我chkrootkit在我的 Linux Mint 系统上运行它,它抱怨了几个像这样的进程:
斯科特 31745 0.0 0.3 1206060 120352 ? Sl Oct03 0:15 /usr/share/atom/atom --type=renderer --enable-experimental-web-platform-features --no-sandbox --service-pipe-token=2CF17518423016539EFC7319BDF1BA74 --lang=en-US --app-path=/usr/share/atom/resources/app.asar --node-integration=true --webview-tag=true --no-sandbox --context-id=2 --enable-pinch --num-raster-threads=4 --enable-main-frame-before-activation --内容图像纹理目标 = 0,0,3553;0,1,3553;0,2,3553;0,3,3553;0,4,3553;0,5,3553;0,6,3553;0,7,3553;0,8,3553;0,9,3553;0,10,3553;0,11,3553;0,12,3553;0,13,3553;0,14,3553;0,15,3553;0,16,3553;0,17,3553;1,0,3553;1,1,3553;1 ,2,3553;1,3,3553;1,4,3553;1,5,3553;1,6,3553;1,7,3553;1,8,3553;1,9,3553;1,10,3553;1,11,3553;1,12,3553;1,13,3553;1,14,3553;1,15,3553;1,16,3553;1,17,3553;2,0,3553;2,1,3553;2,2,3553;2,3,3553;2,4,3553;2,5,3553;2,6,3553;2,7,35 53;2,8,3553;2,9,3553;2,10,3553;2,11,3553;2,12,3553;2,13,3553;2,14,3553;2,15,3553;2,16,3553;2,17,3553;3,0,3553;3,1,3553;3,2,3553;3,3,3553;3,4,3553;3,5,3553;3,6,3553;3,7,3553;3,8,3553;3,9,3553;3,10,3553;3,11,3553;3,12,3553 ;3,13,3553;3,14,3553;3,15,3553;3,16,3553;3,17,3553;4,0,3553;4,1,3553;4,2,3553;4,3,3553;4,4,3553;4,5,3553;4,6,3553;4,7,3553;4,8,3553;4,9,3553;4,10,3553;4,11,3553;4,12,3553;4,13,3553;4,14,3553;4,15,3553;4,16,3553;4,17,3553 --禁用加速视频解码--禁用 GPU 合成--启用 GPU 异步工作者上下文--服务请求通道令牌 = 2CF17518423016539EFC7319BDF1BA74--渲染器客户端 ID = 5--共享文件 = v8_natives_data:100,v8_snapshot_data:101--禁用加速视频解码--禁用 GPU 合成--启用 GPU 异步工作者上下文--服务请求通道令牌 = 2CF17518423016539EFC7319BDF1BA74--渲染器客户端 ID = 5--共享文件 = v8_natives_data:100,v8_snapshot_data:101
那是 shellcode 还是什么不祥之物,我应该担心吗?我之所以问这个问题,是因为我发现chkrootkit它在其他情况下并不是 100% 准确。例如,它告诉我我的电脑tcpd被感染了,但我甚至没有安装它。
答案1
这是原子文本编辑器。它基于 Electron 框架构建,而 Electron 本身使用 Chrome 浏览器的变体作为其前端;您看到的非常长的命令行是 Chrome 多进程架构的典型特征。
如果 chkrootkit 没有告诉你为什么它确实发现程序不寻常,如果你确实使用 Atom 编辑器,那么就忽略这个警告。
另一方面,如果您不使用 Atom,最好弄清楚它是什么进程 – 检查/proc/31745/exe、/proc/31745/fd/等等。