vServer: versteckte Prozesse und Ports?

Huhu,

ich bin auf das Tool "unhide" gestoßen, das versteckte Prozesse und Ports aufspüren soll.

Die Befehle unhide proc und unhide brute ergeben keine versteckten Prozesse aber unhide sys Output ergibt:

Unhide 20080519
yjesus@security-projects.com




[*]Searching for Hidden processes through getpriority() scanning




[*]Searching for Hidden processes through getpgid() scanning




[*]Searching for Hidden processes through getsid() scanning




[*]Searching for Hidden processes through sched_getaffinity() scanning




[*]Searching for Hidden processes through sched_getparam() scanning




[*]Searching for Hidden processes through sched_getscheduler() scanning




[*]Searching for Hidden processes through sched_rr_get_interval() scanning




[*]Searching for Hidden processes through sysinfo() scanning







HIDDEN Processes Found:1652

Die Prozess-ID wechselt von Aufruf zu Aufruf, bleibt aber immer im 16xx-Bereich.
Dann wurde noch ein unhide-tcp mit folgendem Output durchgeführt:

Starting TCP checking




Found Hidden port that not appears in netstat: 37080
Found Hidden port that not appears in netstat: 42987
Starting UDP checking




Found Hidden port that not appears in netstat: 862
Found Hidden port that not appears in netstat: 46007

Diese Ports werden sicher nicht meinen Anwendungen, die laufen, belegt.

Ein Test mit dem von christian geposteten Skript, um versteckte Prozesse zu finden, ergab keine versteckten Prozesse.

Ein chkrootik ergab nur eine Auffälligkeit:
Checking `lkm'... SIGINVISIBLE Adore found
Diese Meldung ist aber laut einem anderen Post hier im Forum harmlos.

Rkhunter hat nichts gefunden.

Tests auf meinem lokalen Server und auf einem neu aufgestetzten Debian Lenny ergaben keine versteckten Prozesse.

Muss ich mir diesbezüglich sorgen machen, oder scheint es ein false-positive Result von unhide zu sein bzw. auf die Natur des vServers zurückzugehen?
Wäre nett, wenn jemand diese unhide-Tests auch ausführen könnte ...

Zitat von christian;3452

Also ich kenne dieses Programm nicht wirklich, ich könnte mir aber vorstellen das es die Prozesse der anderen Vserver auf der Hardware findet. Alle virtuellen Server verwenden ja den selben Kernel.

Ich habe vor einiger Zeit mal einen Beitrag zu diesem Thema geschrieben, zu finden unter http://forum.netcup.de/showthread.php?t=434 lasse diesen Skript auch mal durchlaufen wenn er auch was findet dann ist der Zeitpunkt gekommen sich sorgen zu machen

Im zweifel warte bis ein Netcuper etwas dazu sagen kann

In diesem Sinne

Alles anzeigen

Dein Skript habe ich durchlaufen lassen, das hat nichts gefunden
Lasse das auch täglich per Cronjob ausführen inkl. E-Mail Benachrichtigung.

Meine Vermutung war, dass es mit den Gegenbeheiten des vServer zusammenhängt, bzw. das Programm aufgrundessen ein false-positive Ergebnis bringt.

Zu den Ports: Kann es sein, dass diese mit Funktionen des openvcp zusammenhängen? (z.B. Trafficstatistik?)

*Update*

Habe zu Hause auf einem Server Debian Etch mit openvcp installiert, einen vServer erstellt und den Unhide-Test ausgeführt.

Bei diesen Tests gab es auf einem frischinstalliertem Gastsystem ebenfalls die versteckten Prozesse (Anzahl der versteckten Prozesse war die Anzahl der Prozesse auf dem Hostsystem)

Somit ist es kein Grund zur Besorgnis.