Processi che ricompaiono e cpu100%

[sjoe]

Salve a tutti. Ho notato di avere spesso la cpu al 100% e ho trovato il processo che la usa. Il problema è che anche uccisa ne ricompare un'altra con nome e ID differente ma che da lo stesso problema. Cosa fa ricomparire sembrerebbe random questi processi e come evitarlo? Grazie.

[jackynet92]

Che processo è? Manda il risultato di top.

[sjoe]

I processi hanno nomi tipo "uohupolrem" e "kjjldctdnt". Ne ho "ammazzati" a decine accedendo come root , altrimenti non ms li fa ne arrestare ne sospendere ne altro. Ammazzatone un ne ricompare subito un altro on nome simile: sembra un nome casuale. Il problema è che con la cpu al 100% salta il collegammento internet che ho con la chiavetta. Sto scrivendo con il telefono. Non posso postare nulla...

[sbubba]

strano, hai aggiunto qualche ppa esterno?
puoi fare alla schermata di top una foto nitida col cellulare?

[sjoe]

Ppa sarebbe? E comunque non ho fatto nulla tranne i soliti aggiornamenti consigliati. Posso fare la foto ma di top sarebbe? Scusa ma non sono molto esperto a questa terminologia.

[Mdfalcubo]

Lancia il comando top nel terminale e posta il risultato.

[sjoe]

Eccola. Ridotta all'osso...

[sjoe]

Aggiungo che varia tra 98-100% per un paio di minuti poi va a 0% per altri due minuti circa. E così di seguito ininterrottamente.
Ho visto che è un processo che "gira" sotto il processi "init". Se può essere utile ben venga...

[sbubba]

Ppa sarebbe? E comunque non ho fatto nulla tranne i soliti aggiornamenti consigliati

se hai aggiunto dei repository "strani", ma se non sai cosa sono probabilmente non li hai aggiunti.

mi sembra strano che google non riporta nessun risultato di qibvcrxsgs o.o

[sjoe]

Non ho aggiunto nulla ne di strano ne di normale. Solo aggiornamenti. Anche io ho cercato in Google ma non ho trovato nulla anche con gli altri nomi. Il tutto è iniziato perché le ventole di raffreddamento giravano in continuazione ma pensavo fosse dovuto al caldo di questi giorni. Poi ho messo il pc davanti al condizionatore ma non cambiava nulla. Il collegamento Internrt continuava a non andare. Poi spulciando nelle note ho trovato il modo di far comparire tutti i processi ed eccomi qua. Killarlo riesco ma poi ne compare subito un altro con nome diverso ma stesso effetto. Sembra che il tutto sia comandato da qualcos'altro ma non saprei proprio dire cosa. Boh!!!???

[steff]

Mi sembra molto strano, ho trovato con molto difficoltà questo (lo stesso utente).
http://superuser.com/questions/877896/u ... om-command
http://askubuntu.com/questions/607323/u ... virus-like
http://ubuntuforums.org/showthread.php?t=2272950

Stacca la macchina dalla rete, potrebbe essere questo:
http://www.scmagazine.com/malware-targe ... le/391497/
https://blog.avast.com/2015/01/06/linux ... d-rootkit/

Nel dubbio (no, non ci sono dubbi!): salva i dati tuoi e reinstalla e cambia subito ogni passwd su siti, email ecc che hai inseriti su questa macchina.
Ma bisognerebbe capire come hai ottenuto questo rootkit XOR.DDoS.

[sjoe]

Proverò. Ci vorrà del tempo. Vi farò sapere l'esito. Grazie.

[steff]

Probabilmente qualcosa è andato storto al rootkit XOR.DDoS - altro che "invisibile" se manda la CPU al 100%, forse per via della chiavetta - ma non ci puoi contare sopra.
Se ci puoi fornire col tempo più dettagli possibili su cosa hai fatto, come è connesso, se hai abilitato l'utente root, sopratutto se hai installato il server SSH ecc ecc sarebbe utile.

[sbubba]

Ma bisognerebbe capire come hai ottenuto questo rootkit XOR.DDoS.

caspita. addirittura un rootkit O__O
secondo te, è possibile averlo beccato col plugin flash della adobe?

[sjoe]

Farò il possibile. Grazie a tutti.

[steff]

Ho fatto alcune ricerche, sembra che si occupa solo di attacchi ddos e si becca avendo un server ssh in ingresso, fa un brute force provando migliaia di passwd root.
Per questo domandavo se c'era o meno installato il server ssh.

[sbubba]

ah ecco, grazie steff.

[ubuntumate]

Sarebbe interessante sapere come si rimuovono i rootkit da linux.A quante pare non siamo più tanto immuni.

[steff]

Per evitare troppa "discussione" qui ho creato una discussione dedicata al Bar
http://forum.ubuntu-it.org/viewtopic.php?f=67&t=600563.

[sjoe]

Signori grazie comunque. Come potete vedere dal numero delle mie richieste non sono uno "smanettone". Uso il PC per quel poco che mi serve e nulla più. Un tempo ero molto più addentro a questi argomenti e me la cavavo anche abbastanza bene, ma ora i tempi sono passati. Purtroppo non posso esservi di aiuto rispondendo alle vostre domande (avrò preso quel che ho preso sicuramente da internet, ma non saprei dirvi come e quando). Ho "risolto" riformattando il tutto e già che c'ero sono passato alla 15.04.
Alla prossima.