Многие процессы с именем & ldquo; su-to-root & rdquo; появился на мониторе моей системы, мой компьютер принадлежит?

Question 1

На моем системном мониторе появились два процесса с именем gksu и два процесса с именем su-to-root. Мой компьютер принадлежит? Как я могу быть уверен, и если это правда, как я могу вырвать злоумышленника без полной переустановки системы?

Где и какие журналы я должен проверить, и что именно искать?

I используйте Firestarter, но журнал событий отображается пустым (?) ... что является еще одним плохим признаком ...

Большое спасибо за любую помощь.

Ubuntu 11.10

РЕДАКТИРОВАТЬ:

Я забыл упомянуть, что процесс SH тоже выполняется

My 50-default.conf [ 118]

....

# First some standard log files.  Log by facility.
#
auth,authpriv.*         /var/log/auth.log
*.*;auth,authpriv.none      -/var/log/syslog
#cron.*             /var/log/cron.log
#daemon.*           -/var/log/daemon.log
kern.*              -/var/log/kern.log
#lpr.*              -/var/log/lpr.log
m    ail.*              -/var/log/mail.log
#user.*             -/var/log/user.log
...

И ПРОЦЕСС ПРОДОЛЖАЕТ УНИЧТОЖИТЬ !!

Question 2

Я оставлю свой последний комментарий как ответ:

Если мы не говорим о сервере со статическим IP-адресом, который виден из Интернета, в большинстве случаев люди подключаются к Интернету через ADSL модем (либо через Wi-Fi, либо с помощью кабеля локальной сети). В этом случае это модем, который будет иметь «внешний» IP-адрес, ваш компьютер будет иметь «локальный» адрес, такой как 10.1.1.1 и т. Д. В этом случае невозможно подключиться к вашему компьютеру из внешнего мира, если вы не настроили ваш модем для пересылки определенных типов пакетов на определенный адрес во внутренней сети.

Таким образом, если у вас нет «настоящего» IP-адреса, единственная практическая возможность получить «собственный» - это загрузить что-то самостоятельно, запустить его и дать свой пароль root. Или, что менее вероятно, посетить вредоносный веб-сайт, который может использовать уязвимость в вашем веб-браузере, плагин для браузера или что-то еще.

Так что я думаю, что в этом случае процесс, который вы видели, был Firestarter, запрашивающий у вас пароль.

Что касается проблемы, при которой Firestarter не записывает логи, просмотрите этот вопрос

.

Community · Answer 1 · 13 February 2012 в 10:37

Я оставлю свой последний комментарий как ответ:

Если мы не говорим о сервере со статическим IP-адресом, который виден из Интернета, в большинстве случаев люди подключаются к Интернету через ADSL модем (либо через Wi-Fi, либо с помощью кабеля локальной сети). В этом случае это модем, который будет иметь «внешний» IP-адрес, ваш компьютер будет иметь «локальный» адрес, такой как 10.1.1.1 и т. Д. В этом случае невозможно подключиться к вашему компьютеру из внешнего мира, если вы не настроили ваш модем для пересылки определенных типов пакетов на определенный адрес во внутренней сети.

Таким образом, если у вас нет «настоящего» IP-адреса, единственная практическая возможность получить «собственный» - это загрузить что-то самостоятельно, запустить его и дать свой пароль root. Или, что менее вероятно, посетить вредоносный веб-сайт, который может использовать уязвимость в вашем веб-браузере, плагин для браузера или что-то еще.

Так что я думаю, что в этом случае процесс, который вы видели, был Firestarter, запрашивающий у вас пароль.

Что касается проблемы, при которой Firestarter не записывает логи, просмотрите этот вопрос

.

Многие процессы с именем & ldquo; su-to-root & rdquo; появился на мониторе моей системы, мой компьютер принадлежит?

1 ответ

Другие вопросы по тегам:

Похожие вопросы: