|
Ubuntu: непонятный процесс грузит cpu На домашнем компе под виндой стоит виртуалбокс с убунтой, на которой крутится вэб-сервер, и, пожалуй все. Сегодня заметил, что комп подозрительно горячий. Виртуалбокс отжирает 30% процессора. В Убунте появился неведомый процесс: PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 2744 root 20 0 42556 1036 180 S 99.3 0.1 17:43.90 ulxisqjizy Имя всегда разное, рандомное. ppid 1. Что это и как бороться? |
Веб-сервер под винду не вариант было поднять ? |
1-Смайл > не, это извращение. Плюс я там всякие штуки отлаживаю. |
круто) неведомый процесс под рутом) к серверу из инета есть доступ? |
3-droidman > есть ssh. естесьно запаролен хорошо и на другом порту |
Похоже на вирусню. Сам файл найди и попробуй посмотреть в него может скрипт. Так же обычно всякая хрень пишется в крон во все места, а то ты удалишь файлик, а оно опять появляется. И прогнать на руткиты rkhunter |
Сталкивался, залили через дырку в скриптах набор скриптов, комп стал частью ботнета, ддосит кого то по приказу хозяина. Убрать: снять атрибут x c файла с рандомным названием в /etc/init.d, перезагрузится и удалить этот файл. |
яб даже не лечил) ибо если руткит да под рутом - то он уже везде, вплоть до ссх, консоли и модулей ядра) ставить с нуля и долго думать как урезать PHP и вебсерверу права и возможности =) |
rkhunter сказал вот что: [02:09:27] System checks summary [02:09:27] ===================== [02:09:27] [02:09:27] File properties checks... [02:09:27] Files checked: 134 [02:09:27] Suspect files: 1 [02:09:27] [02:09:27] Rootkit checks... [02:09:27] Rootkits checked : 307 [02:09:27] Possible rootkits: 1 [02:09:27] Rootkit names : Trojaned SSH daemon [02:09:27] [02:09:27] Applications checks... [02:09:27] Applications checked: 4 [02:09:27] Suspect applications: 0 [02:09:27] [02:09:27] The system checks took: 4 minutes and 34 seconds Так-то. Решено сохранить все ценное и настроить заново с повышенными требованиями к секурности. |
7-droidman >та ну.. Это тупой скрипт, никуда он там не лезет далеко. Заливается только по ссш, автор парольгде то сохранил под виндой небось, или отбрутили |
Вирусы под линуксом? Нам же всегда твердили, что это невозможно! Автор нас троллит : ) |
10-Обормот >к вашему сожалению, это не вирус. Это скрипт, налаг bat / cmd в вин. Не располагает способностью размножаться, текущие успехи вызваны низким качеством знаний пользователей (в случае с виндой это поголовно). |
Налаг = аналог |
11-Фанат NASCAR > вас не смущает запись [quote][02:09:27] Rootkit names : Trojaned SSH daemon[/quote] это сигнал о модифицированном бинарнике openssh, уж никак не sh/py/cmd/bat =) А учитывая процессы под рутом с непонятными именами - вирус проник основательно. |
13-droidman >может быть, не обратил внимания. Никтоже не мешает из репов переустановить. |
В моём случае это был тупой скрипт, как я описывал. А непонятные процессы - его текущее имя в init.d, он сам себя восстанавливал, висел в двух экземплярах, контролировали друг друга - круговая порука. |
а откуда он взялся если все происходит: "На домашнем компе под виндой стоит виртуалбокс с убунтой" |
| Текущее время: 05:19. Часовой пояс GMT +3. |