Раньше у меня был случай, когда при запущенном firefox и/или xmms chkrootkit выдавал:
...
Checking `lkm'... You have 2 process hidden for readdir command
You have 2 process hidden for ps command
Warning: Possible LKM Trojan installed
...
Я на всякий случай переставил систему с заведомо чистых дисков. Проверял chkrootkit.(правда, в Иксах обходился консольными прогами) Все было ОК.
Теперь: поставил moc, Music(player) On Console, из офиц. репозитария Дебиана. Проверяю:
снова два скрытых процесса...
Вывод chkroot-kit -x | grep PID
...
Renice PID %d to value:
Renice of PID %d to %d failed: %s
PID 5177(/proc/5177): not in readdir output
PID 5177: not in ps output
PID 5181(/proc/5181): not in readdir output
PID 5181: not in ps output
...
Далее: читаю ман этого плеера. Он, оказываеться, клиент-серверный, как xmms. Проверяю: закрываю МОС, ввожу команду:
$ mocp -p
(-p - от play)
Команда тут же завершаеться, но музыка продолжает играть... Ввожу:
$ mocp -x
Аналогично, но после этого:
$ chkrootkit
...
Checking `lkm'... chkproc: nothing detected
...
Возникает вопрос: почему сервер проги не виден из ps и ls /proc? Зачем так было его делать??? Что думаете?
P.S. На всякий случай: на протяжении 30 мин. PID скрытых не менялся. В /proc/5177/cmdname и /proc/5181/cmdname одинаковые, их содержание:
mocp^@
.
Ответ на:
комментарий
от anonymous
Ответ на:
комментарий
от Orlangoor
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.