hidden procces...

[Akendo]

Hab mal unhide getest und auf einer meiner Maschien was gefunden:

[Linux]# ./nohide.sh
ls: cannot access /proc/28151/task/12437/cmdline: No such file or directory
ls: cannot access /proc/28151/task/12495/cmdline: No such file or directory
ls: cannot access /proc/28151/task/12552/cmdline: No such file or directory
ls: cannot access /proc/28151/task/12553/cmdline: No such file or directory
ls: cannot access /proc/12375/task/12375/cmdline: No such file or directory
ls: cannot access /proc/28151/task/12804/cmdline: No such file or directory
ls: cannot access /proc/28151/task/12854/cmdline: No such file or directory

Ein Script was ich von jemand hier aus dem Form hab, (wer war das nochmal)

#!/bin/bash
for PID in `seq 1 65535`; do
 if kill -0 ${PID} 2>/dev/null
 then
   if ls /proc/*/task/*/cmdline | grep "/${PID}/cmdline" >/dev/null
   then
     true
   else
     CMD=`cat /proc/${PID}/cmdline`
     echo "PID ${PID} versteckt?! cmdline: '${CMD}'"
   fi
 fi
done

Naja das machte mich stutzig. Hab ich mal rkhunter durchlaufen lassen, zwar nichts gefunden aber unhide schon.

unhide proc&&unhide sys&& unhide brute
Unhide 20080519
yjesus@security-projects.com


[*]Searching for Hidden processes through /proc scanning

Unhide 20080519
yjesus@security-projects.com


[*]Searching for Hidden processes through getpriority() scanning

[*]Searching for Hidden processes through getpgid() scanning

[*]Searching for Hidden processes through getsid() scanning

[*]Searching for Hidden processes through sched_getaffinity() scanning

[*]Searching for Hidden processes through sched_getparam() scanning

[*]Searching for Hidden processes through sched_getscheduler() scanning

[*]Searching for Hidden processes through sched_rr_get_interval() scanning

[*]Searching for Hidden processes through sysinfo() scanning

Unhide 20080519
yjesus@security-projects.com


[*]Starting scanning using brute force against PIDS

Found HIDDEN PID: 8852
Found HIDDEN PID: 9344
Found HIDDEN PID: 9776
Found HIDDEN PID: 23787

Bin nun verunsicher was ich tun soll, unhide hat sonst nichts gefunden denoch bin ich gerade etwas ueberfragt. Werde wohl die Maschien neu installiern. Denoch wuerde ich gerne eure Meinung darueber Wissen.

 

[bitmuncher]

Es kann sich dabei auch um Prozesse handeln, die schnell forken und wieder zerstört werden, so dass sie in der Zeit zwischen dem 'kill -0' und dem 'ls /proc/...' schon wieder weg sind. Ausserdem gibt es soweit ich weiss auch einige Prozesse des Kernels, die keine cmdline in /proc verwenden.

 

[Akendo]

Es kann sich dabei auch um Prozesse handeln, die schnell forken und wieder zerstört werden, so dass sie in der Zeit zwischen dem 'kill -0' und dem 'ls /proc/...' schon wieder weg sind. Ausserdem gibt es soweit ich weiss auch einige Prozesse des Kernels, die keine cmdline in /proc verwenden.

hm... so eine Idee hatte ich auch schon. :/
Danke erstmal.