Это вредоносная программа?

373
Colin Rosenthal

У меня есть машина под управлением Linux Mint (qiana). Я заметил, что это часто было медленно, и когда я смотрел сверху, я нашел

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND  30171 root 0 -20 69148 2192 212 S 142.0 0.1 731:27.56 wfoxqueneq  17 root 20 0 0 0 0 S 6.2 0.0 3:13.28 ksoftirqd/1  2506 colin 20 0 1884492 165752 41136 S 6.2 4.2 33:01.48 xbmc.bin

Я не узнаю таинственный процесс "wfoxqueneq" (кстати, я его обслужил до -20). Если я убью его, он в конце концов вернется с другим именем. Существует исполняемый файл / usr / bin / wfoxqueneq, который исчезает, когда я убиваю процесс. Согласно ps, командной строкой для программы является «uptime».

colin@redick ~ $ ps auxww|grep 30171 colin 28039 0.0 0.0 11744 912 pts/7 S+ 10:15 0:00 grep --colour=auto 30171 root 30171 96.1 0.0 69148 2192 ? S<sl Feb16 736:57 uptime

Так это какая-то вредоносная программа? И если так, могу ли я сделать что-нибудь менее решительное, чем переустановка?

1
Уже спросил на http://superuser.com/questions/877896/. JdeBP 9 лет назад 0
Какие программы / обновления вы делали в последнее время? Что-нибудь из нестандартных (не Ubuntu или не Mint) источников или PPA, или загрузить и запустить какие-нибудь исполняемые файлы? Можете ли вы показать родительские PID (PPID), чтобы увидеть, какой процесс их запускает? (`ps -ef` или` ps -ely` должны показать их), затем `grep` для родительского PID / PPID тоже Xen2050 9 лет назад 0
таинственные папки, которые вы сами не создавали, действительно являются признаком вредоносного ПО. Ядерное оружие с орбиты Ramhound 9 лет назад 0
Я уверен, что это было так: https://blog.avast.com/2015/01/06/linux-ddos-trojan-hiding-itself-with-an-embedded-rootkit/ - cronjob, rc-scripts и десять имя исполняемого письма были все там. Обнуление, как было предложено, - и наша домашняя сеть внезапно снова стала стабильной. Живи и учись. Colin Rosenthal 9 лет назад 0

0 ответов на вопрос

Похожие вопросы