На моем системном мониторе появились два процесса с именем gksu и два процесса с именем su-to-root. Мой компьютер принадлежит? Как я могу быть уверен, и если это правда, как я могу вырвать злоумышленника без полной переустановки системы?
Где и какие журналы я должен проверить, и что именно искать?
I используйте Firestarter, но журнал событий отображается пустым (?) ... что является еще одним плохим признаком ...
Большое спасибо за любую помощь.
Ubuntu 11.10
РЕДАКТИРОВАТЬ:
Я забыл упомянуть, что процесс SH тоже выполняется
My 50-default.conf [ 118]
....
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
#daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
#lpr.* -/var/log/lpr.log
m ail.* -/var/log/mail.log
#user.* -/var/log/user.log
...
И ПРОЦЕСС ПРОДОЛЖАЕТ УНИЧТОЖИТЬ !!
Я оставлю свой последний комментарий как ответ:
Если мы не говорим о сервере со статическим IP-адресом, который виден из Интернета, в большинстве случаев люди подключаются к Интернету через ADSL модем (либо через Wi-Fi, либо с помощью кабеля локальной сети). В этом случае это модем, который будет иметь «внешний» IP-адрес, ваш компьютер будет иметь «локальный» адрес, такой как 10.1.1.1 и т. Д. В этом случае невозможно подключиться к вашему компьютеру из внешнего мира, если вы не настроили ваш модем для пересылки определенных типов пакетов на определенный адрес во внутренней сети.
Таким образом, если у вас нет «настоящего» IP-адреса, единственная практическая возможность получить «собственный» - это загрузить что-то самостоятельно, запустить его и дать свой пароль root. Или, что менее вероятно, посетить вредоносный веб-сайт, который может использовать уязвимость в вашем веб-браузере, плагин для браузера или что-то еще.
Так что я думаю, что в этом случае процесс, который вы видели, был Firestarter, запрашивающий у вас пароль.
Что касается проблемы, при которой Firestarter не записывает логи, просмотрите этот вопрос
.