Huhu,
ich bin auf das Tool "unhide" gestoßen, das versteckte Prozesse und Ports aufspüren soll.
Die Befehle unhide proc und unhide brute ergeben keine versteckten Prozesse aber unhide sys Output ergibt:
Unhide 20080519
yjesus@security-projects.com
[*]Searching for Hidden processes through getpriority() scanning
[*]Searching for Hidden processes through getpgid() scanning
[*]Searching for Hidden processes through getsid() scanning
[*]Searching for Hidden processes through sched_getaffinity() scanning
[*]Searching for Hidden processes through sched_getparam() scanning
[*]Searching for Hidden processes through sched_getscheduler() scanning
[*]Searching for Hidden processes through sched_rr_get_interval() scanning
[*]Searching for Hidden processes through sysinfo() scanning
HIDDEN Processes Found:1652
Alles anzeigen
Die Prozess-ID wechselt von Aufruf zu Aufruf, bleibt aber immer im 16xx-Bereich.
Dann wurde noch ein unhide-tcp mit folgendem Output durchgeführt:
Starting TCP checking
Found Hidden port that not appears in netstat: 37080
Found Hidden port that not appears in netstat: 42987
Starting UDP checking
Found Hidden port that not appears in netstat: 862
Found Hidden port that not appears in netstat: 46007
Alles anzeigen
Diese Ports werden sicher nicht meinen Anwendungen, die laufen, belegt.
Ein Test mit dem von christian geposteten Skript, um versteckte Prozesse zu finden, ergab keine versteckten Prozesse.
Ein chkrootik ergab nur eine Auffälligkeit:
Checking `lkm'... SIGINVISIBLE Adore found
Diese Meldung ist aber laut einem anderen Post hier im Forum harmlos.
Rkhunter hat nichts gefunden.
Tests auf meinem lokalen Server und auf einem neu aufgestetzten Debian Lenny ergaben keine versteckten Prozesse.
Muss ich mir diesbezüglich sorgen machen, oder scheint es ein false-positive Result von unhide zu sein bzw. auf die Natur des vServers zurückzugehen?
Wäre nett, wenn jemand diese unhide-Tests auch ausführen könnte ...