Processo Estranho. Rootkit?

1. Processo Estranho. Rootkit?

albfneto
(usa openSUSE)

Enviado em 23/05/2014 - 14:45h

Um Colega, lá do Forum Oficial Sabayon, está com um problema estranho.

No Sabayon dele, o micro esquenta muito, vai a 88 graus e trava.

ao dar um comando "top ou htop" , ele vê que o processo que faz isso ocupa 99% da CPU, e se chama "feedback --root".

Não achamos nada na Net, sobre um processo com esse nome! Teria ele pegado um Rootkit?

Outro problema, o processo não "morre" com comandos "kill" ou "killall".

Tenho em mente que não morre, porque é um processo "defunto" ou "zoombie", ou porque execute junto de um outro processo Pai,parente.

sugerí a ele que tente matar com:

# pkill -P processo

Minhas perguntas, para ele ver os dois processos aparentados, o comando é: ?

$ pgrep 'feedback --root'

Segunda pergunta, como ele pode fazer para, com comandos "ps", ou combinados,

ver o processo Pai, o parente, com os nomes, os PIDs e os PPIDs, completo. Ou se há um script para isso?

Acredito que esse último comando ou script pode ser útil para mim também. Se alguém conhecer, pode até fazer uma dica ou publicar o script aqui no VOL, pode seria útil a outros usuários também

0 0

Quote

2. Re: Processo Estranho. Rootkit?

phoemur
(usa Debian)

Enviado em 23/05/2014 - 15:53h

Já experimentou ver a árvore de processos com

pstree -cp

0 0

Quote

3. Re: Processo Estranho. Rootkit?

removido
(usa Nenhuma)

Enviado em 23/05/2014 - 18:47h

Instala o rkhunter e o chkrootkit e faz uma verificação do sistema.

0 0

Quote

4. Re: Processo Estranho. Rootkit?

removido
(usa Nenhuma)

Enviado em 23/05/2014 - 19:28h

albfneto escreveu:

Um Colega, lá do Forum Oficial Sabayon, está com um problema estranho.

No Sabayon dele, o micro esquenta muito, vai a 88 graus e trava.

ao dar um comando "top ou htop" , ele vê que o processo que faz isso ocupa 99% da CPU, e se chama "feedback --root".

Não achamos nada na Net, sobre um processo com esse nome! Teria ele pegado um Rootkit?

Outro problema, o processo não "morre" com comandos "kill" ou "killall".

Tenho em mente que não morre, porque é um processo "defunto" ou "zoombie", ou porque execute junto de um outro processo Pai,parente.

sugerí a ele que tente matar com:

# pkill -P processo

Minhas perguntas, para ele ver os dois processos aparentados, o comando é: ?

$ pgrep 'feedback --root'

Segunda pergunta, como ele pode fazer para, com comandos "ps", ou combinados,

ver o processo Pai, o parente, com os nomes, os PIDs e os PPIDs, completo. Ou se há um script para isso?

Acredito que esse último comando ou script pode ser útil para mim também. Se alguém conhecer, pode até fazer uma dica ou publicar o script aqui no VOL, pode seria útil a outros usuários também

Amigo você executa o comando ps mesmo para visualizar os processos pais. por exemplo:

ps axfl |grep --color -i feedback

Vai ver que a segunda coluna mostra o usuário dono do processo, a segunda mostra o pid do processo, terceira mostra o processo pai e na décima coluna mostra o estado do processo: se é um processo zumbi "Z", Processo está em execução "R", Processo esta pausado ou dormindo tipo daemon "S", esperando uma tarefa para voltar a ficar em execução "R".

Agora para remover sugiro usar um live-usb ou live-cdrom e mostrar a partição do sistema e a fazer uma busca pelo nome ou parte do nome do processo e em seguida remove-lo.

0 0

Quote