web-dev-qa-db-ja.com

名前のないプロセス:Linuxルートキットの可能性?

状況

gnome-system-monitorを一度見たとき、名前のないプロセスを見ました。最初は気になりませんでした。後で、私のラップトップは熱くなっているように見え、CPUアクティビティのスパイクが見られました-シングルコアで最大100%ですが、sysmon/htopプロセスリストを調べると、2つ以上を消費しているプロセスはありません合計CPUの%または4%(すべてのプロセスがリストされ、CPUアクティビティに従ってリストされます)。

何が行われたか

私はウェブでいくつかのことを調べました。 rkhunterchkrootkitを実行しました。ルートキットが見つかりませんでした。

さらなる観察

rkhunterを実行していると、これらの名前のないプロセスが、一度に最大4つポップアップします。

Sysmonで、名前のないプロセスを右クリックしてから[プロパティ]:gnome-system-monitorがクラッシュします。短命のウィンドウでは、NoneまたはN/A以外に有用な情報はないようです。

質問

1)これはおそらくルートキットですか? 2)それについて何ができるでしょうか?

スクリーンショット

http://i.stack.imgur.com/fwkxy.png

2
Majal

最後に、答え。いいえ、ルートキットではありません。 gnome-system-monitorのバグです。

バグはここに提出されます: https://bugs.launchpad.net/ubuntu/+source/gnome-system-monitor/+bug/60671

これがあなたに影響を与える場合は、このバグをさらに解明するのを手伝ってください。

1
Majal

ルートキットの場合もあれば、所有権を変更する無実のプロセスの場合もあります。どのバイナリがプロセスに属しているかを確認できます。 gnome-system-monitorの出力では、プロセスのPIDを確認できます。 ls -l /proc/$pid_you_found/exeを実行すると、どのバイナリがプロセスに属しているかがわかります。

mtak@frisbee:/proc/7505$ ls -l /proc/7505/exe
lrwxrwxrwx 1 mtak mtak 0 apr 14 16:15 /proc/7505/exe -> /bin/bash

ここでは、PID7705に関連付けられているバイナリが/ bin/bashであることがわかります。

0
mtak