Processo estranho (possível vírus ?)

1. Processo estranho (possível vírus ?)

lnxtux
(usa Debian)

Enviado em 22/07/2015 - 17:49h

Pessoal salve !

Montei um firewall com proxy, dhcp, rotas direcionamentos etc, o mesmo esta em uma DMZ porém depois de dois dias o server começou a travar, fiz uma analise e vi que estava tendo um processo comendo muito processamento, o mesmo se encontrava dentro do /usr/bin e estava estranho tipo "qssgeterxvs" depois matei com um killall e ele volta comendo muito processamento porem com um nome diferente mas estranho "xhqdretlowtv" (nomes ficticios) mas um monte de letras alguém temm uma idéia ? como resolvo isso ? nunca vi isso .

0 0

Quote

2. Re: Processo estranho (possível vírus ?)

zhushazang
(usa Gentoo)

Enviado em 22/07/2015 - 18:22h

Quantos dias de uso? Nome fictício não ajuda, mas comece pelos logs e as ferramentas chkrootki e rkhunter. O ideal é tirar de operação para análise. Você "PODE" ter sido invadido e enquanto o processo está no ar "PODE" estar perdendo dados.

É estranho processos "stealing" consumirem muito recurso, já que isso os torna visíveis. Mas, cabe investigação.

O que fazer? Reinstalar DO ZERO. Não aproveite nada.

---
Hail Hydra!

0 1

Quote

3. Re: Processo estranho (possível vírus ?)

lnxtux
(usa Debian)

Enviado em 22/07/2015 - 21:20h

Eu coloquei fictiício porque é uma série de letras, sem sentido, nenhum processo original do Linux, estou fazendo um pente fino mesmo e nada alem disso "estourar" o processamento, mas mesmo assim valeu pela sua ajuda e opinião. Mesmo assim ainda estou aberto a opiniões caso alguém já tenha passado por isso.

zhushazang escreveu:

Quantos dias de uso? Nome fictício não ajuda, mas comece pelos logs e as ferramentas chkrootki e rkhunter. O ideal é tirar de operação para análise. Você "PODE" ter sido invadido e enquanto o processo está no ar "PODE" estar perdendo dados.

É estranho processos "stealing" consumirem muito recurso, já que isso os torna visíveis. Mas, cabe investigação.

O que fazer? Reinstalar DO ZERO. Não aproveite nada.

---
Hail Hydra!

0 0

Quote

4. Re: Processo estranho (possível vírus ?)

albfneto
(usa openSUSE)

Enviado em 23/07/2015 - 14:56h

Roda rkhunter nesse micro.
¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨¨
Albfneto,
Ribeirão Preto, S.P., Brasil.
Usuário Linux, Linux Counter: #479903.
Distros Favoritas: Sabayon, Gentoo, openSUSE, Mageia e OpenMandriva.

0 0

Quote

5. Curiosamente meu firewall também ficou estranho...

diogostreit
(usa Linux Mint)

Enviado em 23/07/2015 - 20:40h

Aproveitando o tópico do amigo, estou com um problema parecido, onde só ocorre o travamento do firewall, não encontrei nenhum processo suspeito, e o uso do proc e memoria não está ultrapassando 10%.
Percebi que ele começa com a latencia alta do ping até ficar totalmente indisponivel, até a máquina somente no terminal fica lenta.
Já estou perdendo os cabeles, e estou pensando em montar um firewall do zero nesse final de semana.

0 0

Quote

6. Re: Processo estranho (possível vírus ?)

zhushazang
(usa Gentoo)

Enviado em 23/07/2015 - 20:43h

diogostreit escreveu:

Aproveitando o tópico do amigo, estou com um problema parecido, onde só ocorre o travamento do firewall, não encontrei nenhum processo suspeito, e o uso do proc e memoria não está ultrapassando 10%.
Percebi que ele começa com a latencia alta do ping até ficar totalmente indisponivel, até a máquina somente no terminal fica lenta.
Já estou perdendo os cabeles, e estou pensando em montar um firewall do zero nesse final de semana.

Cara, você foi muito genérico. Só dá para fazer suposições. Pouca swap?

---
Hail Hydra!

0 0

Quote