我的系统监视器上出现了两个名为 gksu 的进程和两个名为 su-to-root 的进程,我的计算机是否被拥有?我如何确定?如果这是真的,我如何才能在不完全重新安装系统的情况下清除入侵者?
我应该检查哪里和哪些日志,以及到底要查找什么?
我使用 Firestarter,但事件记录器显示为空(?)...另一个不好的迹象是什么...
非常感谢您的帮助。
Ubuntu 11.10
编辑:
我忘了提到 SH 进程也在运行
我的 50-default.conf
....
# First some standard log files. Log by facility.
#
auth,authpriv.* /var/log/auth.log
*.*;auth,authpriv.none -/var/log/syslog
#cron.* /var/log/cron.log
#daemon.* -/var/log/daemon.log
kern.* -/var/log/kern.log
#lpr.* -/var/log/lpr.log
m ail.* -/var/log/mail.log
#user.* -/var/log/user.log
...
并且这个过程不断重生!!
答案1
我将把我的最后一条评论作为答案:
除非我们谈论的是具有静态 IP 地址(从互联网可见)的服务器,否则大多数情况下人们通过 ADSL 调制解调器(通过 Wi-Fi 或 LAN 电缆)连接到互联网。在这种情况下,调制解调器将具有“外部”IP 地址,您的计算机将具有“本地”地址,如 10.1.1.1 等。在这种情况下,除非您将调制解调器配置为将某些类型的数据包转发到内部网络中的某个地址,否则无法从外部世界连接到您的计算机。
因此,除非您有“真实”的 IP 地址,否则唯一可行的“被控制”方法就是自己下载某个程序,启动它并输入您的 root 密码。或者,可能性较小的是访问恶意网站,利用您 Web 浏览器、浏览器插件或其他程序中尚未修复的漏洞。
所以我认为在这种情况下您看到的进程是 Firestarter 要求您输入密码。
关于 Firestarter 不写日志的问题 - 请查看这个问题