6503 ?        00:00:00 hald-addon-stor
 6576 ?        00:00:00 gnome-vfs-daemo
 6663 ?        00:00:01 gksu
 6666 ?        00:16:32 firefox
 6669 ?        00:00:19 firestarter
 6690 ?        00:00:00 gconfd-2
 6897 ?        00:00:01 gnome-terminal
 6903 ?        00:00:00 gnome-pty-helpe
 6904 pts/0    00:00:00 bash
 6950 pts/0    00:00:04 snort
32646 pts/1    00:00:00 bash

ribadisco :
se chkrootkit ha ragione (putacaso)
-> lkm trojan installed.
1)come faccio a trovarlo.
2)come faccio a eliminarlo.

ho pubblicato in altro interbìvento log di snort
di intrusione esterna nel sistema,
che significa?



edit dello staff: inserito il codice di ps tra i tags code, ricordatene sempre quando incolli output lunghi

[Guiodic]

"lkm" vuol dire linux kernel module, è un nome generico. Se tu avessi davvero un lkm trojan, chkrootkit ti direbbe quale.