На моем системном мониторе появилось много процессов с именем "su-to-root", мой компьютер принадлежит?

Question

На моем системном мониторе появилось много процессов с именем "su-to-root", мой компьютер принадлежит?

На моем системном мониторе появились два процесса с именем gksu и два процесса с именем su-to-root. Мой компьютер принадлежит? Как я могу быть уверен, и если это правда, как я могу вырвать нарушителя без полной переустановки системы?

Где и какие логи я должен проверить, и что именно ищу?

Я использую Firestarter, но журнал событий отображается пустым (?)... что является еще одним плохим признаком...

Большое спасибо за любую помощь.

Ubuntu 11.10

РЕДАКТИРОВАТЬ:

Я забыл упомянуть, что процесс SH тоже работает

Мой 50-default.conf

....

# First some standard log files.  Log by facility.
#
auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog
#cron.*             /var/log/cron.log
#daemon.*           -/var/log/daemon.log
kern.*              -/var/log/kern.log
#lpr.*              -/var/log/lpr.log
m    ail.*              -/var/log/mail.log
#user.*             -/var/log/user.log
...

И ПРОЦЕСС SH ПРОДОЛЖАЕТ УНИЧТОЖИТЬ!!

0

security root gksu rootkit firestarter

Источник

H_7 13 фев '12 в 04:57

1 ответ

Другие вопросы по тегам security root gksu rootkit firestarter

Sergey 13 фев '12 в 05:52 2012-02-13 05:52 · Answer 1 · 2012-02-13 05:52

Я поставлю свой последний комментарий в качестве ответа:

Если мы не говорим о сервере со статическим IP-адресом, который виден из Интернета, в большинстве случаев люди подключаются к Интернету через модем ADSL (либо через Wi-Fi, либо через кабель локальной сети). В этом случае это модем, который будет иметь "внешний" IP-адрес, ваш компьютер будет иметь "локальный" адрес, такой как 10.1.1.1 и т. Д. В этом случае невозможно подключиться к вашему компьютеру из внешнего мира, если вы не настроили Ваш модем для пересылки определенных типов пакетов на определенный адрес в вашей внутренней сети.

Таким образом, если у вас нет "реального" IP-адреса, единственная практическая возможность стать "владельцем" - это загрузить что-то самостоятельно, запустить его и дать свой пароль root. Или, что менее вероятно, посетить вредоносный веб-сайт, который может использовать уязвимость в вашем веб-браузере, плагин для браузера или что-то еще.

Поэтому я думаю, что в этом случае процесс, который вы видели, был Firestarter, запрашивающий у вас пароль.

Что касается проблемы с Firestarter не писать логи - пожалуйста, посмотрите на этот вопрос